Безопасность и конфиденциальность

Мы знаем, что вы доверили нам ценные данные, и очень серьезно относимся к их защите. Мы подробно рассмотрели наши методы обеспечения безопасности 🔒.

Безопасность данных

• Мониторинг доступа: Компания Notion включила протоколирование на всех критически важных системах. Журналы включают в себя журналы неудачных/неудачных операций, доступ к приложениям, изменения администратора и системные изменения. Журналы поступают в наше решение для контроля наблюдаемости и управления событиями инцидентов безопасности (SIEM) для регистрации и автоматического создания журналов/оповещений.
• Резервное копирование включено: Notion размещается в AWS и хранит данные клиентов с помощью комбинации баз данных. По умолчанию AWS предоставляет долговечную инфраструктуру для хранения важных данных, рассчитанную на долговечность 99,9% объектов. Автоматическое резервное копирование всех клиентских и системных данных включено, и резервное копирование данных осуществляется как минимум ежедневно. Резервные копии шифруются так же, как и рабочие данные, а также отслеживаются и оповещаются.
• Стирание данных: клиенты компании Notion являются контролерами своих данных. Каждый клиент несет ответственность за информацию, которую он создает, использует, хранит, обрабатывает и уничтожает. Клиенты Notion имеют возможность запрашивать удаление данных или самостоятельно удалять их, если на данные не распространяются нормативные или юридические требования по срокам хранения. Более подробная информация содержится в нашей Политике конфиденциальности и Дополнении по обработке данных.
• Шифрование в состоянии покоя: Данные клиента шифруются в состоянии покоя с использованием алгоритма AES-256. Данные клиента шифруются при нахождении во внутренних сетях компании Notion, в состоянии покоя в облачном хранилище, таблицах баз данных и резервных копиях.
• Шифрование в пути: Данные, передаваемые транзитом, шифруются с использованием TLS 1.2 или выше.
• Физическая безопасность: Компания Notion использует Amazon Web Services (AWS) для размещения наших приложений, поэтому все меры по обеспечению физической безопасности центра обработки данных передаются ей. Ознакомьтесь с правилами физической безопасности AWS здесь.

Безопасность приложений

• Ответственное раскрытие информации: компания Notion поддерживает программу “bug bounty”. Пожалуйста, ознакомьтесь с нашей политикой ответственного раскрытия информации.
• Анализ кода: Команды безопасности и разработки компании Notion проводят моделирование угроз и анализ безопасного дизайна новых релизов и обновлений. После завершения работы над кодом при запуске значимых функций мы проводим аудит кода, обзор кода и сканирование безопасности нашей кодовой базы.
• Жизненный цикл разработки программного обеспечения (SDLC): Для обеспечения безопасности написания кода компания Notion использует определенный SDLC. На этапе проектирования для новых релизов и обновлений проводится моделирование угроз безопасности и анализ защищенного дизайна. После завершения работы над кодом при запуске значимых функций мы проводим аудит кода, сотрудничаем с компаниями-поставщиками или проводим внутренние тесты на проникновение, а также сканируем кодовую базу на предмет безопасности. После запуска мы проводим конкурс на выявление ошибок и реализуем программу управления уязвимостями для решения серьезных проблем безопасности.
• Управление учетными данными: Компания Notion использует сторонний сервис управления ключами (Key Management Services, KMS), который автоматически управляет генерацией ключей, контролем доступа, безопасным хранением, резервным копированием и ротацией ключей. Криптографические ключи назначаются определенным ролям на основе наименьших привилегий доступа, и ключи автоматически ротируются раз в год. Использование ключей контролируется и протоколируется.
• Управление уязвимостями и исправлениями: Компания Notion постоянно проводит сканирование уязвимостей и мониторинг пакетов на всех узлах, связанных с инфраструктурой, а также на продуктах компании. Регулярно выполняется исправление внешних и внутренних сервисов. Любые обнаруженные проблемы рассматриваются и устраняются в зависимости от степени их серьезности в среде Notion.
• Брандмауэр веб-приложений (WAF): Все публичные конечные точки используют управляемый брандмауэр Web Application Firewall для предотвращения попыток использования распространенных уязвимостей.

Профиль безопасности

• Уровень доступа к данным: Внутренний (т.е. сотрудники компании Notion будут иметь доступ к вашим данным только для устранения проблем или восстановления контента от вашего имени). )
• Зависимость от третьих лиц: Да – пожалуйста, ознакомьтесь с нашим списком субпроцессоров здесь.
• Хостинг: Notion размещается на одном из основных провайдеров облачных услуг Amazon Web Services (AWS).
• Время восстановления: По оценкам, 2 часа
• Цель по точке восстановления: 24 часа

Корпоративная безопасность

• Обучение сотрудников: Обучение по вопросам безопасности должно проводиться при приеме сотрудника на работу и в дальнейшем ежегодно. Сотрудники также должны ознакомиться с Кодексом поведения и политикой безопасности компании Notion и подтвердить свое согласие с ними.
• Кадровая безопасность: Компания Notion проводит проверку биографических данных сотрудников при приеме на работу в соответствии с местными законами и правилами.
• Реагирование на инциденты: В компании Notion имеется план управления инцидентами, содержащий шаги по подготовке, идентификации, локализации, расследованию, ликвидации, восстановлению и последующему контролю/постмортему, который пересматривается и проверяется не реже одного раза в год.
• Внутренние оценки: Внутренние аудиты безопасности проводятся в компании Notion не реже одного раза в год.
• Внутренняя SSO: для всех сотрудников компании Notion требуется многофакторная аутентификация (MFA) для входа в систему провайдера идентификации Notion.

