Biztonság a Phi rendszereiben
Hogyan védjük ügyfeleink adatait modern kiberbiztonsági megoldásokkal
A kiberfenyegetések folyamatos bővülése miatt a biztonság nem utólagos, kiegészítő feladat, hanem a fejlesztési életciklus szerves része.
Bár csapatunk már az első sor kód megírása előtt is kiemelt figyelmet fordít a biztonságra, ugyanakkor tisztában vagyunk vele, hogy még a legnagyobb felkészültséggel sem lennénk képesek minden lehetséges sebezhetőséget a saját erőnkből felderíteni. Éppen ezért alkalmazásainkat rendszeresen vizsgálják külső partnereink, kifejezetten erre specializálódott kiberbiztonsági cégek bevonásával. Ezek az átfogó sérülékenységvizsgálatok és behatolástesztelések (pentestek) segítenek abban, hogy az esetleges kockázatokat időben azonosítsuk és kezeljük, még az új rendszerek élesítése vagy frissítése előtt.
Jelenleg a védelmet számos bevált, iparági szinten is elfogadott biztonsági megoldás is biztosítja. Ilyen például a CORS megfelelő konfigurálása, amely megakadályozza az illetéktelen forrásokból érkező kéréseket, vagy a JWT-alapú hitelesítés és szűrés, amely biztosítja, hogy egy üzenet tartalma nem módosult az átvitel során. A tartalombiztonsági irányelvek használatával csökkentjük a rosszindulatú szkriptek futtatásának (XSS) kockázatát, és a szanitizált bemenetek (például Excel-alapú importok esetén) megakadályozzák a káros tartalmak bevitelét.
A legbiztosabbak úgy lehetünk, ha a gyökerében kezeljük a problémát, ezért már alkalmazásaink elérését is megnehezítjük egy potenciális támadónak. Felhasználóink számára opcionálisan kétfaktoros hitelesítést is biztosítunk, egyszer használatos jelszavakkal növelve a fiókbiztonságot. Mobilalkalmazásunk elérése szintén szigorú feltételekhez kötött: csak akkor elérhető, ha partnerünk belső hálózatán, webalkalmazásunk segítségével generált QR-kódot használnak. Felhős megoldásaink esetében pedig a hozzáférés kizárólag az előre megadott IP-címekről engedélyezett.
Természetesen a fenti lista nem teljes. Tudatosan nem osztunk meg minden részletet, hiszen a hatékony védelem része az is, hogy nem tárjuk fel az összes belső megoldásunkat.