Конфиденциальность, технические характеристики и безопасность DigitalSafe

Защита инф.

Работа сервиса DigitalSafe полностью соответствует следующим правовым актам:

  • Швейцарский Федеральный закон о защите информации (FADP),
  • Закон о защите информации и неприкосновенности частной жизни (FOIPPA),
  • Акт о передаче и подотчетности личной информации (PIPEDA),
  • Акт о передаче и подотчетности медицинского страхования (HIPPA),
  • Стандарты безопасности данных в сфере платежных карт (PCI-DSS).
  • Все данные хранятся в Швейцарии!
  • Швейцарская безопасность и конфиденциальность гарантированы на 100 %!

Технические характеристики

Системная поддержка

DigitalSafe работает с любыми операционными системами и оборудованием, поддерживающими следующие интернет-браузеры:

  • Internet Explorer 7 и новее
  • Firefox 3 и новее
  • Safari 4 и новее
  • Chrome 4 и новее

В число поддерживаемых операционных систем (32bit and 64bit), помимо прочих, входят следующие:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Mac OS X
  • Linux
  • FreeBSD

Инфраструктура центра обработки данных

Оборудование, соответствующее стандартам безопасности платежных карт (PCI-DSS), включает в себя:

  • Мониторинг всех серверов, сетевых устройств и цифровых сред третьей стороной в режиме реального времени
  • Полностью зарезервированные серверы веб-приложения с полноценной системой восстановления после отказа
  • Полностью зарезервированные серверы баз данных с полноценной системой восстановления после отказа
  • Сетевые соединения с системой отказоустойчивости
  • Биометрический доступ ко всей аппаратуре
  • Камеры с системой обнаружения движения
  • Полностью автоматическая система резервного копирования позволяет быстро восстановить данные в случае (маловероятного) отказа
  • Надежный и экологичный центр обработки данных расположен в Швейцарии и работает на 100 % экологически чистой энергии
  • Проверка анкетных данных всех сотрудников (включая руководителей)
  • Все данные хранятся в трехуровневом центре обработки данных в Швейцарии.
  • Прошел сертификацию СЖС по стандарту ISO 9001:2000
  • Центр обработки данных соответствует требованиям политики безопасности Федеральной банковской комиссии Швейцарии (SFB)
  • SLA на 99,999 %
  • Полная швейцарская конфиденциальность и безопасность гарантированы!

Шифрование

В DigitalSafe все данные, включая аутентификационную информацию пользователей, передаются по Интернету и хранятся на серверах в зашифрованном виде.

Все подключения пользователей к нашим серверам защищены 2048-битным SSL-шифрованием.

Пароли

Пароли шифруются по алгоритму bcrypt. Блокирование учетной записи после определенного числа неудачных попыток входа помогает бороться с грубым подбором пароля. Подбор пароля по времени невозможен благодаря самой природе шифрования по алгоритму bcrypt.

Если на компьютере никто не работает, через определенное время браузер переходит на страницу входа в систему.

Примечания

Записи хранятся на сервере в зашифрованном виде. Они шифруются по алгоритму AES-256, а ключ шифрования хранится на отдельном сервере, к которому нельзя получить доступ через Интернет.

Для максимальной безопасности и конфиденциальности пользователи могут выбрать свой пароль для шифрования данных. В таком случае расшифровать личные данные пользователя без пароля будет невозможно. Расшифровать их не сможет даже персонал DigitalSafe.

Это также означает, что пароль невозможно будет сменить, и если вы его потеряете, данные будут безвозвратно утрачены.

Физическая безопасность

Безопасное веб-приложение DigitalSafe хранит информацию в хранилище данных мирового класса, которое знаменито тем, что соответствует всем стандартам и требованиям контроля качества и расположено в Швейцарии. В DigitalSafe есть всё для обеспечения работы сервера 24 часа в сутки семь дней в неделю даже при отключении электроэнергии и крупных природных катастрофах.

