Политика за сигурност

ПауърИТ Академия ЕООД (ЕИК: 207542347), оператор на услугата Encrypta (encrypta.bg), е поела твърд ангажимент за сигурността на данните на своите потребители. Настоящата Политика за сигурност описва техническите и организационните мерки, прилагани за защита на информацията, съхранявана и обработвана посредством платформата Encrypta.

Тази политика се прилага за всички компоненти на услугата Encrypta: облачното хранилище (cloud.encrypta.bg), портала за плащания и покани (invited.encrypta.bg) и системата за поддръжка (helpme.encrypta.bg).

Encrypta прилага многослойна стратегия за криптиране, осигуряваща защита на данните в покой и при пренос.

Сървърно криптиране (стандартно): По подразбиране всички файлове, съхранявани в Encrypta, са криптирани с AES-256-GCM на ниво сървър. Ключовете за криптиране се управляват от Encrypta и са защитени от неоторизиран достъп.

Zero Knowledge криптиране (опционално): Потребителите могат да активират криптиране от страна на клиента (end-to-end encryption). При тази опция файловете се криптират на устройството на потребителя преди изпращането им към сървъра. При активиран Zero Knowledge режим ПауърИТ Академия ЕООД и нейните служители технически не могат да достъпят или прочетат съдържанието на съхраняваните файлове.

Транспортно криптиране: Всички комуникации между клиентите и сървърите на Encrypta са защитени чрез SSL/TLS с минимална версия TLS 1.2. Поддържат се само силни криптографски алгоритми. HTTP-заявките се пренасочват автоматично към HTTPS.

Достъпът до платформата Encrypta е строго контролиран на множество нива.

• Достъп само с покана: Регистрацията в Encrypta е възможна единствено чрез персонална покана. Не е налице публична самостоятелна регистрация, което ограничава рисковете от неоторизиран достъп.
• Двуфакторна автентикация (2FA): Всички потребители имат възможност да активират двуфакторна автентикация чрез приложение за удостоверяване (TOTP) или хардуерен ключ. Препоръчително е активирането на 2FA за всички акаунти.
• Изтичане на сесии: Сесиите изтичат автоматично след конфигурируем период на неактивност. Потребителите могат да преглеждат и прекратяват активните си сесии от настройките на акаунта.
• Управление на пароли: Потребителските пароли се съхраняват изключително като bcrypt хешове с подходящ work factor. Plaintext пароли никога не се съхраняват и не са достъпни за служителите на ПауърИТ Академия ЕООД.
• Управление на споделен достъп: Потребителите имат пълен контрол върху споделянето на файлове и папки, с възможност за задаване на права за четене, запис и изтичане на покани.

Инфраструктурата на Encrypta е изградена с акцент върху надеждност, достъпност и физическа защита.

• Местоположение на сървърите: Всички сървъри, обслужващи Encrypta, се намират в България, в сертифициран дата център с контролиран физически достъп, видеонаблюдение, резервно захранване и климатизация.
• Mirror резервни копия: Encrypta поддържа mirror резервни копия на съхраняваните данни с цел защита при хардуерен отказ. Резервните копия позволяват бързо възстановяване при повреда на носители.
• Криптирани архиви: Архивните копия са криптирани и се съхраняват по начин, предотвратяващ неоторизиран достъп.
• Мрежова сигурност: Инфраструктурата е защитена с firewalls, системи за предотвратяване на проникване (IPS) и сегментиране на мрежата.

ПауърИТ Академия ЕООД прилага строги вътрешни процедури за сигурност при ежедневната експлоатация на платформата.

