Компании и крупные предприятия
Защитите свою компанию от киберпреступников.
Попробовать бесплатноKeeper использует лучшую в своем классе систему безопасности с моделью нулевого доверия и безопасной архитектурой с нулевым разглашением данных, чтобы защищать вашу информацию и снижать риск взлома данных.
ТОЛЬКО пользователь знает свой мастер-пароль и имеет доступ к нему и ключу, использующемуся для шифрования и дешифрования его информации.
Keeper защищает вашу информацию с использованием 256-разрядного шифрования AES и стандарта PBKDF2 для формирования ключа, что широко признано в качестве самого надежного способа шифрования.
Пользовательские данные шифруются и дешифруются на уровне устройства, а не на серверах Keeper или в облаке.
Keeper поддерживает многофакторную аутентификацию, аппаратные ключи безопасности FIDO2, биометрический вход и метод Keeper DNA, использующий часы Apple Watch или Android Wear для подтверждения вашей личности.
Keeper использует криптографический модуль, который был сертифицирован и подтвержден программы NIST Cryptographic Module Verification Program (CMVP) в соответствии со стандартом FIPS 140-2.
Keeper использует инфраструктуру Amazon AWS в различных географических местах, чтобы размещать хранилища Keeper и управлять ими, предоставляя пользователям самое быстрое и самое безопасное облачное хранение. Хранящиеся и передающиеся данные полностью изолированы в глобальных центрах данных.
Keeper Security, Inc. (KSI) серьезно относится к защите данных наших клиентов с помощью приложений Keeper для мобильных устройств и компьютеров. Миллионы частных лиц и организаций используют Keeper для защиты паролей и конфиденциальной информации и доступа к ним.
Приложения Keeper постоянно улучшаются и обновляются для реализации передовых систем защиты. На этой странице представлен обзор архитектуры системы безопасности, методов шифрования и среды хостинга Keeper для действующей версии. В этом документе приводится обзор технических характеристик шифрования и методов обеспечения безопасности.
Наша политика конфиденциальности и Условия использования доступны на веб-сайте по адресу:
Концепция «нулевого доверия» начинается с безопасности паролей. KSI создает свои продукты, используя модель безопасности с нулевым доверием, которая основана на недоверии любому пользователю в пределах архитектуры. Нулевое доверие предполагает, что все пользователи и устройства могут в принципе быть скомпрометированы, так что каждый пользователь должен быть проверен и аутентифицирован перед доступом на веб-сайт, в приложение или в систему. Эта модель безопасности служит фундаментом платформы кибербезопасности Keeper. Платформа предоставляет ИТ-администраторам полную видимость всех пользователей, систем и устройств, к которым они имеют доступ, что помогает обеспечивать соответствие отраслевым и нормативным требованиям. Чтобы иметь модель нулевого доверия в организации, необходимо иметь систему безопасности мирового уровня, поддерживаемую безопасной архитектурой с нулевым уровнем разглашения данных.
Архитектура с нулевым доверием
Нажимайте значки информации i, чтобы узнать подробнее.
Пользователи Keeper на любом клиентском устройстве, включая настольные компьютеры, мобильные устройства, браузер и командную строку.
IdP — это служба, которая хранит удостоверения пользователей и управляет ими.
Позволяет распространять единый вход (SSO) на домены безопасности, что делает возможным единый вход в веб-браузере.
Привилегированные пользователи с доступом к особо конфиденциальным учетным записям, логинам и секретам.
Используйте эту платформу для настройки и применения бизнес-политики для конечных пользователей.
Обеспечивает сетевой доступ с нулевым доверием к вашей инфраструктуре без использования VPN.
Защищает секреты инфраструктуры, такие как ключи API, пароли баз данных, ключи доступа, сертификаты и конфиденциальные данные любого типа.
Защищает ваши пароли и личную информацию от киберпреступников.
Устройства конечных пользователей, которые получают доступ к защищенным хранилищам паролей.
Различные конечные точки, к которым часто обращаются привилегированные пользователи.
Инструменты DevOps и разработчиков, автоматизирующие процесс сборки и разработки приложений.
Веб-сайты, приложения и системы, требующие входа в систему.
Посмотреть видео о нулевом доверии
У KSI нет доступа ни к основному паролю клиента, ни к записям в хранилище Keeper. KSI не имеет возможности получить удаленный доступ к устройству клиента и не может дешифровывать его хранилище. Keeper Security имеет доступ только к адресу электронной почты пользователя, типу устройства и подробностям тарифного плана подписки (например, на резервное копирование Keeper). Если устройство пользователя не утеряно и не украдено, KSI может помочь в получении доступа к зашифрованной резервной копии, необходимой для восстановления хранилища пользователя после замены им устройства.
Информация, хранящаяся в Keeper, доступна только клиенту, поскольку она мгновенно зашифровывается и «на лету» дешифровывается на используемом устройстве – даже при использовании веб-приложения Keeper. Метод шифрования, который использует Keeper, представляет собой хорошо известный, надежный алгоритм, называемый AES (улучшенный стандарт шифрования) с длиной ключа 256 бит. Согласно публикации CNSSP-15 Комитета национальных систем безопасности, AES с 256-битным ключом считается достаточно безопасным для шифрования секретных данных правительства США с классификацией «СОВЕРШЕННО СЕКРЕТНО». Keeper сертифицирован по стандарту FIPS 140-2 и подтвержден в рамках программы NIST CMVP (Сертификат №3976 - https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)
Ключи шифра, используемые для шифрования и дешифрования записи о клиентах, не хранятся в безопасном облачном хранилище Keeper и не передается в него. Однако для обеспечения синхронизации между несколькими устройствами зашифрованная версия этого ключа шифра хранится в безопасном облачном хранилище и предоставляется устройствам, зарегистрированным в аккаунте пользователя. Этот зашифрованный ключ шифра может быть дешифрован только на устройстве в целях последующего использования в качестве ключа шифра данных.
Мы рекомендуем клиентам использовать стойкий мастер-пароль для учетной записи Keeper. Этот мастер-пароль не должен использоваться за пределами Keeper. Пользователи не должны передавать мастер-пароль другим лицам.
Для защиты от несанкционированного доступа к вашему хранилищу, веб-сайтам и приложениям, Keeper также предлагает использовать двухфакторную аутентификацию. В методе двухфакторной аутентификации требуется наличие двух или более факторов аутентификации: фактора знания, фактора владения и фактора неотъемлемости. См. дополнительные сведения о двухфакторной аутентификации по этой ссылке.