Эти помещения мирового уровня были специально разработаны для наших целей и имеют систему фальшполов, отопления, вентиляции и терморегулирования с раздельными зонами охлаждения и сейсмоустойчивыми кронштейнами. В них установлен целый ряд систем обеспечения физической безопасности: современные системы обнаружения дыма и пожаротушения, датчики движения, защищенный доступ в режиме 24 X 7, видеонаблюдение и сигнализация.

Сетевая безопасность

В соответствии со стандартами безопасности данных в сфере платежных карт (PCI DSS) постоянный мониторинг нашей сетевой инфраструктуры на предмет известных угроз приложению и сервисам ведет третья сторона. Кроме того, непосредственно на месте работы мы проводим ежегодную проверку всех аспектов системы: от обновления ПО до размещения оборудования, от правил внутреннего распорядка до управления паролями. Проверка длится несколько дней. Чтобы поддерживать надлежащий уровень работы, команда DigitalSafe должна соответствовать более чем 200 критериям и требованиям.

Соответствие требованиям безопасности для открытого веб-приложения

DigitalSafe создавалась в соответствии с принципами Проекта по обеспечению безопасности открытых веб-приложений (OWASP), и все разработчики проходят обучение по этим принципам. В соответствии со стандартами безопасности данных в сфере платежных карт разработчики DigitalSafe работают над нейтрализацией первых десяти угроз OWASP.

Соответствие закону США о противодействии терроризму

DigitalSafe гордится тем, что хранит ваши данные в политически и экономически стабильной стране, соблюдающей нейтралитет — в Швейцарии. Швейцария не подчиняется требованиям закона США о противодействии терроризму. Благодаря этому ваши данные надежно защищены от конкурентов, а также организаций и лиц, которые могли бы нарушить их конфиденциальность или похитить важную информацию в личных целях.

Мы собрали несколько ссылок и выдержек, чтобы вы могли разобраться, что из себя представляет закон США о противодействии терроризму. У компании DigitalSafe нет серверов в США. ВСЕ наши серверы находятся в Швейцарии, и наши цифровые хранилища работают там же.

Влияние Закона США о противодействии терроризму на бизнес:

(Информация взята из разных источников. Приведены ссылки для всех разделов)

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Закон США о противодействии терроризму (широко известный как Патриотический акт) был принят Конгрессом США и подписан президентом Дж. В. Бушем 26 октября 2001 года. Название закона на английском языке представляет собой аббревиатуру, которая расшифровывается как «Закон США об объединении и укреплении Америки путем предоставления необходимых инструментов для пресечения и препятствования терроризму от 2001 года».

Данный закон значительно расширил полномочия правоохранительных органов в плане отслеживания телефонных разговоров, электронной переписки, медицинских, финансовых и других данных; снял ограничения на сбор разведданных на территории США; расширил полномочия министерства финансов в сфере регулирования финансовых операций, в особенности в отношении тех операций, которых участвуют иностранные лица и организации; предоставил свободу действий правоохранительным и миграционным органам в сфере задержания и депортации мигрантов, подозреваемых в связях с террористами. Данный закон также расширил определение терроризма, в которое стал включаться также «внутренний терроризм», что привело к увеличению числа деяний, за которые может грозить судебное преследование по закону США о противодействии терроризму.

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Раздел II: Процедуры наблюдения

