תקני אבטחה במערכת Yeda

המערכת משלבת אמצעי אבטחה חזקים כדי להגן על נתוני המשתמשים ולמנוע התקפות רשת נפוצות.

תכונות אבטחה מרכזיות:

  • הגנה באמצעות אסימון CSRF
    הטפסים במערכת משתמשים באסימוני CSRF כדי למנוע התקפות זיוף בקשות בין-אתרים (Cross-Site Request Forgery). זה מבטיח שרק בקשות לגיטימיות ממשתמשים מורשים יטופלו.
  • אימות נתונים
    ל נתוני הטפסים עוברים תהליך קפדני של אימות כדי לוודא את גודלם וסוגם המתאימים. זה מסייע במניעת קלט זדוני שעלול לפגוע בשלמות המערכת.
  • מניעת הזרקות SQL
    לפני שמירת נתונים במסד הנתונים, הם עוברים שכבת הגנה נוספת כדי למנוע התקפות הזרקת SQL. זה מבטיח שלא ניתן יהיה להריץ קוד זדוני בתוך שאילתות SQL.

יישום אמצעי אבטחה אלה מדגיש את המחויבות הגבוהה להגנה על נתונים ותורם לשמירה על רמת האבטחה של המערכת מפני איומים פוטנציאליים.

אבטחת מידע, נתונים במסד הנתונים, הגנת פרטיות ועוד

תשתית המערכת ורמת האבטחה:

  1. אבטחת תשתיות ושרתים
    השרת שלנו מתארח בפלטפורמת DigitalOcean, המספקת רמת אבטחה גבוהה פיזית ורשתית. זה כולל הגנה על מרכזי הנתונים, אספקת חשמל חלופית ופתרונות למניעת התקפות DDoS. כל שרת וירטואלי (Droplet) פועל בסביבה מבודדת, המונעת גישה לא מורשית לנתונים. מערכת ההפעלה היא Ubuntu. הגישה לשרת מתבצעת אך ורק דרך פרוטוקול SSH מאובטח עם אימות מבוסס מפתח, מה שמפחית את הסיכון לפריצות סיסמאות.
  2. הצפנת נתונים והגנת רשת
    כדי להגן על נתונים המועברים בין המשתמשים לשרת, אנו משתמשים בפרוטוקול SSL/TLS המתקדם, המבטיח אינטראקציות מאובטחות ומגן מפני התקפות "אדם באמצע" (Man-in-the-Middle). תעודות SSL מתעדכנות בזמן כדי להבטיח אבטחה מתמשכת.
  3. אבטחת מסד הנתונים
    אנו משתמשים ב-PostgreSQL לאחסון נתונים. כל הנתונים מוצפנים הן בשלב ההעברה (TLS) והן בשלב האחסון, מה שמונע גישה של צד שלישי למידע. PostgreSQL מוגדרת עם מערכת בקרת גישה מבוססת תפקידים, כאשר לכל משתמש מוקצות ההרשאות המינימליות הדרושות לביצוע תפקידיו. גישה אפשרית רק דרך localhost.
  4. שימוש ב-Redis
    Redis משמש לאחסון מטמון ולהאצת פעולת המערכת. הגישה ל-Redis מוגנת בסיסמאות ומוגבלת לכתובות IP ספציפיות, מה שמונע גישה לא מורשית מבחוץ. בנוסף, הגבנו את הגישה ל-Redis דרך חיבורים רשתיים פנימיים.
  5. הפרדת רשת ובקרת גישה
    הפרדת הרשת מבטיחה הפרדה בין שירותים חיצוניים ופנימיים, וממזערת נקודות תורפה פוטנציאליות. שרת הווב Nginx פתוח לגישה ציבורית, בעוד שמסדי הנתונים ורכיבים קריטיים אחרים של המערכת נגישים רק דרך חיבורים פנימיים.
  6. עדכונים שוטפים ותיקוני אבטחה
    כל רכיבי התוכנה (ערימת LEMP, PostgreSQL, Redis) מתעדכנים לגרסאות היציבות האחרונות. זה מאפשר לטפל בפגיעויות מוכרות ולשמור על רמת אבטחה מעודכנת. אנו מעדכנים באופן שוטף את כל תיקוני האבטחה ועוקבים אחר התהליך בקפידה.
  7. ניהול גישה ואימות
    הגישה לתשתית השרתים מוגבלת בקפידה. לאדמיניסטרטורים מופעלת אימות דו-שלבית (MFA), המוסיפה שכבת הגנה נוספת. כל מדיניות הגישה הפנימית מבוססת על עקרון ההרשאות המינימליות, כלומר משתמשים מקבלים גישה רק למשאבים הדרושים להם לצורך עבודתם.
  8. פרטיות נתונים והתאמה לתקנות GDPR
    אנו מקפידים על כל התקנים והדרישות הנוגעים לפרטיות נתונים, כולל התאמה לתקנות GDPR (אם ישים). הגישה לנתונים אישיים מוגבלת, וכל הנתונים נשמרים ומעובדים בהתאם לעקרונות המינימליות והצורך. מספרי כרטיסי אשראי אינם נשמרים בשום מקום.
  9. גיבוי ושחזור
    אנו מבצעים גיבויים שוטפים של הנתונים ושל כל המערכת. הגיבויים נשמרים במצב מוצפן וניתן לשחזרם במקרה של תקלות או אובדן נתונים. זה מבטיח עמידות המערכת בפני כשלים ומונע אובדן מידע. תהליך הגיבוי מתבצע אוטומטית באמצעות שירותי DigitalOcean.

אימות דו-שלבי (2FA)

האתר מציע אימות דו-שלבי (2FA) לשיפור האבטחה והגנה על חשבונות המשתמשים. משתמשים יכולים לבחור בין שתי שיטות: אימות מבוסס טלפון ואימות מבוסס דוא"ל. באימות מבוסס טלפון, קוד אימות ייחודי נשלח למספר הטלפון הנרשם של המשתמש, מה שמבטיח שרק בעל החשבון יכול לגשת אליו. לחלופין, באימות מבוסס דוא"ל, הקוד נשלח לכתובת הדוא"ל של המשתמש, מה שמספק שכבת אבטחה נוספת. מערכת האימות הדו-שלבי מאפשרת למשתמשים לבחור את השיטה הנוחה והמאובטחת ביותר עבורם, ומפחיתה משמעותית את הסיכון לגישה לא מורשית.

הפקת קורס דיגיטלי

רוצה להפיק קורס דיגיטלי ולהנות מליווי צמוד לאורך כל הדרך? השאירו פרטים ונחזור עליכם בהקדם!