Keeper использует фактор знания (ваш пароль) и фактор владения (ваш телефон) для повышения безопасности пользователей на случай компрометации мастер-пароля или устройства. Для этого мы формируем разовые пароли, действительные ограниченное время (TOTP).
Keeper формирует 10-байтный секретный ключ с использованием криптостойкого генератора случайных чисел. Этот код действует в течение примерно одной минуты и отправляется клиенту посредством SMS, Duo Security, RSA SecurID, приложения TOTP, Google Authenticator или носимых устройств, совместимых с Keeper DNA, таких как Apple Watch и Android Wear.
При использовании приложения TOTP или Google Authenticator на мобильном устройстве сервер Keeper формирует QR-код, содержащий ваш секретный ключ. Этот код никогда не передается третьим лицам. При каждой активации и деактивации двухфакторной аутентификации формируется новый секретный ключ.
Чтобы включить двухфакторную аутентификацию, откройте Keeper DNA или экран "Параметры" в приложении Keeper Web App. Клиенты Keeper Business могут при желании включить использование двухфакторной аутентификации для входа в хранилище и поддерживаемые методы двухфакторной аутентификации посредством функциональности принудительного применения в Keeper Admin Console.
Keeper поддерживает FIDO-совместимые аппаратные ключи безопасности стандарта WebAuthn, такие как YubiKey, для использования на втором шаге двухфакторной аутентификации. Ключи безопасности предоставляют удобный и надежный способ выполнять двухфакторную аутентификацию без ручного ввода кодов из 6 цифр. Можно настроить несколько ключей для одного хранилища пользователя. Для платформ, не поддерживающих аппаратные ключи безопасности, можно использовать прежние способы двухфакторной аутентификации. Чтобы настроить ключ безопасности или другие способы двухфакторной аутентификации, перейдите на экран 'Настройки' в приложении Keeper.
Keeper поддерживает возможность добавления до 5 контактов на экстренный случай, которым будет предоставлен доступ к хранилищу в экстренном случае или в случае смерти. По истечении установленного времени контакт на экстренный случай получит доступ к вашему хранилищу Keeper. Процесс совместного использования хранилища осуществляется по принципу нулевого разглашения, так что мастер-пароль пользователя никогда не передается другому пользователю. Алгоритм шифрования RSA используется для предоставления 256-разрядного ключа AES экстренному контакту по истечении времени ожидания, установленного страхующимся пользователем. Поэтому экстренный контакт должен иметь учетную запись (и оплаченный открытый/закрытый ключ RSA), чтобы принять приглашение стать контактом на экстренный случай.
Во время регистрации учетной записи пользователям может быть предложено выбрать собственный контрольный вопрос и ответ или другой тип метода восстановления. Также во время регистрации Keeper генерирует 256-битный ключ данных AES, который используется для шифрования и дешифрования ключей записей, хранящихся в каждой из записей хранилища. Ключ данных пользователя шифруется с помощью ключа, полученного из мастер-пароля, с использованием PBKDF2 с до 1 000 000 итераций, и каждый ключ записи AES-256 шифруется с помощью ключа данных AES-256. Каждая запись в хранилище пользователя имеет свой отдельный ключ записи, сгенерированный на стороне клиента.
Способ восстановления учетной записи (с использованием контрольного вопроса) заключается в сохранении второй копии ключа данных пользователя, который зашифрован с помощью ключа, полученного из ответа на контрольный вопрос, с использованием до 1 000 000 итераций. Чтобы завершить восстановление хранилища, пользователь должен ввести код подтверждения из письма электронной почты, а также код двухфакторной аутентификации (если он включен в учетной записи). Мы рекомендуем создать надежный контрольный вопрос и ответ, а также включить двухфакторную аутентификацию Keeper на экране «Настройки». Восстановление учетной записи может быть отключено в зависимости от настройки учетной записи Keeper Enterprise. Двухфакторную аутентификацию также можно принудительно ввести для клиентов Keeper Enterprise из консоли администратора Keeper.
Клиентам версий Business и Enterprise предоставляется метод восстановления учетных записей с нулевым разглашением данных для их пользователей с использованием политики переноса учетной записи Keeper.
Данные шифруются и расшифровываются на устройстве пользователя, а не в Cloud Security Vault. Мы называем эту функцию клиентским шифрованием, поскольку все операции шифрования выполняются на устройстве (например, iPhone, Android, веб-приложение и др.). Cloud Security Vault используются для хранения необработанных двоичных файлов, бесполезных для злоумышленника. Даже в случае перехвата данных при передаче между клиентским устройством и Cloud Security Vault, злоумышленник не сможет расшифровать их или использовать для атаки.
Взлом симметричного 256-битного ключа потребует в 2128 больше вычислительной мощности, чем взлом 128-битного ключа. В теории для перебора пространства 256-битных ключей потребуется 3x1051 лет.
У каждого пользователя есть открытый и закрытый 256-битный ключ эллиптической криптографии (ECC secp256r1), который используется для обмена другими ключами (например, ключами записи, ключами папок и ключами группы) между пользователями. Предоставляемая информация шифруется открытым ключом получателя. Получатель расшифровывает предоставленную информацию своим закрытым ключом. Это позволяет пользователю обмениваться записями только с предполагаемым получателем, поскольку только этот получатель может их расшифровать. Для совместимости с унаследованными записями также может использоваться 2048-битный ключ RSA.
Методом аутентификации по умолчанию в Keeper является использование выбранного пользователем мастер-пароля. PBKDF2 используется для получения ключа из мастер-пароля, который расшифровывает другие ключи пользователя, такие как 256-битный ключ данных AES. Второй ключ PBKDF2 генерируется локально, а затем хэшируется с помощью HMAC_SHA256 для получения маркера аутентификации. Возможность аутентификации с помощью мастер-пароля ограничена до тех пор, пока устройство пользователя не пройдет проверку и не будет проведена двухфакторная аутентификация. Количество итераций PBKDF2 по умолчанию равно 1 000 000. Администраторы Keeper также могут вводить уровни итераций PBKDF2 с консоли администратора Keeper.
Все секретные ключи, такие как закрытый ключ шифрования на основе эллиптических кривых каждого пользователя, закрытый ключ RSA и ключ данных AES-256, шифруются перед хранением или передачей. Для обычных и бизнес-пользователей, которые входят в систему с помощью мастер-пароля, на основе мастер-пароля создается ключ для расшифровки любых сохраненных ключей. Для корпоративных клиентов, которые входят в систему с помощью поставщика удостоверений единого входа, зашифрованные ключи предоставляются устройству после успешной проверки подлинности, а закрытые ключи пользователя используются для расшифровки ключа данных и других ключей хранилища. Поскольку Keeper Cloud Security Vault не имеет доступа к мастер-паролю пользователя или ключам шифрования, мы не можем расшифровать какие-либо из ваших сохраненных ключей или данных.