Основная статья: Закон США о противодействии терроризму, раздел II

Раздел II озаглавлен «Процедуры усиленного наблюдения». В нем описаны все аспекты наблюдения за подозреваемыми в терроризме и интернет-аферах, а также иностранными агентами, вовлеченными в незаконную деятельность. В первую очередь, этот акт дополняет Закон о надзоре за иностранными разведками (FISA) и Закон о защите электронных средств связи (ECPA). Кроме того, многие из наиболее противоречивых аспектов Закона США о противодействии терроризму изложены именно в этом разделе. В частности, указанный раздел разрешает правительственным службам собирать «данные об иностранных разведках» как у граждан США, так и у иностранных граждан. Согласно ему, получение данных об иностранных разведках является одной из важнейших целей наблюдения в рамках FISA, тогда как ранее это являлось основной целью.[37] Изменение в определении должно было снять законодательный барьер между уголовными расследованиями и наблюдением с целью получения данных об иностранных разведках, который затруднял ведение расследований при наложении криминала и деятельности иностранных разведок друг на друга.[38] Однако само существование указанного барьера было признано Федеральным апелляционным судом длительным заблуждением государственных органов. Кроме того, указанный закон снял обязательное требование о том, что правительство обязано доказать, что целью наблюдения в рамках FISA является иностранный гражданин и агент, хотя он и запрещает проведение расследований над гражданами, действия которых попадают под Первую поправку.[39] В указанном разделе также была увеличена длительность физического розыска и наблюдения в рамках FISO,[40] а властям дана возможность передавать собранную информацию другим организациям до представления дела в федеральном суде.[41]
Также в разделе II были расширены рамки и возможность применения перехвата телефонных разговоров и наблюдения. Перехват телефонных разговоров теперь стал включать в себя информацию об адресах и маршрутах для наблюдения за сетями пакетной коммутации[42] — Центр конфиденциальности электронной информации (EPIC) выступил против этого, утверждая, что в расчет не принимаются адреса эл. почты или веб-адреса, которые часто содержатся в адресной информации.[43] Указанный акт позволяет любому окружному судье в США выдавать ордеры на наблюдение [42] и обыск в рамках расследований, связанных с терроризмом.[44] Сфера действия ордеров на обыск также была расширена, так как вышеупомянутый закон дополняет раздел III Закона о доступе к сохраненной информации и позволяет ФБР получать доступ к голосовой почте при наличии простого ордера на обыск, что снимает необходимость в выполнении более строгих требований законов о перехвате телефонных разговоров.[45]

Различные условия, допускающие передачу электронных коммуникаций правоохранительным органам. Люди, использующие или владеющие «защищенными компьютерами», могут дать властям разрешение на перехват информации, которой они обмениваются с помощью указанного устройства, в обход требований закона о перехвате телефонных разговоров.[46] Определение «защищенный компьютер» дано в разделе 18 Свода законов США, § 1030(e)(2), и под него попадают многие компьютеры, используемые для международной торговли и общения, включая устройства, размещенные за пределами США. Закон, регулирующий обязательное и добровольное разглашение клиентских данных кабельными компаниями, был изменен, чтобы органы власти могли потребовать предоставить указанные данные в соответствии с положениями Свода законов США, раздела 18 о предоставлении доступа к электронной информации (глава 119), использовании регистраторов телефонных звонков и устройств перехвата и слежения (глава 206), а также о доступе к сохраненной информации (121), за исключением данных о предпочтениях клиентов.[47] Суды теперь могут потребовать от интернет-провайдеров предоставить не только «имя, адрес, данные о местных и междугородних звонках, номер телефона и другие данные о клиенте и длительности работы с ним», но также время и длительность сеансов связи, типы используемых услуг, адресную информацию устройств связи (например IP-адреса), данные о способах оплаты, банковских счетах и номерах банковских карт.[48] Поставщики услуг связи также могут передавать властям данные о клиентах или записи разговоров, если они подозревают, что речь идет об угрозе «здоровью и жизни» людей.[49]

В разделе II изложено три очень противоречивых положения: ордеры на «скрытую слежку», случайное прослушивание телефонных разговоров и возможность получения ФБР доступа к документам, раскрывающим привычки граждан США. Так называемые ордеры на «скрытую слежку» допускают задержку в уведомлении о наличии ордера на обыск. Период, по истечении которого ФБР обязано уведомить получателей ордера, не был указан в Законе, а в инструкции ФБР указывается, что это «растяжимое понятие»[50] — и этот период может быть продлен по решению суда.[51] Эти положения были отменены судьей Энн Эйкен 26 сентября 2007 года, после того как юрист из Портленда по имени Брэндон Мэйфилд был ошибочно отправлен в тюрьму по результатам обыска. Суд признал, что обыски были проведены с нарушением положений, запрещающих необоснованные обыски, содержащихся в четвертой поправке к конституции США.[52][53]

