Стремление Keeper Security защищать данные пользователей влияет на все, что мы делаем. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует...
Нет. Система Keeper® никогда не была объектом взлома или утечки данных. В этой статье мы рассмотрим, почему миллионы потребителей и тысячи компаний по всему миру доверяют Keeper защиту своих паролей и другой личной информации.
Что такое Keeper Security?
Keeper Security меняет способы, которыми организации и частные лица защищают свои пароли и конфиденциальные цифровые активы, значительно сокращая утечки данных, связанных с паролями, и киберугрозами.
Keeper — ведущий поставщик программного обеспечения для обеспечения безопасности и шифрования с нулевым разглашением, включая управление паролями, ключами доступа, секретами, соединениями и управление привилегированным доступом, а также мониторинг даркнета, хранилище цифровых файлов, зашифрованные сообщения и многое другое. Мы защищаем как потребителей, так и предприятия любого размера во всех основных отраслях промышленности. Keeper имеет старейшую в отрасли сертификацию SOC 2 и ISO27001, а также соответствие FIPS 140-2 и FedRAMP.
Keeper был назван лучшим менеджером паролей по версии журнала PC Magazine и выбором редакции, лучшим менеджером паролей в целом по версии US News & World Report, лидером G2 Enterprise, популярной компанией в IAM, самой инновационной в области безопасности конечных точек и передовой компанией года в сфере безопасности. Keeper имеет более чем 275 000 5-звездочных оценок в магазинах приложений.
Keeper для потребителей и семей
Менеджер паролей Keeper Password Manager для частных лиц и семей хранит все ваши пароли, коды MFA и ряд других конфиденциальных данных в безопасном цифровом web-хранилище с возможностью автоматически заполнять ваши учетные данные для входа на всех ваших веб-сайтах и в приложениях. В наших потребительских решениях используется то же запатентованное нулевое шифрование, что и в коммерческих продуктах, что обеспечивает потребителям безопасность корпоративного уровня. Только пользователь может получить доступ к своим сохраненным паролям и файлам и расшифровывать их. Никто больше не может использовать главный пароль пользователя, ключи шифрования или содержимое хранилища — даже сами сотрудники Keeper.
Keeper для организаций
Корпоративная платформа управления паролями и безопасности Keeper:
- Предоставляет каждому сотруднику безопасное зашифрованное цифровое хранилище для хранения его паролей, файлов и других конфиденциальных данных. Сотрудники могут получить доступ к своему хранилищу практически с любого устройства и из всех основных веб-браузеров, автоматически генерировать уникальные сложные пароли для всех учетных записей и автоматически вводить учетные данные для входа на все сайты и в приложения.
- Предоставляет ИТ-администраторам полную информацию о методах использования паролей сотрудниками, позволяя им отслеживать использование паролей и обеспечивать соблюдение политик безопасности паролей во всей организации, включая требования к сложности паролей, двухфакторную аутентификацию (2FA), ролевой контроль доступа (RBAC) и другие правила безопасности.
Безопасен ли Keeper в использовании?
Keeper полностью безопасен в использовании. Сами сотрудники Keeper используют наш менеджер паролей внутри компании для защиты паролей и данных компании и безопасного обмена файлами.
Keeper является поставщиком безопасности с нулевым доверием и нулевым разглашением. Все шифрование и дешифрование происходит только на устройстве пользователя при входе в хранилище, а это означает, что пользователь Keeper — единственный человек, который может шифровать и расшифровывать свои данные.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
При использовании главного пароля для входа в систему клиентское устройство получает 256-битный ключ аутентификации, используя PBKDF2-HMAC-SHA256 и случайные элементы дополнения. Хеш аутентификации генерируется путем хеширования ключа аутентификации с использованием SHA-256. Для входа в систему хеш аутентификации сравнивается с хешем аутентификации, хранящимся в Cloud Security Vault. После входа в систему на сервере генерируется токен сеанса, который отправляется клиенту для использования клиентским устройством при последующих запросах API. Сеанс должен быть активным, чтобы можно было продолжать использовать связь между клиентом и сервером.
Keeper использует проверенные модули шифрования FIPS 140-2 для удовлетворения строгих требований безопасности правительственных организаций и государственного сектора. Шифрование Keeper сертифицировано NIST CMVP и подтверждено на соответствие стандарту FIPS 140 аккредитованными сторонними лабораториями.
Дополнительную информацию о модели аутентификации и шифрования Keeper можно найти в нашей онлайн-базе знаний.
Keeper обеспечивает поддержку самых популярных и безопасных методов двухфакторной аутентификации: SMS, приложения для аутентификации на основе TOTP, такие как Google или Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (аутентификация носимых устройств с помощью устройств Apple Watch и Android Wear) и устройства FIDO2 WebAuthn, такие как Yubikey. Организации могут применять двухфакторные аутентификационные системы, используя политики Keeper по обеспечению соблюдения на основе ролей.
Подвергалась ли когда-либо система Keeper взлому?
Нет, система Keeper никогда не была объектом взлома. В 2017 году исследователь безопасности обнаружил ошибку в браузерном расширении Keeper, которое представляет собой приложение, отличное от Keeper Desktop. Мы исправили ошибку в течение 24 часов с момента ее подтверждения, объявили устаревшими предыдущие версии браузерного расширения Keeper и сообщили об инциденте в блоге. Мы написали еше одну публикацию с дальнейшим объяснением ситуации нашим клиентам и заверением в том, что фактического нарушения безопасности или потери информации о клиентах в связи с этой ошибкой зарегистрировано не было.