«Безопасное облачное хранилище» означает проприетарное программное обеспечение и архитектуру сети KSI, которая физически хостится в инфраструктуре веб-служб Amazon (Amazon Web Services, AWS).
При синхронизации пользователем хранилища Keeper с другими устройствами, зарегистрированными в его аккаунте, зашифрованные двоичные данные передаются по зашифрованному туннелю SSL и хранятся зашифрованными в безопасном облачном хранилище Keeper.
Keeper поддерживает полностью зашифрованную историю версий каждой записи, хранящейся в хранилище пользователя, обеспечивая уверенность в том, что никакие важные данные не могут быть потеряны. Из клиентского приложения Keeper пользователи могут просматривать историю записей и выполнять восстановление любой индивидуальной записи в хранилище. Если хранимый в Keeper пароль изменен или удален, пользователи всегда имеют возможность выполнить восстановление из любой точки сохранения.
Клиентам, приобретающим Keeper Business, предоставляется дополнительный уровень контроля над своими пользователями и устройствами. Администраторам Keeper предоставляется доступ к облачной административной консоли, которая обеспечивает полное управление подготовкой и удалением пользователей, разрешениями на основе ролей, делегированным администрированием, командами, интеграцией Active Directory/LDAP, двухфакторной аутентификацией, единым входом и политиками обеспечения безопасности. Политики принудительного применения Keeper на основе ролей полностью настраиваются и масштабируются под организации любого размера.
Keeper реализует многоуровневую систему шифрования, основанную на ключах, сгенерированных на стороне клиента. Ключи уровня записи и ключи уровня папки генерируются на локальном устройстве, и они шифруют каждую сохраненную в хранилище запись (например, пароль). Например, если в вашем хранилище 10 000 записей, у вас также есть 10 000 AES-ключей записи, защищающих данные.
Ключи генерируются локально на устройстве с целью неразглашения данных и поддержки дополнительных функций, таких как общий доступ к записям и папкам. Ключи записи и папки заключены в другие ключи, такие как ключ данных и ключ клиента.
Keeper for Business предоставляет надежный и безопасный набор инструментов для управления организационными подразделениями, ролями, группами и общими папками. Мощные элементы управления Keeper обеспечивают самые надежные уровни безопасности, обеспечивающие доступ с наименьшим уровнем привилегий и полностью делегированное администрирование.
Для ролей, обеспечивающих переносимость учетной записи пользователя:
Ключ принудительного применения шифруется с ключом каждого администратора, которому разрешается осуществлять перенос.
(Примечание: отдельным группам администраторов можно назначить права переносимости отдельных групп пользователей.)
Ключи папки учетной записи генерируются (для пользователей, имеющих роли, к которым применяется принудительное применение переносимости учетной записи) и шифруются с ключом принудительного применения. Все записи и общие папки, предоставленные пользователю, имеют свои ключи, зашифрованные с помощью ключа папки учетной записи.
Перенос учетной записи осуществляется путем блокирования с последующим переносом и удалением учетной записи пользователя. Это гарантирует, что операция не выполняется тайно. Ключи папки учетной записи и метаданные позволяют расшифровать данные записи, но предоставляют прямого доступа. Таким образом, только после того, как записи были назначены отдельному пользователю, этот пользователь может пользоваться ими, и никакой другой пользователь не получает доступа.
Все шифрование выполняется на стороне клиента, и ни при каких обстоятельствах Keeper не имеет возможности расшифровать предоставляемую или переносимую информацию. Кроме того, ключ пользователя никогда не передается другому пользователю. Пользователь, удаленный из группы, общей папки или прямого обмена, не получит новых данных из группы, общей папки или записи. Таким образом, хотя ключ и компрометируется с отдельным пользователем, этот ключ больше не пригоден для получения доступа к данным.
К частям иерархического дерева может назначаться несколько административных привилегий, что позволяет участникам, получившим привилегированную роль, совершать операции на консоли администрирования Keeper.
Политики принудительного применение со стороны сервера и со стороны клиента могут также применяться к ролям, чтобы предписывать поведение клиента для групп отдельных пользователей.
Группы позволяют легко предоставлять общие папки группам пользователей.
Keeper Bridge интегрируется с серверами Active Directory и LDAP в целях инициализации и обеспечения пользователей. Соединение Keeper Bridge сначала авторизуется администратором, имеющим право управления мостом. Для всех последующих генерируется ключ передачи, и он предоставляется Keeper. С помощью ключа передачи осуществляется авторизация всех операций, выполняемых мостом, за исключением инициализации моста. Ключ передачи может быть снова сгенерирован в любой момент, и его ротация происходит автоматически каждые 30 дней.
Ключ передачи используется только для передачи, что означает, что скомпрометированный ключ может быть снова инициализирован или отозван без какой-либо потери данных или разрешений.
Keeper Bridge не может предоставлять привилегий ролям и пользователям. Он может добавить пользователя к привилегированной роли, если не требуются никакие ключи принудительного применения. Keeper Bridge не может поднять себя или пользователя над той частью дерева, которой он управляет. Не все операции доступны для Bridge, например, Bridge может отключить активного пользователя, но не может удалить его. Администратор должен решать, что далее делать с пользователем: удалить или перенести его.
Клиенты Keeper Business могут настроить Keeper для аутентификации пользователя в своем хранилище Keeper с использованием стандартных продуктов идентификации SAML 2.0. Keeper является предварительно настроенным поставщиком услуг в каждом крупном поставщике удостоверений единого входа, таком как Google Apps, Microsoft Azure, Okta, Ping Identity и других. Механизм, который Keeper использует для аутентификации пользователей в их хранилище в среде с нулевым разглашением, представляет собой запатентованную реализацию под названием Keeper SSO Connect®. Keeper SSO Connect® – это программное приложение, которое администраторы Keeper Business устанавливают в своей инфраструктуре (локальной или облачной) и которая служит конечной точкой поставщика услуг SAML 2.0. При активации в определенном организационном подразделении Keeper SSO Connect® управляет всеми ключами шифрования для конечных пользователей Keeper Business. После успешной аутентификации в поставщике удостоверений единого входа для бизнеса пользователь входит в Keeper с необходимыми ключами шифрования для расшифровки своего хранилища. Программное обеспечение Keeper SSO Connect® работает в средах Windows, Mac и Linux.