Случайное прослушивание телефонных разговоров и ордеры на перехват телефонных разговоров, для получения которых не требуется указывать все общественные линии связи и организации, которые могут попасть под слежку. С точки зрения министерства юстиции, данное положение является особенно важным, так как считается, что террористы могут извлекать пользу из процедуры получения ордеров на перехват телефонных разговоров посредством быстрой смены местоположения и устройств связи (например мобильных телефонов),[54] тогда как некоторые считают, что данный пункт нарушает важнейшие положения четвертой поправки.[55][56] Еще одно крайне противоречивое положение позволяет ФБР издавать приказы, для выполнения которых «требуется получение реальных предметов (включая книги, записи, записки, документы и др.) с целью защиты от международного терроризма или незаконной разведывательной деятельности, при условии что подобные расследования в отношении граждан США не должны вестись исключительно на основании действий, защищенных первой поправкой к конституции».[57] Данное положение не было направлено на библиотеки, однако Американская библиотечная ассоциация (ALA) опротестовала его. В резолюции от 29 июня 2005 года было заявлено, что «раздел 215 Закона США о противодействии терроризму позволяет правительству втайне запрашивать и получать библиотечные записи по большому числу лиц без каких-либо доказательств того, что они причастны к незаконной деятельности».[58] Тем не менее, позиция ALA подверглась критике. Одним из противников позиции ALA была сотрудница Манхэттенского института Хизер Макдоналд, которая в статье для New York City Journal заявила, что «негодование из-за раздела 215 — типичный пример нагнетания страхов вокруг Закона о противодействии терроризму».[59]â€¨В указанном разделе также содержатся и другие положения, регламентирующие в том числе увеличение числа судей в Суде по делам о надзоре за иностранными разведками с семи до одиннадцати (трое из которых должны проживать не далее 20 миль (32 км) от округа Колумбия),[60] торговые санкции против Северной Кореи и регионов Афганистана, которые находятся под контролем талибов,[61] а также трудоустройство переводчиков в ФБР.[62]

http://w2.eff.org/patriot/

Общая информация о Законе

Ниже приведено несколько выдержек с различных веб-сайтов, объясняющих значение Закона США о противодействии терроризму, а также данные о пересмотре Закона в 2010 году
президентом Бараком Обамой:

http://www.slate.com/id/2087984/

В разделе 215 изменены правила проведения протоколируемых обысков. После принятия Закона о противодействии терроризму власти получили возможность обыскивать сторонние организации, в которых хранятся ваши финансовые и медицинские данные, а также информация об использовании библиотек, видеопрокатов, телефонов, посещении церквей, синагог или мечетей и данные о поездках, не уведомляя вас и не получая ваше согласие, при условии что это делается в целях борьбы с терроризмом.

Можно ли узнать, попали ли вы под действие раздела 215? Нет. Тот, кто проводит обыск, не имеет права никому о нем рассказывать.

Раздел 218, также известный как Закон о надзоре за иностранными разведками (FISA): Значение: тайные обыски могут быть разрешены тайно проведенным судом без уведомления общественности и без отчета перед министерством юстиции, если власти посчитают, что подозреваемый связан с иностранной разведкой.

Можно ли узнать, попали ли вы под действие раздела 218? Только если вас привлекут к ответственности на основании информации, собранной благодаря ордеру FISA. После этого вы сможете попробовать признать собранные улики недействительными в ходе обычного судебного разбирательства

Раздел 213: Раздел 213 — еще одна крайне противоречивая часть Закона о противодействии терроризму, вызывающая протесты самых разных политических сил. Разрешая властям сначала обыскивать, а затем уведомлять вас (иногда уведомление приходит с большой задержкой), данный закон снимает привычные требования об уведомлении перед обыском.

Значение: ордеры на «скрытую слежку» теперь используются не только при расследованиях, связанных с деятельностью иностранных разведок, но и с любыми уголовными делами. Теперь власти могут обыскивать ваш дом и другую собственность без предварительного уведомления.