• Принцип на минималните привилегии: Административният достъп до производствените системи е ограничен до минимален брой служители, всеки от които разполага само с правата, необходими за изпълнение на служебните му задължения.
• Редовни актуализации на сигурността: Операционните системи, приложният стек и всички зависимости се актуализират редовно. Критичните актуализации за сигурност се прилагат в приоритетен ред.
• Мониторинг 24/7: Системите на Encrypta са обект на непрекъснат автоматизиран мониторинг за аномалии, потенциални заплахи и производителност.
• Логове и одитна пътека: Поддържат се детайлни логове на системните събития и достъпа. Логовете се съхраняват по начин, предотвратяващ тяхното неоторизирано изтриване или модифициране.
• Политика за чисто бюро: Всички служители спазват политика за защита на поверителна информация и не съхраняват потребителски данни извън регламентираните системи.

При нарушение на сигурността ПауърИТ Академия ЕООД разполага с установена процедура за реагиране.

Стъпки при инцидент:

• Идентификация и ограничаване: Незабавно идентифициране на обхвата на инцидента и ограничаване на по-нататъшното разпространение.
• Оценка: Определяне на естеството на нарушението, засегнатите данни и потенциалния риск за потребителите.
• Уведомяване на КЗЛД: При наличие на риск — уведомяване в срок от 72 часа съгласно чл. 33 GDPR.
• Уведомяване на потребителите: При висок риск за правата и свободите — директно уведомяване на засегнатите потребители по имейл.
• Отстраняване: Прилагане на технически и организационни мерки за отстраняване на причините за инцидента.
• Преглед: Анализ след инцидента с цел предотвратяване на бъдещи подобни нарушения.

ПауърИТ Академия ЕООД приема сериозно сигнализирането за уязвимости в сигурността на платформата Encrypta. Ако сте открили потенциален проблем със сигурността, молим да следвате принципите на отговорното разкриване (Responsible Disclosure).

Процедура за отговорно разкриване:

• Изпратете подробно описание на уязвимостта на privacy@powerit.bg
• Включете стъпки за възпроизвеждане, засегнати компоненти и потенциален риск
• Дайте ни разумен срок за отстраняване преди публично разкриване
• Не извличайте, не модифицирайте и не изтривайте данни на трети страни
• Не извършвайте действия, надхвърлящи минималното необходимо за доказване на уязвимостта

Нашите ангажименти:

• Ще ви отговорим в рамките на 5 работни дни от получаване на сигнала
• Ще ви информираме за напредъка по отстраняването
• Ще признаем вашия принос (ако желаете) при публичното обявяване

ПауърИТ Академия ЕООД поддържа системни практики за одит и преглед на сигурността.

• Вътрешни прегледи: Редовни вътрешни прегледи на политиките, процедурите и конфигурацията за сигурност.
• Базиран на Nextcloud: Платформата Encrypta е изградена на основата на Nextcloud — водещо open source решение за облачно хранилище с активна общност за сигурност. Кодът на Nextcloud е публично достъпен и обект на независими одити от международната общност.
• GDPR съответствие: Обработването на лични данни се извършва в съответствие с Регламент (ЕС) 2016/679 (GDPR) и приложимото българско законодателство.
• Актуализация на политиките: Настоящата политика се преглежда и актуализира поне веднъж годишно или при настъпване на съществени промени в техническата инфраструктура или регулаторната среда.

Въпреки прилаганите технически мерки, потребителите следва да имат предвид следните ограничения.

• Zero Knowledge криптирането предпазва от достъп от страна на Encrypta, но потребителят е изцяло отговорен за опазването на своя ключ за криптиране.
• Никоя система за сигурност не е абсолютно непробиваема. При нарушение ще предприемем незабавни действия и ще уведомим засегнатите страни.
• Сигурността на устройствата на потребителя (компютър, телефон) е отговорност на самия потребител. Encrypta не може да компенсира компрометирано устройство.
• Потребителите се насърчават да поддържат собствени резервни копия на критично важни данни.

За всички въпроси, свързани с политиката за сигурност на Encrypta, уязвимости или нарушения на сигурността, можете да се свържете с нас на:

ПауърИТ Академия ЕООД
ЕИК: 207542347 | VAT: BG207542347
гр. Пловдив, бул. "6-ти септември" №74, ет.4, ап.16
Управител: Петър Христозов