Keeper SSO Connect® Cloud предоставляет клиентам Keeper Enterprise метод аутентификации пользователей и дешифрования данных, хранимых в зашифрованном хранилище с нулевым разглашением, с аутентификацией, предоставляемой через стороннего поставщика удостоверений (IdP) с использованием стандартных протоколов SAML 2.0 в полностью облачной среде.
В этой реализации пользователь может пройти аутентификацию через своего поставщика удостоверений SSO, а затем расшифровать зашифрованный текст своего хранилища локально на своем устройстве. Каждое устройство имеет собственную пару открытого/закрытого ключа эллиптической криптографии (EC) и зашифрованный ключ данных. У каждого пользователя есть собственный ключ данных. Чтобы войти на новое устройство, пользователь должен использовать существующие устройства для подтверждения нового устройства, или администратор с соответствующими полномочиями может подтвердить новое устройство.
Важность этой возможности заключается в том, что пользователь может расшифровать свое хранилище с помощью зашифрованного ключа, хранящегося в облаке Keeper. Принцип нулевого разглашения сохраняется, поскольку облако Keeper не может расшифровать ключ данных пользователя на его устройстве. Ключ данных (DK) пользователя расшифровывается с помощью закрытого ключа устройства (DPRIV), а зашифрованный ключ данных (EDK) предоставляется пользователю только после успешной аутентификации у назначенного им поставщика удостоверений (например, Okta, Azure, AD FS).
Для пользователей SSO Connect® Cloud закрытый ключ эллиптической криптографии (EC) создается и хранится локально на каждом устройстве. Для веб-браузеров на основе Chromium в хранилище Keeper хранится закрытый ключ EC локального устройства (DPRIV) как неэкспортируемый CryptoKey. На устройствах iOS и Mac ключ хранится в Keychain устройства. Где возможно, Keeper использует механизмы безопасного хранения.
Закрытый ключ устройства не используется непосредственно для шифрования или дешифрования данных хранилища. После успешной аутентификации от поставщика удостоверений отдельный ключ (который не хранится) используется для расшифровки данных хранилища. Автономное извлечение закрытого ключа локального устройства не может расшифровать хранилище пользователя.
Различные устройства/платформы имеют разные уровни безопасности, поэтому для обеспечения оптимальной безопасности мы рекомендуем использовать современный веб-браузер на основе Chromium.
В качестве общей защиты от атак на взломанные устройства мы также рекомендуем, чтобы все устройства (например, настольные компьютеры) были защищены шифрованием на уровне диска и новейшим программным обеспечением для защиты от вредоносных программ.
Чтобы войти на новое устройство, пользователь должен использовать существующие устройства для подтверждения нового устройства, или администратор с соответствующими полномочиями может подтвердить новое устройство. Новые устройства генерируют новый набор открытых/закрытых ключей, а подтверждающее устройство шифрует ключ данных пользователя с помощью открытого ключа нового устройства. Ключ зашифрованных данных (EDK) нового устройства предоставляется запрашивающему пользователю/устройству, а затем пользователь может расшифровать свой ключ данных, который затем расшифровывает данные хранилища пользователя. В расшифрованных данных хранилища пользователь может расшифровать другие свои закрытые ключи шифрования, такие как ключи записи, ключи папок, ключи группы и т. д.
Важность этой возможности заключается в том, что пользователь может расшифровать свое хранилище с помощью зашифрованного ключа, хранящегося в облаке Keeper, и не требуются какие-либо локальные или размещаемые пользователем службы приложений для управления ключами шифрования. Нулевой уровень разглашения сохраняется, поскольку облако Keeper не может расшифровать ключ данных пользователя на его устройстве. Ключ данных пользователя расшифровывается с помощью закрытого ключа устройства (DPRIV), а EDK предоставляется пользователю только после успешной аутентификации у назначенного им поставщика удостоверений (например, Okta, Azure, AD FS).
С точки зрения администратора, преимущества заключаются в следующем: простая установка и отсутствие необходимости в размещаемом программном обеспечении для управления ключами шифрования, как описано в текущей модели шифрования Keeper SSO Connect®.
Единственное изменение рабочего процесса в этой модели (по сравнению с локальной реализацией Keeper SSO Connect®) заключается в том, что пользователь должен выполнять подтверждение нового устройства на активном устройстве или делегировать администратору Keeper право на подтверждение устройства.
SSO Connect® On-Prem представляет собой локальную интеграцию, для которой требуется сервер приложений на Windows или Linux. Чтобы поддержать архитектуру безопасности с нулевым уровнем разглашения данных, программное обеспечение Keeper SSO Connect® должно быть установлено на сервере клиента. Среды Windows, Mac и Linux полностью поддерживаются в рабочих режимах выравнивания нагрузки с высокой степенью готовности.
Keeper SSO Connect® автоматически генерирует и поддерживает мастер-пароли для всех инициализированных пользователей, и этот пароль является случайным образом генерируемым 256-разрядным ключом. Мастер-пароль шифруется с помощью ключа единого входа. Ключ единого входа шифруется с помощью ключа дерева. Ключ единого входа запрашивается с сервера при запуске службы Keeper SSO Connect®, а затем дешифруется с помощью ключа дерева, который хранится локально на сервере в целях поддержки автоматического запуска службы. Соединение между SSO Connect® и Keeper Cloud Security Vault защищается с помощью ключа передачи.
BreachWatch постоянно сканирует записи Keeper в плане взлома публичных сайтов и предупреждает пользователей. BreachWatch имеет архитектуру с нулевым разглашением данных, в которой используется ряд эшелонированных методов для защиты информации наших пользователей. В итоге:
Рисунок 1. Путь хэшированных данных паролей пользователей через BreachWatch. На серверах BreachWatch хранятся только пароли, защищенные модулями HSM и неэкспортируемым ключом. Пользователи BreachWatch используют анонимизированые идентификаторы при взаимодействии с серверами BreachWatch.
С целью создания безопасной службы Keeper делит BreachWatch на три службы: для проверки доменов, имен пользователей, паролей и пар "имя пользователя + пароль". Клиентское приложение Keeper связывается с каждой из этих служб, используя шифрованный REST API.
Пользователи BreachWatch загружают список взломанных доменов и осуществляют локальную проверку.