Раздел 206: Раздел 206 разрешает случайное прослушивание, не привязанное к конкретному телефону или компьютеру. Любой телефон или компьютер может оказаться целью прослушивания. На этот момент, как правило, обращают слишком мало внимания. Если правительство решит отслеживать обмен данными с какого-либо компьютера в библиотеке Университета Калифорнии в Лос-Анджелесе, то любые сообщения любого пользователя теоретически могут быть перехвачены.

Значение: разрешение на слежку за всеми коммуникациями агентов иностранных разведок теперь может быть применено к любой телефонной линии или компьютеру.

Раздел 505: Данный раздел позволяет генеральному прокурору или уполномоченному лицу принуждать организации, в которых хранятся ваши персональные данные, передавать их правительству, просто написав письмо с грифом «Национальная безопасность». Раздел 505 привлек гораздо меньше внимания, нежели раздел 215, касающийся библиотечных записей — возможно именно поэтому его применяют гораздо чаще.

Значение: раздел 505 позволяет, по сути, делать судебные запросы на передачу персональных данных. Для судебных запросов не требуется достаточное основание или судебный надзор.

Прежние законы и изменения: До Закона о противодействии терроризму подобные запросы делались только касательно людей, подозреваемых в шпионаже, и при наличии достаточных оснований. После принятия Закона о противодействии терроризму указанные письма могут применяться к любому человеку, включая граждан США, даже если они лично не подозреваются в шпионаже или незаконной деятельности. Теперь такие запросы могут быть сделаны оперативными работниками ФБР, а не высокопоставленными должностными лицами. В отличие от ордеров, описанных в разделе 215, эти запросы не подлежат даже поверхностному судебному контролю или надзору.

Данные, которые могут быть получены на основании данных запросов в рамках Закона о противодействии терроризму, включают в себя записи телефонных звонков, электронную переписку, некоторые финансовые и банковские данные, кредитные отчеты, при условии что указанная информация может быть «значимой» для проводимого расследования по делу о терроризме. Вышеописанные запросы не могут быть использованы для обычных уголовных расследований. В отличие от раздела 215, судебный ордер не требуется даже формально. Лицам, проводящим обыск, запрещается сообщать об этом.

Можно ли узнать, попали ли вы под действие раздела 505: Нет, если вас не привлекут к ответственности на основании полученной информации».

Ниже приведены несколько ссылок, пройдя по которым можно получить информацию о новом, пересмотренном (и расширенном) Законе США о противодействии терроризму, подписанном недавно президентом Бараком Обамой.

http://w2.eff.org/patriot/20020925_patriot_act.php

(На этом веб-сайте можно найти копию оригинального Закона США о противодействии терроризму)

http://tastethecloud.com/content/patriot-act-and-martial-law

Данный раздел особенно актуален для бизнеса:

Возможности наблюдения расширяются, чтобы правительству было легче получить доступ к банковским счетам, домашним компьютерам, телефонам и кредитным картам на основании судебных запросов, выданных министерством юстиции. Лица, получившие запрос на предоставление данных о вас, не могут отказаться передавать информацию (расширение полномочий, предоставленных по Закону о противодействии терроризму в первой редакции). Полученные доказательства причастности лица к террористической деятельности или организациям (в соответствии с определением Государственного департамента) не могут быть раскрыты, кроме как в суде (частные лица не имеют права знать, за что их привлекают к ответственности), и досудебное заключение под стражу является обязательным требованием. У вас будет мало шансов опровергнуть обвинения.

http://www.eff.org/deeplinks/2010/02/epic-fail-congress-usa-patriot-act-renewed-without

(здесь рассказывается, как власти могут получать доступ к коммерческим данным по Закону о противодействии терроризму)

http://en.wikipedia.org/wiki/Controversial_invocations_of_the_USA_PATRIOT_Act

(Здесь рассказывается об опасностях, которые влечет за собой Закон США о противодействии терроризму)