תקני אבטחה במערכת Yeda
מאפייני אבטחה עיקריים:
יישום אמצעים אלו מדגיש את המחויבות הגבוהה להגנה על מידע, ותורם לשמירה על רמת אבטחה גבוהה כנגד איומים פוטנציאליים.
אבטחת תשתיות ושרתים
השרת שלנו מאוחסן בפלטפורמת Hetzner (Germany), המספקת רמת אבטחה גבוהה – הן פיזית והן ברמת הרשת. זה כולל אבטחת מרכזי נתונים, ספקי כוח חלופיים, ופתרונות להגנה מפני התקפות DDoS. כל שרת וירטואלי (Droplet) פועל בסביבה מבודדת, מה שמונע גישה בלתי מורשית לנתונים. מערכת ההפעלה היא Ubuntu. הגישה לשרת מתבצעת אך ורק באמצעות פרוטוקול SSH מאובטח עם אימות מבוסס מפתחות (Key-based authentication), לצמצום סיכוני פריצה באמצעות סיסמאות.
Hetzner מוסמכת לתקן SOC2, מה שמעיד על עמידה בסטנדרטים גבוהים של אבטחה – כולל בקרת גישה נוקשה, ביקורות תקופתיות ואמצעי הגנה על נתונים.
המערכת עושה שימוש ב־Web Application Firewall (WAF) ובמנגנוני הגנה מפני DDoS כדי להדוף ניסיונות גישה בלתי מורשים, למנוע התקפות Brute-force, ולחסום תעבורת רשת זדונית עוד לפני הגעתה לתשתית.
הצפנת מידע והגנה על רשת
העברת הנתונים בין המשתמשים לשרת מוצפנת באמצעות פרוטוקול SSL/TLS מתקדם, שמגן על התקשורת ומונע התקפות מסוג Man-in-the-Middle. תעודות SSL מתעדכנות באופן קבוע.
אבטחת בסיסי נתונים
המערכת משתמשת ב־PostgreSQL לאחסון נתונים. כל הנתונים מוצפנים גם בזמן תעבורה (TLS) וגם במצב מנוחה (at rest), מה שמונע גישה צד ג' למידע. PostgreSQL מוגדר עם מערכת הרשאות מבוססת תפקידים (Role-Based Access Control), כך שלכל משתמש מוענקות אך ורק ההרשאות ההכרחיות. הגישה למסד הנתונים אפשרית רק מ־localhost.
שימוש ב־Redis
Redis משמש כמאגר מטמון (Caching) וכמאיץ ביצועים למערכת. הגישה אליו מוגנת בסיסמה ומוגבלת לכתובות IP ספציפיות, למניעת גישה חיצונית לא מורשית. בנוסף, קיים גיבוי לגישה באמצעות רשת פנימית.
הפרדת רשתות ובקרת גישה
המערכת מיישמת הפרדה בין שירותים פנימיים לחיצוניים לצמצום פגיעות. שרת Nginx פתוח לגישה ציבורית, ואילו בסיסי הנתונים ורכיבים קריטיים נגישים רק דרך חיבורים פנימיים.
עדכונים שוטפים ותיקוני אבטחה
כל רכיבי התוכנה (LEMP stack, PostgreSQL, Redis) מתעדכנים לגרסאות היציבות והעדכניות ביותר. בנוסף, מתבצעים עדכוני אבטחה שוטפים וניטור מתמיד של התהליך. אנו פועלים לפי מדיניות ניהול פגיעויות (Vulnerability Management) הכוללת סריקות אוטומטיות, מעקב CVE והטמעת תיקונים מיידית עבור איומים חדשים.
ניהול גישה ואימות משתמשים
הגישה לתשתיות השרת מוגבלת באופן הדוק. מנהלים מאומתים באמצעות שני גורמי אימות (MFA). מדיניות ההרשאות מבוססת על עקרון Least Privilege – כלומר, גישה רק למה שנדרש לביצוע העבודה. כל פעולה קריטית מתועדת בלוגים מאובטחים, כולל ניסיונות התחברות, שינויי הרשאות, וגישה לנתונים רגישים.
פרטיות מידע ועמידה ב־GDPR
המערכת פועלת בהתאם לסטנדרטים של פרטיות מידע כולל עמידה ב־GDPR (כאשר רלוונטי). הגישה לנתונים אישיים מוגבלת, והנתונים נשמרים ומעובדים לפי עקרון המידתיות והמינימום הנדרש. מספרי אשראי אינם נשמרים בשום מקום.
גיבויים והתאוששות מאסון
המערכת מגבה באופן קבוע את כל המידע ומרכיבי המערכת. הגיבויים נשמרים במצב מוצפן וניתנים לשחזור במקרה של תקלה או אובדן נתונים. תהליך הגיבוי מבוצע אוטומטית באמצעות שירותי Hetzner (Germany).
מודעות והכשרת עובדים לאבטחת מידע
צוות האבטחה עובר הכשרות והסמכות תקופתיות בהתאם לאיומי סייבר ופרקטיקות עדכניות. כלל העובדים משתתפים בהכשרות מודעות לאבטחת מידע לפי תקני ISO 27001 ו־SOC2, כולל נושאים כגון מניעת פישינג, קידוד מאובטח, הגנה על מידע ותגובה לאירועים.
תגובה לאירועים וניטור איומים
המערכת מפעילה ניטור אבטחה רציף בזמן אמת באמצעות כלים אוטומטיים לזיהוי איומים וניתוח תקריות. בנוסף, מבוצעים מבדקי חדירה (Penetration Testing) והערכות פגיעות (Vulnerability Assessments) תקופתיים כדי לוודא שרמת האבטחה נשמרת.
אימות דו־שלבי (2FA)
המערכת תומכת באימות דו-שלבי (Two-Factor Authentication) כדי לשפר את האבטחה ולהגן על חשבונות המשתמשים. המשתמש יכול לבחור בין שתי שיטות אימות:
1. אימות מבוסס טלפון – קוד חד-פעמי נשלח למספר הטלפון הרשום של המשתמש.
2. אימות מבוסס מייל – הקוד נשלח לכתובת הדוא"ל של המשתמש.
כך ניתן לשלב נוחות עם אבטחה מרבית, ולהפחית משמעותית את הסיכון לגישה לא מורשית.