Клиентское устройство соединяется с BreachWatch и передает список хэшированных имен пользователей (или паролей) наряду со случайно выбранным идентификатором (отдельные идентификаторы для служб, проверяющих имя пользователя и пароль). Эти хэши паролей обрабатываются при передаче с помощью механизма HMAC, используя аппаратный модуль безопасности (HSM) и секретный ключ, хранящийся в HSM и помеченный как неэкспортируемый (что означает, что HSM будет обрабатывать HMAC только локально и ключ нельзя извлечь). Эти данные, полученные от HMAC (имена пользователей или пароли) сравниваются с данными из баз данных взломанных учетных записей, которые были обработаны с тем же HMAC и ключом. Обо всех совпадениях сообщается на клиентское устройство. Все несовпавшие данные сохраняются наряду с анонимизированным идентификатором клиента.
По мере того, как взломанные имена пользователей и пароли добавляются в систему, они обрабатываются с помощью HMAC на HSM, добавляются в набор данных BreachWatch и сравниваются с хранимыми клиентскими данными. При любых совпадениях генерируется предупреждение для соответствующего клиентского идентификатора.
Клиентские устройства периодически обращаются к BreachWatch, сообщая свои идентификаторы BreachWatch. Все сгенерированные ранее сообщения загружаются на клиентские устройства, и клиентские устройства передают все новые или измененные имена пользователей и пароли, которые обрабатываются тем же образом.
Безопасность служб BreachWatch обеспечивается по принципу доверия при первом использовании (TOFU). Иными словами, клиентские устройства должны предполагать, что сервер BreachWatch не является вредоносным (то есть, не скомпрометирован злоумышленником), когда клиентское устройство передает хэшированные данные. Как только эти данные обработаны с HSM, они становятся защищенными от попыток оффлайн-взлома. Иными словами, если злоумышленник и украдет набор данных хранимых клиентских данных, он не сможет взломать эти данные в режиме оффлайн без ключа HMAC, хранящегося в HSM.
Если обнаружен взлом пароля, клиентское устройство отправляет хэш комбинации имя пользователя+пароль на серверы BreachWatch, которые затем проводят то же сравнение хэшей с механизмом HMAC, чтобы определить, не взломана ли комбинация имя пользователя+пароль. Если это так, на клиентское устройство возвращаются домены, связанные с этими взломами, так что клиентское устройство может определить, совпадает ли вся комбинация имя пользователя+пароль+домен. Если все три параметра совпали на клиентском устройстве, пользователь предупреждается о серьезности взлома.
Когда BreachWatch активируется для сотрудников компаний и крупных предприятий, хранилища конечных пользователей сканируются автоматически всякий раз, когда они входят с Keeper. Сводные данные BreachWatch, просканированные на устройствах пользователей, шифруются с помощью открытого ключа предприятия и дешифруются администратором крупного предприятия при входе в консоль администрирования Keeper. Эта зашифрованная информация включает в себя адрес электронной почты, число записей с высоким риском, число решенных проблем с записями и число проигнорированных предупреждений о записях. Администратор Keeper может видеть сводную статистику на уровне отдельных пользователей с пользовательского интерфейса консоли администрирования.
При интеграции с Расширенная Отчетность и Предупреждения устройства конечных пользователей Keeper могут быть также настроены так, чтобы передавать подробные данные реального времени о событиях в сторонние решения SIEM и на интерфейс отчетности в консоли администрирования Keeper. Данные о событии содержат адрес электронной почты, пользовательский идентификатор записи (UID), IP-адрес и информацию устройства (в данные о событии не входят никакие расшифрованные данные записи, так как Keeper является платформой с нулевым разглашением данных и не может расшифровывать пользовательские данные).
По умолчанию подробные данные BreachWatch о событии не отправляются в модуль расширенной отчетности и предупреждений или в любую внешнюю подключенную систему регистрации. Чтобы активировать отчетность BreachWatch на уровне событий с отправкой данных в модуль расширенной отчетности и предупреждений, вы должны включить политику принудительного применения, перейдя на экран для конкретной роли > Настройки правил > Функции хранилища. После активации клиентские устройства конечных пользователей начнут отправлять эти данные о событиях. Информация о событиях, передаваемая из Keeper в целевую систему SIEM, становится читаемой благодаря интеграции со сторонними решениями SIEM и может быть использована для определения того, какие пользователи в пределах организации имеют пароли с высоким риском. Если администратор Keeper не хочет передавать данные о событиях на уровне записей в модуль расширенной отчетности и предупреждений Keeper, эту настройку можно отключить.
Офлайн-режим позволяет пользователям иметь доступ к своим хранилищам, когда они не могут соединиться в режиме онлайн с Keeper или со своей системой единого входа. Эта возможность доступна в мобильном приложении Keeper, настольном приложении Keeper и расширена на бизнес-пользователей на популярных веб-браузерах.
Эта возможность реализуется путем создания копии хранилища на локальном устройстве пользователя. Данные хранилища, хранящиеся в автономном режиме, зашифрованы по алгоритму AES-GCM с помощью 256-битного «клиентского ключа», который генерируется случайным образом и защищается PBKDF2-HMAC-SHA512 с использованием до 1 000 000 итераций и случайной солью. Соль и итерации хранятся локально. Когда пользователь вводит свой мастер-пароль, ключ создается с использованием соли и итераций, и предпринимается попытка расшифровать клиентский ключ. Затем клиентский ключ используется для расшифровки сохраненного кеша записей. Если в хранилище пользователя включена защита путем самоуничтожения данных, после 5 неудачных попыток входа будут автоматически стерты все локально сохраненные данные хранилища.
KSI использует Amazon AWS в Северной Америке, Европе и Австралии для конфиденциальности локализованных данных и географической сегрегации в целях размещения и эксплуатации решения и архитектуры Keeper. KSI использует Amazon AWS для размещения и эксплуатации решения и архитектуры Keeper. Использование Amazon AWS позволяет Keeper прозрачно масштабировать ресурсы по требованию и предоставить клиентам самую быструю и безопасную облачную среду хранения. KSI действует в многозоновой многорегионной среде для увеличения времени безотказной работы и предоставления заказчика минимального времени отклика.
Хранилище Keeper Cloud Security Vault защищается API-интерфейсом, который аутентифицирует каждый запрос с клиентского устройства. На клиентском устройстве генерируется 256-разрядный "ключ аутентификации" на основе мастер-пароля с использованием PBKDF2-HMAC-SHA256 и случайной "соли". "Хэш аутентификации" создается путем хэширования "ключа аутентификации" с помощью SHA-256. При входе хэш аутентификации сравнивается с хэшем аутентификации, хранимым в Cloud Security Vault. После входа токен сеанса генерируется и используется клиентским устройством для последующих запросов. Этот токен аутентификации должен возобновляться каждые 30 минут или по запросу сервера.
