Сегодня мы хотели бы рассказать Вам, какие меры принимает TeamLab, чтобы гарантировать безопасность данных на Вашем портале, и дать некоторые рекомендации относительно того, как обеспечить безопасность данных самым эффективным способом.

Как мы делаем TeamLab надежным и безопасным

Мы предотвращаем такие угрозы безопасности персональных данных и всего содержимого портала, как кражи cookie-файлов аутентификации посредством межсайтового скриптинга, внедрение SQL-кода, подделка межсайтовых запросов и другие типы угроз следующими методами:

  • разрешая доступ к порталу только по HTTP с SSL-шифрованием (Secure Sockets Layer — уровень защищенных сокетов) для предотвращения атак «человек посередине». Это не позволяет третьим лицам вмешиваться в сессию и получать конфиденциальную информацию;
  • используя cookie-файлы аутентификации с атрибутом HttpOnly и привязывая их к IP-адресу пользователя портала для предотвращения краж cookie-файлов;
  • проведя ряд независимых тестов с целью выявления возможных уязвимостей, чтобы убедиться, что порталы TeamLab отвечают самым современным требованиям безопасности и устойчивы к возможным хакерским атакам;
  • позволяя только самому пользователю изменять свой пароль с помощью специальной ссылки, отправленной на зарегистрированный адрес электронной почты. TeamLab не отправляет пароли по электронной почте и не предоставляет администратору соответствующих прав;
  • предоставляя полномочия на создание резервной копии только владельцу портала, чтобы избежать возможных утечек приватных данных.

На что Вам следует обратить внимание

Убедитесь, что Вы, как администратор, задали все настройки портала в полном соответствии с требованиями безопасности. Особое внимание уделите следующим параметрам:

  • Настройки доверенных почтовых доменов. Они позволяют Вам указать почтовые серверы, которые могут использовать пользователи при самостоятельной регистрации в TeamLab. По умолчанию эта возможность отключена. Но, если Вы выберете опцию Любые домены, пожалуйста, обратите внимание, что любой человек, которому известен адрес портала, сможет зарегистрироваться, щелкнув по ссылке «Присоединиться» на главной странице и введя адрес электронной почты. Опция Пользовательские домены позволяет указать почтовые серверы, которым Вы доверяете, например, ваш корпоративный домен. Таким образом, если на Вашем портале содержится очень важная частная или корпоративная информация, убедитесь, что настройки доверенных почтовых доменов отключены, и используйте только пригласительную ссылку для добавления людей на портал. Эту ссылку можно вставить в электронное письмо и отправить тем, кого еще нет на портале, чтобы они могли к нему присоединиться. Ссылка действительна в течение 3 дней.
  • Настройки надежности пароля. Воспользуйтесь ими, чтобы определить надежность пароля при сопротивлении угадыванию и прямому подбору. Используйте ползунок Минимальная длина пароля, чтобы установить, насколько длинным должен быть пароль, чтобы считаться надежным. Установите соответствующие флажки ниже, чтобы определить, какой набор символов должен использоваться в пароле.

При загрузке файлов на портал, пожалуйста, обратите внимание на следующее:

  • изображения, добавленные в блоги, события, обсуждения в Проектах и комментарии могут быть доступны по прямой ссылке без аутентификации;
  • прямые ссылки на прикрепленные файлы в форумах, wiki-файлы и изображения в разделе Фото являются временными и действительны для неавторизованного доступа только в течение 15 минут после публикации на портале;
  • ссылки на файлы, сохраненные в модулях Проекты, Документы и CRM, доступны только для авторизованного использования и только для пользователей обладающих соответствующими правами.