Управление доступом

• Доступ к данным: Внутри компании Notion используется принцип наименьших привилегий для доступа. Доступ предоставляется в зависимости от должностных обязанностей, требований бизнеса и необходимости получения информации. С определенной периодичностью проводятся проверки доступа, чтобы убедиться, что доступ к критическим системам по-прежнему необходим.
• Ведение журналов: Компания Notion использует решение SIEM для сбора журналов и автоматической регистрации/оповещения. Журналы поступают из критически важных систем, а правила оповещения используются для того, чтобы оповещения о событиях безопасности генерировались по мере необходимости.
• Защита паролей: Notion требует, чтобы MFA была включена для всех систем, предоставляющих возможность MFA.) Если такое делегирование невозможно, компания Notion поддерживает строгую внутреннюю политику управления паролями, включая сложность и длину.

Инфраструктура

• Анти-DDoS: Notion использует сторонние приложения для защиты от DDoS-атак.
• Центр обработки данных: Notion размещается на сервере AWS, который обеспечивает физическую безопасность центров обработки данных. Ознакомьтесь с документацией по безопасности AWS здесь.
• Инфраструктурная безопасность: Инфраструктура компании Notion размещена в полностью резервированной защищенной среде. Данные клиентов Notion размещаются в AWS. AWS поддерживает список отчетов, сертификатов и оценок третьих сторон для обеспечения наилучших практик безопасности. Более подробную информацию о соответствии AWS нормативным требованиям можно найти здесь.
  Инфраструктура AWS размещается в контролируемых компанией Amazon дата-центрах по всему миру, а сами дата-центры защищены различными средствами физического контроля для предотвращения несанкционированного доступа. Более подробную информацию о центрах обработки данных AWS и средствах контроля их безопасности можно найти здесь.
• Отдельная производственная среда: Данные клиентов никогда не хранятся в непроизводственных средах. Учетные записи клиентов логически разделены в нашей производственной среде. У нас есть отдельные среды разработки, тестирования и производства.

Безопасность конечных точек

• Шифрование дисков: На ноутбуках сотрудников включено шифрование дисков для защиты
• Обнаружение и реагирование на конечные точки: На всех конечных точках установлено программное обеспечение для обнаружения. Кроме того, компания Notion внедрила множество средств контроля безопасности для обеспечения защиты данных и решений заказчика. Эти средства обеспечивают постоянную видимость того, что делают наши конечные точки, позволяют быстро обнаруживать и реагировать на любые несанкционированные действия или угрозы, а также регистрировать и применять средства контроля.
• Управление мобильными устройствами: Управление устройствами сотрудников и их программной конфигурацией осуществляется удаленно сотрудниками ИТ-службы и службы безопасности с помощью программного обеспечения MDM.
• Обнаружение угроз: Для обнаружения угроз компания Notion использует программное обеспечение для защиты конечных точек сторонних производителей. Программное обеспечение обнаруживает вторжения, вредоносные программы и вредоносные действия на конечных точках и помогает быстро реагировать на них для устранения и смягчения угроз.

Безопасность сети

• Межсетевой экран: В офисных сетях компании Notion установлен сетевой брандмауэр. Сетевые сервисы с WAN-доступом не должны размещаться в офисной среде.
• IDS/IPS: В компании Notion используется комплекс сетевых и хостовых систем типа IDS/IPS в рамках более широкого подхода к обеспечению безопасности организации. Это включает в себя мониторинг подозрительной активности с помощью комбинации сигнатурных и аномальных методов обнаружения.
• Управление информацией и событиями безопасности (SIEM): Для управления инцидентами и событиями в компании Notion используется решение SIEM. Уведомления о событиях передаются сотрудникам службы безопасности в режиме реального времени.
• Безопасность беспроводных сетей: В офисах компании Notion используется надежное шифрование для офисных беспроводных сетей. Компания Notion не поддерживает беспроводные сети, влияющие на данные клиентов или производственные системы.

Средства защиты продукции

• Управление доменами: Под доменом понимается домен адреса электронной почты, связанный с учетной записью Notion. Проверка домена позволяет владельцам рабочих пространств заявить о праве собственности на домен, что разблокирует настройки управления доменом.
• SAML Single Sign-On (SSO): Система Notion обеспечивает единый вход в систему (SSO) для бизнес и корпоративных клиентов, позволяя им получать доступ к приложению через единый источник аутентификации.
• SCIM Провизионирование и аннулирование: Рабочее пространство Notion работает со стандартом API Система управления междоменными идентификационными данными (SCIM).
• Журнал аудита: Notion предоставляет владельцам Workspace доступ к подробной информации о действиях, связанных с безопасностью и защитой. Это позволяет выявлять потенциальные проблемы безопасности, расследовать подозрительное поведение и устранять неполадки с доступом.
• 2FA (MFA): Компания Notion предоставляет возможность двухэтапной верификации для дополнительного уровня защиты учетной записи Notion. Эта функция доступна для всех типов тарифных планов и легко настраивается в настройках учетной записи.
• Управление разрешениями: Notion позволяет владельцам контролировать уровни разрешений, чтобы гарантировать, что пользователи будут просматривать и взаимодействовать с вашим контентом именно так, как вы этого хотите.
• Управление командными пространствами: Владельцы рабочих пространств могут получить обзор всех командных пространств в рабочем пространстве, изменить их настройки и получить доступ к дополнительным инструментам управления.