KSI supports 256-bit and 128-bit SSL to encrypt all data transport between the client application and KSI’s cloud-based storage. This is the same level of encryption trusted by millions of individuals and businesses everyday for web transactions requiring security, such as online banking, online shopping, trading stocks, accessing medical information and filing tax returns.
KSI отправляет сертификаты SSL/TLS, подписанные Digicert с использованием алгоритма SHA2, самого безопасного алгоритма подписи, предлагаемого сегодня коммерческими центрами сертификации. SHA2 существенно более надежен чем более широко используемый алгоритм SHA1, который может быть взломан из-за найденной в нем уязвимости. SHA2 помогает защититься от выпуска поддельных сертификатов, которые могут использоваться злоумышленниками для перенаправления на поддельный веб-сайт.
KSI также поддерживает Certificate Transparency (CT), новую инициативу компании Google, нацеленную на то, чтобы создать систему открыто проверяемых записей сертификатов, выданных центрами сертификации. CT помогает защищаться от выпуска сертификатов неуполномоченными центрами. CT сейчас поддерживается в самых последних версиях браузера Chrome. Более подробную информацию о Certificate Transparency можно найти по ссылке: https://www.certificate-transparency.org. В настоящий момент KSI поддерживает следующие наборы шифров TLS:
Веб-хранилище Keeper обеспечивает выполнение строгой политики безопасности контента, которая ограничивает происхождение исходящих запросов и препятствует выполнению всех скриптов, за исключением скриптов, явно исходящих от Keeper, включая встраиваемые скрипты и атрибуты обработки событий HTML, сокращая или устраняя большинство направлений атак посредством межсайтового скриптинга.
Доступ к доменным именам KeeperSecurity.com и KeeperSecurity.eu ограничен протоколом HTTPS с TLS v1.2 и обеспечивается принудительной активацией с помощью механизма HTTP Strict Transport Security. Это предотвращает атаки посредством анализа пакетов, модификации данных и перехвата сообщений и подмены ключей.
В браузерном расширении Keeper не предлагается пользователям входить в свои хранилища из зоны кадра страницы. Вход в хранилище осуществляется в пределах зоны панели инструментов браузерного расширения в браузере. Вход в хранилище на веб-браузере всегда происходит либо через домен KeeperSecurity.com или KeeperSecurity.eu, либо с панели инструментов браузерного расширения Keeper, которая существует вне страницы контента.
Браузерное расширение Keeper в Chrome, Firefox, Edge и Opera использует элементы iFrame для ввода данных записи на экранах входа веб-сайтов, чтобы гарантировать, что никакой вредоносный веб-сайт не имеет доступа к вводимому контенту. Контент записи, вводимый в элементы iFrame, также ограничен записями хранилища, хранимыми в хранилище пользователя, которые соответствуют домену целевого веб-сайта. Keeper не предлагает автоматически ввести учетные данные, если домен веб-сайта не соответствует полю домена веб-сайта из записи в хранилище Keeper.
Расширение для Internet Explorer использует отдельное окно нативного приложения для входа и доступа к записям. Эти отдельные окна не подвержены атакам XSS, поскольку они не доступны из браузера. Это позволяет расширению в Internet Explorer предоставлять окно для входа внутри страницы. Расширение не показывает записи, если записи не соответствуют адресу корневого домена веб-сайта.
Сторонние браузерные расширения могут иметь более высокий уровень разрешений в веб-браузерах и могут иметь доступ к информации внутри страницы. Поэтому рекомендуется, чтобы администраторы Keeper не допускали установку пользователями неодобренных сторонних браузерных расширений из соответствующих магазинов приложений для браузеров.
Touch ID и Face ID на устройствах iOS позволяют получить доступ к хранилищу Keeper с помощью биометрических данных. Чтобы можно было использовать эту удобную функцию, случайно сгенерированный 256-битный «биометрический ключ» хранится в Связке ключей iOS. Элемент Связки ключей iOS, созданный для этой функции, не предназначен для синхронизации со Связкой ключей iCloud и поэтому не покинет ваше мобильное устройство iOS.
Мы настоятельно рекомендуется использовать сложный мастер-пароль и включить многофакторную аутентификацию, чтобы обеспечить максимальную безопасность вашего зашифрованного хранилища Keeper. Использование Touch ID и Face ID делает более удобным использование сложного мастер-пароля на мобильном устройстве iOS. Также рекомендуется установить пароль длиной более 4 цифр для защиты Связки ключей iOS.
Связка ключей iOS используется iOS и приложениями для безопасного хранения учетных данных. Приложения iOS используют связку ключей iOS для хранения различной конфиденциальной информации, включая пароли веб-сайтов, ключи, номера кредитных карт и информацию Apple Pay™. Keeper не использует связку ключей iOS для хранения ваших записей Keeper - все записи Keeper защищены 256-битным шифрованием AES и надежно хранятся в хранилище Keeper. Связка ключей iOS также зашифрована 256-битным шифрованием AES с использованием пароля устройства. Даже если устройство будет потеряно или украдено или злоумышленник получит физический доступ к мобильному устройству, он не сможет получить доступ к сохраненной информации Keeper. Связку ключей iOS невозможно расшифровать без пароля, а содержимое хранилища Keeper невозможно расшифровать без мастер-пароля пользователя Keeper.
Keeper изначально поддерживает Windows Hello, Touch ID, Face ID и биометрию Android. Клиенты, которые обычно входят в свое хранилище Keeper с помощью мастера-пароля или посредством единого входа (SAML 2.0), также могут входить на свои устройства с помощью биометрических данных. Биометрические данные должны быть разрешены администратором Keeper в ролевой политике. Автономный доступ также может быть обеспечен с помощью биометрических данных для пользователей с мастер-паролем и с единым входом, когда эта возможность активирована.
Когда на устройстве включен биометрический вход в систему, ключ генерируется случайным образом локально и сохраняется в защищенном анклаве (например, в связке ключей) устройства. Ключ данных пользователя шифруется биометрическим ключом. После успешной биометрической аутентификации ключ извлекается, и пользователь может расшифровать свое хранилище.
Функция избранного Apple Watch позволяет просматривать избранные записи на подключенных часах Apple Watch. Записи Keeper должны быть явно включены для возможности просмотра на Apple Watch. Подключенные часы Apple Watch взаимодействуют с расширением Keeper для часов, работающем в своем выделенном замкнутом пространстве отдельно от приложения iOS Keeper. Расширение Keeper для часов также использует Связку ключей iOS в целях безопасного хранения и доступа к ключам, чтобы безопасно связываться с приложением iOS Keeper.