С 2017 года многое изменилось! Keeper сотрудничает с Bugcrowd в рамках программы с вознаграждением за обнаружение ошибок и раскрытие уязвимостей (VDP). Программу Keeper Security VDP можно найти по ссылке https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper также придерживается очень строгих правил внутренней безопасности, которые регулярно проверяются третьими сторонами, чтобы гарантировать, что мы продолжаем разрабатывать безопасное программное обеспечение и предоставлять самую безопасную в мире платформу кибербезопасности, включая следующее:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper выполняет SAST/DAST с использованием встроенных инструментов CodeQL Github Enterprise, а также периодически проводит тестирование с помощью Synopsys/Black Duck. Команда инженеров Keeper просматривает результаты статического анализа, чтобы определить достоверные результаты.
- Keeper использует лучшие практики и рекомендации, представленные в Руководстве разработчика OWASP и серии шпаргалок OWASP, для реализации и улучшения нашей разработки безопасного программного обеспечения. Keeper использует Руководство по тестированию OWASP и/или Руководство по проверке кода OWASP для поиска и устранения уязвимостей в нашем сервисе/приложении.
- Keeper выполняет всю разработку программного обеспечения самостоятельно на локальных рабочих станциях. Мы не предоставляем третьим лицам технический доступ к нашим системам.
- Каждый проект обычно состоит из репозитория GitHub, проекта Jira, доски Kanban и конвейера сборки GitHub Actions. По мере разработки программного обеспечения репозиторий GitHub регулярно обновляется. Автоматические сборки GitHub Actions выполняются либо при фиксации, либо через регулярные специальные интервалы сборки. Тикеты Jira и доски Kanban используются для организации разработки проекта.
- Перед принятием контроля качества весь исходный код проходит экспертную оценку руководителя группы, которая включает проверки безопасности, несанкционированный доступ, атаки путем внедрения данных и т. д.
- Усиление защиты и настройка серверной ОС, веб-серверов, серверов приложений и серверов БД стандартизируются с использованием шаблонов конфигурации и скриптовых вызовов API к Amazon AWS.
- Keeper ежемесячно и ежедневно выполняет сканирование уязвимостей системной инфраструктуры Keeper.
- Keeper регулярно проводит внутренние и внешние тесты на проникновение. Тесты на проникновение проводятся ежемесячно с использованием комбинации сторонних сервисов и внутренних инструментов и систем.
- Критические уязвимости исправляются в течение 48 часов, а некритические (средние) уязвимости — за 10 рабочих дней.
Сертификаты и соответствие требованиям Keeper
Keeper — это самая безопасная, сертифицированная, протестированная и проверенная платформа для защиты паролей в мире. Keeper имеет самую давнюю в отрасли сертификацию SOC 2 и ISO 27001. Keeper соответствует требованиям FedRAMP и StateRAMP и сертифицирован TrustArc для обеспечения конфиденциальности в Интернете в соответствии с рамочным соглашением о конфиденциальности данных (DPA). Бизнес-клиенты могут получить копии наших отчетов SOC 2 и ISO 27001, если свяжутся с отделом продаж.
Keeper соответствует требованиям Общего регламента по защите данных (GDPR), CCPA, PCI DSS и акта HIPAA, и мы имеем экспортную лицензию Министерства торговли США в соответствии с EAR. Мы соблюдаем все местные нормативные требования к безопасности данных и сертифицированы TrustArc для обеспечения конфиденциальности в Интернете.
GDPR определяет два типа организаций, которые могут обрабатывать персональные данные. Контроллер данных решает, какие данные собирать и какая обработка персональных данных производится. Обработчик данных действует по указанию контроллера данных для сбора, хранения, извлечения и/или удаления персональных данных. Keeper Security является контроллером данных, когда мы продаем наш менеджер паролей непосредственно потребителям. Мы являемся обработчиком данных, когда продаем их бизнесу, который, в свою очередь, будет считаться контролером данных.
Для получения дополнительной информации о соответствии Keeper GDPR или для загрузки соглашений GDPR об обработке данных для загрузки посетите https://www.keepersecurity.com/GDPR.html
Будучи авторизованным поставщиком облачных услуг FedRAMP (умеренное воздействие), Keeper имеет все возможности помочь организациям соблюдать Порядок международного оборота оружия (ITAR), который регулирует импорт и экспорт товаров и услуг, связанных с космосом и обороной, в США.
Для получения дополнительной информации о наших сертификатах соответствия посетите https://www.keepersecurity.com/security.html?s=compliance
Keeper авторизован FedRAMP
Решение Keeper Security Government Cloud (KSGC) разрешено FedRAMP на уровне умеренного воздействия. Давайте поговорим о том, что это означает.
Федеральная программа управления рисками и авторизацией (FedRAMP) была создана правительством США для достижения стандартизированного подхода к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и услуг. Федеральные агентства обязаны использовать облачные сервисы, сертифицированные FedRAMP.
Чтобы попасть на торговую площадку FedRAMP, поставщики облачных услуг (CSP), такие как Keeper, должны пройти многомесячный строгий процесс авторизации, который включает в себя очень подробный аудит всех систем. Даже после получения авторизации FedRAMP работа CSP-провайдера не завершена! CSP должен постоянно поддерживать свои системы в соответствии с требованиями FedRAMP. Программа FedRAMP подтверждает это, требуя от CSP предоставлять ежемесячные результаты непрерывного мониторинга агентствам, использующим их услуги, включая обновленный отчет о Плане действий и основных этапах (POA&M), а также результаты/отчеты сканирования. Кроме того, CSP также должен проводить ежегодную оценку безопасности.
Хотя FedRAMP был разработан для федеральных государственных учреждений, выбор FedRAMP и решения для управления паролями, сертифицированного StateRAMP, такого как Keeper Security Government Cloud, выгоден для правительственных и местных государственных учреждений, а также для организаций частного сектора в отраслях с жестким регулированием.