Bezpieczeństwo i zgodność

Przestrzegamy rygorystycznych procedur i międzynarodowych standardów, aby zapewnić bezpieczeństwo, ciągłość i integralność naszych systemów oraz oprogramowania. Nasze procesy są zgodne z normą ISO 27001 oraz modelem Secure Development Lifecycle (SDLC).

Certyfikat ISO 27001 SMSEagle

SMSEagle posiada certyfikat ISO 27001, uznawany na całym świecie standard dla systemów zarządzania bezpieczeństwem informacji (SZBI). Certyfikat ten potwierdza nasze zaangażowanie w systematyczne zarządzanie i ochronę poufnych informacji związanych z rozwojem, obsługą i dostawą naszych sprzętowych bramek SMS i powiązanego oprogramowania. Zapewnia on, że przestrzegamy rygorystycznej kontroli i praktyk, stale poprawiając naszą postawę w zakresie bezpieczeństwa informacji, zarówno w aspektach fizycznych, jak i cyfrowych.

Bezpieczny Cykl Życia Produktu (SDLC)

Bezpieczny Cykl Życia Rozwoju (SDLC) zwiększa bezpieczeństwo na każdym etapie tworzenia rozwiązań SMSEagle. Obejmuje zarówno komponenty sprzętowe, jak i programowe, począwszy od ich projektu, aż po wdrożenie. SDCL odnosi się do bezpiecznego projektowania sprzętu, tworzenia oprogramowania z wykorzystaniem praktyk bezpiecznego kodowania oraz rygorystycznego testowania systemu.

Testy bezpieczeństwa

Statyczne testowanie bezpieczeństwa aplikacji (SAST)

Regularnie skanujemy nasz kod za pomocą narzędzi SAST, aby wykryć luki w zabezpieczeniach najszybciej jak to możliwe.

Analiza składu oprogramowania (SCA)

Analizujemy komponenty firm zewnętrznych i oprogramowania typu open source w celu wykrycia znanych luk w zabezpieczeniach. Dzięki temu zapewniamy bezpieczeństwo i aktualność naszego oprogramowania.

Testy automatyczne i ręczne

Testowanie bezpieczeństwa opiera się zarówno o zautomatyzowane narzędzia oraz ręczne przeglądy przeprowadzane przez ekspertów, co pozwala wykryć potencjalne zagrożenia i słabości.

Zewnętrzne testy penetracyjne

Niezależni specjaliści ds. bezpieczeństwa regularnie przeprowadzają testy penetracyjne, aby ocenić skuteczność naszych zabezpieczeń z perspektywy atakującego.

Modelowanie zagrożeń

Aby zapobiegać atakom, analizujemy potencjalne słabości i budujemy nasze systemy w oparciu o bezpieczną architekturę, kierując się modelowaniem zagrożeń.

Przeglądy kodu

Zanim jakikolwiek kod zostanie oddany na produkcję, pracownicy dokonują jego przeglądu, aby potwierdzić, że spełnia on najlepsze praktyki bezpieczeństwa, a także wykryć potencjalne luki w zabezpieczeniach.

Zarządzanie lukami w zabezpieczeniach i reagowanie na incydenty

Naszym najwyższym priorytetem jest ochrona bezpieczeństwa naszych klientów. Skuteczna komunikacja jest kluczowa dla naszych działań w zakresie cyberbezpieczeństwa, dlatego prosimy grupy badawcze i osoby prywatne o odpowiedzialne informowanie naszego zespołu o wszelkich potencjalnych problemach z bezpieczeństwem w naszych produktach. Po przesłaniu informacji potwierdzenie otrzymania zgłoszenia otrzymasz w ciągu 3 dni roboczych. Będziemy informować o stanie zgłoszenia do momentu jego rozwiązania.

Wszelkie luki i incydenty są rejestrowane, śledzone i priorytetyzowane.

Wszystkie zgłaszane problemy są systematycznie rejestrowane, oceniane pod kątem powagi i rozwiązywane na podstawie potencjalnego wpływu, aby zapewnić terminowe rozwiązanie.

Cały kod źródłowy podlega kontroli wersji.

Zachowujemy ścisłą kontrolę wersji naszej bazy kodu, aby zagwarantować możliwość śledzenia jej, ułatwić bezpieczne praktyki programistyczne i pomóc w skutecznym rozwiązywaniu problemów.

Poprawki zabezpieczeń są opracowywane i wdrażane priorytetowo.

W przypadku zidentyfikowania luk w zabezpieczeniach opracowujemy i wdrażamy poprawkę priorytetowo, aby zminimalizować ryzyko i zapewnić użytkownikom ochronę tak szybko, jak to możliwe.

Scenariusze reagowania są wstępnie zdefiniowane i przetestowane.

Nasz zespół stosuje sprawdzone protokoły reagowania na różne typy incydentów, co pozwala nam działać szybko i skutecznie w przypadku wystąpienia zagrożeń bezpieczeństwa.

Dokumentacja incydentów

Dokumentacja incydentów jest aktualizowana zarówno w formie wewnętrznej (zorientowanej na architekturę), jak i zewnętrznej (zorientowanej na użytkownika). Każdy incydent bezpieczeństwa jest szczegółowo dokumentowany, aby wspierać analizę przyczyn źródłowych, dzielenie się wiedzą i ciągłe doskonalenie naszego poziomu bezpieczeństwa.

Komunikaty bezpieczeństwa SMSEagle

Create Date	Title	Level	Affected Devices	CVE-ID(s)
2024-08-21	Resolved XSS in SMSEagle software (CVE-2024-37392)	High	All	CVE-2024-37392
2024-06-03	regreSSHion: RCE in OpenSSH’s server	High	MHD-8100-4G Rev.1.1	CVE-2024-6387
2021-12-14	SMSEagle devices not affected by log4j/log4shell vulnerabilities	Informational	–	CVE-2021-44228
2018-01-10	Spectre & Meltdown – SMSEagles are not vulnerable	Informational	–	CVE-2017-5715, CVE-2017-5753, CVE-2017-5754

Aktualizacje oprogramowania

Naszym celem jest zapewnienie najwyższego poziomu bezpieczeństwa urządzeń poprzez dostarczanie regularnych aktualizacji oprogramowania. Obejmują one poprawki, które nie tylko poprawiają funkcjonalność naszych produktów, ale także wspierają ich bezpieczeństwo. Dzięki aktualizowaniu urządzeń za pomocą naszego najnowszego oprogramowania możesz cieszyć się płynniejszym działaniem i dostępem do nowych funkcjonalności.

Dodatkowe ustawienia bezpieczeństwa

Urządzenia SMSEagle są zaprojektowane tak, aby spełniać najwyższe standardy bezpieczeństwa zarówno na poziomie aplikacji jak i systemu. Domyślne ustawienia urządzenia zapewniają równowagę między elastycznością a bezpieczeństwem, jednak jeśli chcesz rozszerzyć swoją domyślną konfigurację o dodatkowe środki bezpieczeństwa, skorzystaj z poniższego przewodnika.