Keeper DNA - это новое инновационное добавление к способам многофакторной аутентификации. При использовании с подключенными часами Apple Watch, Keeper DNA предоставляет метод многофакторной аутентификации, несравненный по удобству и безопасности. Keeper DNA использует защищенные токены, хранимые в Keeper Vault, чтобы генерировать временные пароли для многофакторной аутентификации. Запросы на аутентификацию можно одобрять и автоматически отправлять с Apple Watch (или устройства Android Wear), касаясь экрана часов, либо вводить вручную. Множество уровней шифрования, Touch ID и многофакторная аутентификация помогают делать Keeper DNA самым элегантным, безопасным и передовым методом аутентификации из всех имеющихся.
Записи клиента в хранилище защищены согласно строгим и тщательно контролируемым правилам внутреннего протокола. Keeper сертифицирован как соответствующий требованиям SOC 2 Type 2 общих условий Контроля обслуживающих организаций AICPA. Сертификация SOC 2 обеспечивает постоянную безопасность вашего хранилища путем реализации стандартных элементов контроля, как это определено общими условиями Принципов трастовых услуг AICPA.
Keeper имеет сертификат ISO 27001, распространяющийся на систему управления информацией Keeper Security, которая поддерживает платформу Keeper Enterprise. Сертификация Keeper ISO 27001 охватывает управление и работу цифрового хранилища и облачных служб, программное обеспечения и разработку приложения, а также защиту цифровых активов для цифрового хранилища и облачных служб.
Keeper берет на себя обязательство вносить изменения и улучшения в свои бизнес-процессы и продукты, чтобы быть готовыми к GDPR к 25 мая 2018 г. Нажмите здесь, чтобы подробнее узнать о соответствии Keeper требованиям GDPR и загрузить соглашения на обработку данных.
Keeper Security Government Cloud (KSGC) — платформа KSI для управления паролями и обеспечения кибербезопасности для государственных учреждений. KSGC является авторизованным поставщиком FedRAMP на уровне умеренного воздействия (Moderate Impact Level), размещенным в AWS GovCloud (США). KSGC можно найти на торговой площадке FedRAMP.
Федеральная программа управления рисками и авторизацией (FedRAMP) — это программа федерального правительства США, обеспечивающая стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и сервисов. FedRAMP позволяет государственным учреждениям использовать современные облачные технологии с упором на безопасность и защиту федеральной информации и помогает ускорить внедрение безопасных облачных решений.
Для получения дополнительной информации о FedRAMP посетите страницу https://www.gsa.gov/technology/government-it-initiatives/fedramp.
Keeper Security Government Cloud (KSGC) — платформа KSI для управления паролями и обеспечения кибербезопасности для государственных учреждений. KSGC является авторизованным поставщиком StateRAMP на уровне умеренного воздействия (Moderate Impact Level), размещенным в AWS GovCloud (США). KSGC можно найти на торговой площадке StateRAMP.
Комитеты управления StateRAMP принимают политики и процедуры, стандартизирующие требования безопасности для поставщиков. Затем отдел управления программами StateRAMP проверяет, соответствуют ли облачные предложения, используемые государственными учреждениями, принятым требованиям безопасности, посредством независимых аудитов и постоянного мониторинга. StateRAMP дает возможность государственным учреждениям использовать современные облачные технологии, делая упор на безопасность и защиту конфиденциальной информации, и помогает ускорить внедрение безопасных облачных решений...
Для получения дополнительной информации о StateRAMP посетите https://stateramp.org.
KSGC поддерживает соблюдение Правил международной торговли оружием США (ITAR). Компании, на которые распространяются экспортные правила ITAR, должны контролировать непреднамеренный экспорт, ограничивая доступ к защищенным данным лицами из США и ограничивая физическое местонахождение защищенных данных Соединенными Штатами Америки.
Среда KSGC, отвечающая требованиям FedRAMP на умеренном уровне воздействия, поддерживает требования ITAR благодаря следующему:
Среда Keeper FedRAMP была проверена независимой сторонней оценочной организацией (3PAO), чтобы подтвердить наличие надлежащих средств контроля для поддержки программ соответствия экспортным требованиям.
Для получения дополнительной информации об ITAR посетите https://www.pmddtc.state.gov/.
Keeper соответствует требованиям части 11 раздела 21 кодекса федеральных нормативных актов (CFR), которые применяются к ученым, работающим в строго регулируемых средах, в том числе к исследователям, проводящим клинические испытания. Эти требования отражают критерии Управления США по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA), в соответствии с которыми электронные записи и подписи считаются заслуживающими доверия, надежными и эквивалентными бумажным записям с рукописными подписями. В частности, ученые должны убедиться, что все используемое ими программное обеспечение соответствует требованиям части 11 раздела 21 CFR, в отношении следующего:
Средства контроля безопасности для идентификации пользователей – Keeper соответствует требованиям части 11 раздела 21 CFR к функциям безопасности, которые ограничивают доступ пользователей и их привилегии, включая обеспечение того, чтобы у всех пользователей были уникальные имена пользователей и пароли, возможность обнаружения и предотвращения несанкционированного доступа к системе и возможность блокировки скомпрометированных учетных записей.
Подробный журнал аудита
В ходе проверок FDA регулирующие органы требуют от исследователей предоставить подробный журнал аудита с записями всех операций в хронологическом порядке. Функции Keeper для составления отчетов о соответствии требованиям позволяют исследователям легко создавать отслеживаемые электронные журналы аудита.
Электронные подписи
Если для документа требуется юридически обязывающая электронная подпись, согласно части 11 раздела 21 CFR требуется, чтобы подпись была привязана к уникальному логину и паролю или биометрической идентификации. Keeper поддерживает это требование, предоставляя исследователям возможность гарантировать, что все пользователи имеют уникальные имена пользователей и пароли, надежно хранящиеся в цифровом хранилище пользователя, к которому может получить доступ только сам пользователь.
Для получения дополнительной информации о требованиях части 11 раздела 21 CFR см. https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
Программное обеспечение Keeper отвечает мировым стандартам по защите медицинских данных пациентов, включая, без ограничения, HIPAA (Health Insurance Portability and Accountability Act) и DPA (Data Protection Act).
