Zaangażowanie Keeper Security w ochronę danych użytkowników przenika wszystko, co robimy. Keeper® posiada certyfikaty SOC 2 i ISO 27001 najdłużej z wszystkich firm z branży. Keeper
Nie. Keeper nigdy nie został zhakowany ani naruszony. W tym artykule przyjrzymy się, dlaczego miliony konsumentów i tysiące firm na całym świecie ufają usłudze Keeper w zakresie ochrony swoich haseł i innych prywatnych informacji.
Co to jest Keeper Security?
Keeper Security zmienia sposób, w jaki organizacje i osoby prywatne chronią swoje hasła i poufne dane cyfrowe, znacznie zmniejszając liczbę naruszeń danych związanych z hasłami oraz cyberzagrożeń.
Keeper jest jednym z najlepszych dostawców zabezpieczeń typu zero-knowledge i oprogramowania szyfrującego obejmującego zarządzanie hasłami, kluczami dostępu, kluczami tajnymi, połączeniami i uprzywilejowanym dostępem, a także monitorowanie dark web, przechowywanie plików cyfrowych, szyfrowanie wiadomości i nie tylko. Chronimy zarówno konsumentów, jak i firmy każdej wielkości we wszystkich głównych sektorach przemysłu. Keeper posiada najdłużej w branży certyfikaty SOC 2 i ISO27001, jest zgodny ze standardem FIPS 140-2 oraz autoryzowany przez FedRAMP.
Keeper został uznany przez magazyn PC Magazine najlepszym menedżerem haseł i wyborem redakcji, najlepszym menedżerem haseł ogółem przez U.S. News & World Report, liderem przedsiębiorczości według raportu G2, „Hot Company” w dziedzinie zarządzania tożsamością i dostępem (IAM), najbardziej innowacyjną firmą pod względem bezpieczeństwa punktów końcowych i najnowocześniejszą firmą zajmującą się bezpieczeństwem. Keeper ma ponad 275000 5-gwiazdkowych opinii w sklepach z aplikacjami.
Keeper dla konsumentów i rodzin
Rozwiązanie Keeper Password Manager dla użytkowników indywidualnych oraz rodzin przechowuje wszystkie hasła, kody MFA i szereg innych danych poufnych w bezpiecznym cyfrowym magazynie Web z możliwością automatycznego wypełniania danych uwierzytelniających logowania na wszystkich stronach internetowych i aplikacjach. Nasze rozwiązania konsumenckie wykorzystują to samo zastrzeżone szyfrowanie Zero-Knowledge, co nasze produkty komercyjne, zapewniając konsumentom bezpieczeństwo klasy korporacyjnej. Tylko użytkownik może uzyskać dostęp do swoich zapisanych haseł i plików i je odszyfrować. Nikt inny nie może uzyskać dostępu do głównych haseł naszych użytkowników, kluczy szyfrowania ani zawartości ich magazynów – nawet pracownicy Keeper.
Keeper dla organizacji
Platforma zabezpieczeń i zarządzania hasłami Keeper dla przedsiębiorstw:
- Zapewnia każdemu pracownikowi bezpieczny, zaszyfrowany magazyn cyfrowy do przechowywania haseł, plików i innych poufnych danych. Pracownicy mogą uzyskać dostęp do swojego magazynu z praktycznie każdego urządzenia i wszystkich głównych przeglądarek internetowych, automatycznie generować unikalne, złożone hasła dla wszystkich swoich kont i automatycznie wypełniać dane uwierzytelniające logowania do wszystkich swoich stron i aplikacji.
- Zapewnia administratorom IT pełny wgląd w praktyki pracowników dotyczące haseł, umożliwiając im monitorowanie użycia haseł i egzekwowanie zasad bezpieczeństwa dotyczących haseł w całej organizacji, w tym wymogów złożoności haseł, uwierzytelniania dwuskładnikowego (2FA), kontroli dostępu opartej na rolach (RBAC) i innych zasad bezpieczeństwa.
Czy Keeper jest bezpieczny?
Korzystanie z rozwiązania Keeper jest w pełni bezpieczne. Pracownicy Keeper używają naszego menedżera haseł wewnętrznie, aby chronić firmowe hasła i dane oraz bezpiecznie udostępniać pliki.
Keeper jest dostawcą zabezpieczeń typu zero-trust i zero-knowledge. Całe szyfrowanie i deszyfrowanie odbywa się tylko na urządzeniu użytkownika po zalogowaniu się do magazynu, co oznacza, że użytkownik Keeper jest jedyną osobą, która może zaszyfrować i deszyfrować swoje dane.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Podczas korzystania z głównego hasła do logowania urządzenie klienckie tworzy 256-bitowy klucz uwierzytelniania przy użyciu algorytmu PBKDF2-HMAC-SHA256 i dodanego losowego ciągu inicjującego. Skrót uwierzytelniania jest generowany przez wyznaczanie wartości skrótu klucza uwierzytelniania przy użyciu algorytmu SHA-256. Podczas logowania skrót uwierzytelniania jest porównywany ze skrótem uwierzytelniania przechowywanym w magazynie Cloud Security Vault. Po zalogowaniu token sesji jest generowany na serwerze i wysyłany do klienta w celu wykorzystania go przez urządzenie klienckie do kolejnych żądań API. Korzystanie z komunikacji klient-serwer wymaga aktywności tej sesji.
