ПОЛІТИКА БЕЗПЕКИ

Відповідає вимогам ISO/IEC 27001 та SOC 2

1. Вступ

DeskCamera — це програмне забезпечення, яке транслює зображення з екрана комп’ютера та звук до систем NVR/VMS за протоколами ONVIF/RTSP. Воно повністю функціонує локально, в межах мережі користувача, і не передає, не збирає та не зберігає жодних даних користувача чи відеоконтенту. Розробка програмного забезпечення здійснюється згідно з жорсткими стандартами безпеки та вимогами до відповідності.

2. Мета політики

Визначити рамки безпеки та зони відповідальності для забезпечення конфіденційності, цілісності та доступності застосунку DeskCamera у відповідності до стандартів ISO/IEC 27001 та критеріїв довіри SOC 2.

3. Основні принципи безпеки

  • Архітектура тільки для локального використання: DeskCamera працює виключно в межах інфраструктури клієнта та не потребує з’єднання з інтернетом чи зовнішніми серверами. Опціональне підключення до хмарної інфраструктури DeskCamera можливе лише для перевірки ліцензії або оновлень. Під час такого з’єднання жодні персональні дані не передаються.

  • Відсутність збору даних: Застосунок не збирає і не передає жодних даних користувача, відео або телеметрії.

  • Захищене управління кодовою базою (ISO 27001 A.9, A.12): Вихідний код зберігається в захищеному DevOps-репозиторії з контрольованим доступом на основі ролей, логуванням і регулярним аудитом.

  • Підписані збірки (SOC 2 — Цілісність системи): Усі версії застосунку цифрово підписуються сертифікатом, який зберігається в зашифрованому вигляді на апаратному токені (наприклад, HSM або Yubikey), що відповідає сучасним стандартам шифрування та фізичного захисту.

  • Безпечний життєвий цикл розробки (SDLC): Розробка DeskCamera відбувається за принципами безпечного SDLC: безпечне проєктування, перевірка коду, статичний аналіз коду та щонайменше щорічне проведення пенетрацiйного тестування.

  • Цілісність оновлень (SOC 2 — Управління змінами): Усі оновлення проходять формальний контроль змін, регресійне тестування та перевірку цілісності перед релізом. Зміни фіксуються у системі контролю версій з аудитним слідом.

4. Контроль доступу

  • Доступ до вихідного коду або інфраструктури для збірки мають лише уповноважені співробітники.

  • Доступ переглядається щоквартально (ISO/IEC 27001 A.9.2.5).

  • Усі дії адміністраторів логуються та зберігаються для проведення аудиту.

5. Управління ризиками постачальників та третіх сторін (ISO 27001 A.15)

  • Усі сторонні бібліотеки та залежності відстежуються та моніторяться.

  • Безпекові бюлетені перевіряються щотижня, патчі встановлюються регулярно.

  • Компоненти з високим ризиком або без підтримки уникаються або ізолюються в sandbox-середовище.

6. Готовність до реагування на інциденти (ISO 27001 A.16, SOC 2)

  • Доступна спеціальна контактна особа для повідомлення про вразливості та інциденти.

  • Інциденти безпеки обробляються за структурованим процесом: виявлення, класифікація, локалізація, усунення, аналіз причин.

  • Проведення аналізу для врахування отриманого досвіду та покращення реакції в майбутньому.

7. Відповідальність клієнтів

  • Встановлювати оновлення програмного забезпечення, доступні на офіційному сайті DeskCamera.

  • Підтримувати безпечні конфігурації системи та обмежувати мережевий доступ до DeskCamera.

8. Відповідність і перегляд політики

Ця політика переглядається щорічно або в разі суттєвих змін у системі чи середовищі.

9. Контакт для питань безпеки

Питання безпеки можна надсилати на: [email protected]