Keeper является платформой с нулевым уровнем разглашения, имеющей сертификаты SOC2 и ISO 27001 и соответствующей требованиям HIPAA. Поддерживается строгое соответствие и контроль в отношении неприкосновенности частной жизни, конфиденциальности, целостности и доступности. Благодаря безопасной архитектуре Keeper не может расшифровывать, просматривать или иметь доступ к любой информации, включая ePHI, хранящейся в пользовательском хранилище Keeper. По упомянутым выше причинам Keeper не является 'деловым партнером' согласно определению HIPAA и поэтому не подпадает под действие Соглашения о деловом партнерстве HIPAA.
Чтобы подробнее узнать о дополнительных преимуществах для медицинских организаций и страховых компаний, прочтите весь документ 'Раскрытие данных безопасности' и посетите страницу Руководство для предприятий.
Keeper проводит периодическое тестирование на проникновение с помощью сторонних экспертов, включая NCC Group, Secarma, Cybertest и независимых исследователей в области безопасности, по отношению к продуктам и система Keeper. Keeper также имеет партнерские отношения с Bugcrowd для управления своей программой раскрытия уязвимостей.
Инфраструктура Keeper ежедневно сканируется Tenable, чтобы гарантировать, что веб-приложение Keeper и хранилище KSI Cloud Security Vault защищены от известных удаленных эксплойтов, уязвимостей и атак типа «отказ в обслуживании». Персонал Keeper просматривает и исправляет все обнаруженные недостатки.
KSI использует PayPal и Stripe для безопасной обработки платежей по кредитным и дебетовым картам через платежный веб-сайт KSI. PayPal и Stripe являются решениями для обработки транзакций, отвечающими стандарту PCI-DSS.
KSI сертифицирован на соответствие стандарту PCI-DSS.
Веб-клиент Keeper, приложение для Android, приложение для Windows Phone, приложение для iPhone/iPad и браузерные расширения сертифицированы на соответствие программе EU Privacy Shield, программе EU-U.S. Privacy Shield и директиве Еврокомиссии по защите данных.
См. дополнительные сведения о программе EU Privacy Shield Министерства торговли США по адресу https://www.privacyshield.gov
Keeper использует модули шифрования, утвержденные по стандарту FIPS 140-2 в соответствии со строгим требованиям безопасности правительственного и государственного сектора. Шифрование Keeper было сертифицировано в рамках программы NIST CMVP и подтверждено в соответствии со стандартом FIPS 140 аккредитованными сторонними лабораториями. Keeper получил сертификат № 3976 согласно NIST CMVP
Компания Keeper Security EMEA Limited сертифицирована в соответствии с квалификационной системой Hellios Financial Services Qualification System-Netherlands (FSQS-NL), которая признает самые высокие стандарты безопасности, качества и инноваций в Нидерландах. Этот стандарт демонстрирует соответствие требованиям Управления финансового надзора и Управления пруденциального надзора для обеспечения надежности программного обеспечения Keeper Enterprise для крупных банков и финансовых учреждений.
Приложение Keeper Бюро промышленности и безопасности Министерства торговли США с номером ECCCN 5D992 согласно нормативам Export Administration Regulations (EAR).
Дополнительные сведения о EAR. https://www.bis.doc.gov
Сторонней компанией проводится круглосуточный ежедневный мониторинг Keeper, обеспечивающий доступность нашего сайта и хранилища Cloud Security Vault по всему миру.
Если у вас есть какие-либо вопросы, связанные с безопасностью, свяжитесь с нами.
Если вы получили сообщение, предположительно отправленное KSI, и не уверены в его легитимности, это может быть фишинговое сообщение с подложным адресом отправителя. В этом случае сообщение будет содержать ссылки на сайты, которые будут выглядеть как KeeperSecurity.com, но это будет не наш сайт. Веб-сайт может запросить ваш мастер-пароль Keeper Security или попытаться установить нежелательное ПО на вашем компьютере, украсть ваши личные данные или получить доступ к вашему компьютеру. Ссылки в других сообщениях могут указывать на другие потенциально опасные веб-сайты. Сообщение также может включать вложения, которые обычно содержат нежелательное (вредоносное) ПО. Если вы не уверены в легитимности полученного сообщения, удалите его, не нажимая ссылки и не открывая вложения.
Чтобы сообщить о сообщении о KSI, которое, по вашему мнению, является поддельным, или если у вас есть другие опасения, связанные с безопасностью, которые вы хотите донести до KSI, свяжитесь с нами.
Веб-сайт и облачное хранилище Keeper работают в безопасной облачной инфраструктуре Amazon Web Services (AWS). Облачная инфраструктура AWS, используемая для размещения архитектуры Keeper, получила следующие аттестаты и сертификаты:
Keeper Security неукоснительно придерживается ответственного раскрытия потенциальных проблем безопасности. Мы серьезно относимся к своей безопасности и приватности и стремимся защищать приватность и личные данные наших пользователей. Миссия KSI состоит в том, чтобы создавать самые безопасные в мире и инновационные приложения для обеспечения безопасности, и мы считаем, что сообщения об ошибках от мирового сообщества исследователей в области безопасности является ценным компонентом обеспечения безопасности продуктов и услуг KSI.
Поддержка безопасности наших пользователей является ядром наших ценностей как организации. Мы ценим вклад хакеров доброй воли и считаем, что постоянное сотрудничество с хакерским сообществом помогает нам обеспечивать их безопасность и приватность, а также делает Интернет более безопасным местом. Это включает в себя поощрение ответственного тестирования безопасности и раскрытия уязвимостей безопасности.
Политика раскрытия уязвимостей Keeper устанавливает ожидаемые нормы при работе с хакерами доброй воли, а также то, что вы можете ожидать от нас.
Если тестирование безопасности и отчетность выполнены в рамках рекомендаций данной политики, мы:
Если у вас возникнут сомнения в отношении того, согласуется ли ваше тестирование с Рекомендациями и Рамками данной политики, свяжитесь с нами по адресу security@keepersecurity.com, прежде чем приступать к тестированию.
С целью поощрения тестирования безопасности с добрыми намерениями и раскрытия обнаруженных уязвимостей, мы просим вас:
Keeper имеет партнерские отношения с Bugcrowd для управления нашей программой раскрытия уязвимостей.
Подавайте свои отчеты посредством [https://bugcrowd.com/keepersecurity].
Портал документации Keeper, содержащий руководства по продуктам, техническую информацию, примечания к выпуску и руководства для конечных пользователей, доступен по адресу: https://docs.keeper.io
Состояние системы в реальном времени можно найти на: https://statuspage.keeper.io