Keeper wykorzystuje moduły szyfrowania zgodne ze standardem FIPS 140-2, aby spełnić rygorystyczne wymagania dotyczące bezpieczeństwa sektora rządowego i publicznego. Szyfrowanie Keeper zostało certyfikowane przez NIST CMVP i zatwierdzone jako zgodne ze standardem FIPS 140 przez akredytowane laboratoria stron trzecich.
Dodatkowe informacje dotyczące modelu uwierzytelniania i szyfrowania Keeper można znaleźć w naszej bazie wiedzy online.
Keeper zapewnia obsługę najpopularniejszych i najbezpieczniejszych dostępnych metod 2FA: wiadomości SMS, aplikacji uwierzytelniających opartych na TOTP, takich jak Google lub Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (uwierzytelnianie za pomocą urządzeń do noszenia przy użyciu urządzeń Apple Watch i Android Wear) i urządzeń FIDO2 WebAuthn, takich jak Yubikey. Organizacje mogą wyegzekwować korzystanie z 2FA przy użyciu zasad egzekwowania opartych na rolach usługi Keeper.
Czy rozwiązanie Keeper zostało kiedykolwiek zhakowane?
Nie, rozwiązanie Keeper nigdy nie zostało zhakowane. W 2017 r. badacz bezpieczeństwa znalazł błąd w rozszerzeniu Keeper Browser Extension, które jest oddzielną aplikacją od aplikacji Keeper Desktop. Naprawiliśmy błąd w ciągu 24 godzin od jego potwierdzenia, wycofaliśmy poprzednie wersje rozszerzenia Keeper Browser Extension i zgłosiliśmy ten incydent na naszym blogu. Następnie opublikowaliśmy drugi wpis na blogu, w którym wyjaśniliśmy sytuację naszym klientom i zapewniliśmy ich, że nie zgłoszono, ani nie doszło do rzeczywistego naruszenia bezpieczeństwa ani utraty danych klientów w związku z tym błędem.
Wiele się zmieniło od 2017 roku! Keeper nawiązał współpracę z Bugcrowd w celu zarządzania naszym programem Bug Bounty i ujawniania błędów w zabezpieczeniach (VDP). Program VDP Keeper Security można znaleźć na stronie https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper stosuje również bardzo rygorystyczne wewnętrzne praktyki bezpieczeństwa, które są regularnie audytowane przez strony trzecie, aby zapewnić, że nadal rozwijamy bezpieczne oprogramowanie i zapewniamy najbezpieczniejszą platformę cyberbezpieczeństwa na świecie, w tym:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper wykonuje testy SAST/DAST przy użyciu wbudowanych narzędzi CodeQL GitHub Enterprise, a także okresowe testy przy użyciu Synopsys / Black Duck. Zespół inżynierów Keeper dokonuje przeglądu wyników analizy statycznej, aby potwierdzić ich prawidłowość.
- Keeper stosuje najlepsze praktyki i zalecenia zawarte w przewodniku OWASP Developer Guide i OWASP Cheat Sheet Series w celu wdrożenia i udoskonalenia naszej bezpiecznej inżynierii oprogramowania. Keeper wykorzystuje przewodniki OWASP Testing Guide i OWASP Code Review Guide, aby znaleźć i zmniejszyć luki w zabezpieczeniach naszej usługi i aplikacji.
- Wszystkie procesy tworzenia oprogramowania Keeper wykonuje we własnym zakresie, na lokalnych stacjach roboczych. Nie udzielamy stronom trzecim technicznego dostępu do naszych systemów.
- Każdy projekt zazwyczaj składa się z repozytorium GitHub, projektu Jira, tablicy Kanban i procesu budowania oprogramowania opartego na GitHub Actions. W miarę tworzenia oprogramowania repozytorium GitHub jest aktualizowane za pomocą regularnych zatwierdzeń. Zautomatyzowane kompilacje GitHub Actions odbywają się na podstawie zatwierdzenia lub w regularnych odstępach czasowych. Zgłoszenia Jira i tablice Kanban są wykorzystywane do organizowania procesu tworzenia projektów.
- Przed akceptacją kontroli jakości (QA) cały kod źródłowy jest poddawany ocenie kierownika zespołu, która obejmuje kontrole bezpieczeństwa, nieautoryzowany dostęp, ataki polegające na wstrzyknięciu danych itp.
- Wzmacnianie i dostosowywanie serwerowego systemu operacyjnego, serwerów web, serwerów aplikacji, serwerów baz danych jest ustandaryzowane przy użyciu szablonów konfiguracyjnych i skryptów wywołań API do Amazon AWS.
- Keeper wykonuje comiesięczne i codzienne skanowanie luk w infrastrukturze systemowej Keeper.
- Keeper regularnie przeprowadza zarówno wewnętrzne, jak i zewnętrzne testy penetracyjne. Testy penetracyjne są przeprowadzane co miesiąc przy użyciu kombinacji usług innych firm oraz wewnętrznych narzędzi i systemów.
- Krytyczne luki w zabezpieczeniach są naprawiane w ciągu 48 godzin, a niekrytyczne (średnie) luki w zabezpieczeniach są łatane w ciągu 10 dni roboczych.
Certyfikaty i zgodność z przepisami usługi Keeper
Keeper jest najbezpieczniejszą oraz najlepiej certyfikowaną, testowaną i kontrolowaną platformą bezpieczeństwa haseł na świecie. Keeper posiada certyfikaty SOC 2 i ISO 27001 najdłużej z wszystkich firm z branży. Keeper posiada certyfikat FedRAMP i StateRAMP oraz certyfikat TrustArc dotyczący ochrony prywatności w Internecie zgodnie z ramowym programem ochrony prywatności danych (DPA). Klienci biznesowi mogą uzyskać kopie naszych raportów SOC 2 i ISO 27001, kontaktując się z naszym zespołem sprzedaży.
Keeper jest zgodny z RODO, CCPA, PCI DSS i HIPAA i posiadamy licencję eksportową wydaną przez Departament Handlu USA na podstawie przepisów dotyczących administracji eksportowej (EAR). Przestrzegamy wszystkich lokalnych wymogów prawnych w zakresie bezpieczeństwa danych i jesteśmy certyfikowani przez TrustArc w zakresie prywatności w Internecie.
RODO identyfikuje dwa podmioty, które mogą przetwarzać dane osobowe. Administrator danych decyduje o tym, jakie dane zbierać i o sposobach przetwarzania danych osobowych. Podmiot przetwarzający dane działa na polecenie administratora danych w celu zbierania, przechowywania, pobierania lub usuwania danych osobowych. Keeper Security jest administratorem danych, gdy sprzedajemy nasz menedżer haseł bezpośrednio konsumentom. Podmiotem przetwarzającym dane jesteśmy wtedy, gdy sprzedajemy go firmom, które z kolei byłyby uważane za administratorów danych.
Aby uzyskać więcej informacji na temat zgodności Keeper z RODO lub pobrać umowy dotyczące przetwarzania danych RODO, odwiedź stronę https://www.keepersecurity.com/GDPR.html
Jako autoryzowany przez FedRAMP dostawca usług chmurowych (umiarkowany wpływ) Keeper ma dobrą pozycję, aby pomóc organizacjom w zapewnieniu zgodności z rozporządzeniem w sprawie międzynarodowego handlu bronią (ITAR), które reguluje import i eksport artykułów i usług związanych z przestrzenią kosmiczną i obronnością w Stanach Zjednoczonych.
Aby uzyskać więcej informacji na temat naszych certyfikatów zgodności, odwiedź stronę https://www.keepersecurity.com/security.html?s=compliance
Keeper jest autoryzowany przez FedRAMP
Keeper Security Government Cloud (KSGC) jest autoryzowany przez FedRAMP na poziomie umiarkowanego wpływu. Porozmawiajmy o tym, co to oznacza.
Federalny program zarządzania ryzykiem i autoryzacją (FedRAMP) został stworzony przez rząd USA w celu zapewnienia standaryzowanego podejścia do kwestii bezpieczeństwa, autoryzacji i ciągłego monitorowania produktów i usług w chmurze. Agencje federalne są zobowiązane do korzystania z usług chmurowych certyfikowanych przez FedRAMP.
Aby znaleźć się na liście FedRAMP, dostawcy usług w chmurze (CSP), tacy jak Keeper, muszą przejść trwający wiele miesięcy rygorystyczny proces autoryzacji, który obejmuje bardzo szczegółowy audyt wszystkich systemów. Nawet po uzyskaniu autoryzacji FedRAMP praca CSP nie jest zakończona! CSP musi stale utrzymywać swoje systemy, aby spełniały wymagania FedRAMP. Program FedRAMP weryfikuje to, wymagając od CSP dostarczania agencjom comiesięcznych wyników ciągłego monitorowania przy użyciu ich usług, w tym zaktualizowanego raportu dotyczącego planu działania i kamieni milowych (POA&M) oraz wyników lub raportów skanowania. Ponadto CSP musi również przejść coroczne badanie bezpieczeństwa.
Chociaż program FedRAMP został opracowany na potrzeby federalnych agencji rządowych, wybór rozwiązania do zarządzania hasłami autoryzowanego przez FedRAMP i StateRAMP, takiego jak Keeper Security Government Cloud, jest korzystny również dla agencji rządowych i lokalnych oraz organizacji sektora prywatnego w ściśle regulowanych branżach.