We begrijpen dat de informatie van onze klanten zeer vertrouwelijk is. Daarom nemen we de veiligheid van Alloq zeer serieus en doen we er alles aan om gegevens uit verkeerde handen te houden. Laten we eens kijken naar de maatregelen die we tot nu toe hebben genomen.
Beperking van toegang
De meest voor de hand liggende – en degene die we maar al te goed kennen – is authenticatie. Ja, je moet ook inloggen op Alloq. We kunnen verbinding maken met uw identiteitsprovider, zodat u zich kunt aanmelden met uw bedrijfsreferenties, zoals uw Microsoft Azure Active Directory-account. Verder maakt Alloq gebruik van autorisatie ;. alle gebruikers krijgen specifieke machtigingen, zodat ze alleen toegang hebben tot de functies en gegevens die ze nodig hebben.
Een betrouwbare methode om ongewenste gasten buiten te houden, is door IP-adressen te onderscheiden. Hierdoor kunnen we onderscheiden of iemand probeert toegang te krijgen tot Alloq vanuit uw kantoor of niet. Wanneer we Alloq voor u instellen, vragen we het IP-bereik van uw kantoor. We configureren Alloq zodat het alleen verbindingen van dat IP-bereik toestaat. Al het andere verkeer wordt geblokkeerd. Dit betekent dat de applicatie alleen toegankelijk is vanuit uw kantoor. Als u een VPN (virtual private network) gebruikt om verbinding te maken met uw kantoor, kunt u met die verbinding ook Alloq gebruiken. Op deze manier kunt u blijven werken, zelfs als u naar uw werk reist of vanuit huis werkt.
Toegewijde omgeving
Soms worden datalekken veroorzaakt wanneer de toepassing de ene gebruiker voor de andere aanziet. Wanneer dit gebeurt, kan de verkeerd geïdentificeerde gebruiker informatie zien die van iemand anders of een ander bedrijf is. Het tonen van gegevens aan de verkeerde gebruikers – met of zonder kwaadwillende bedoelingen – zijn ook datalekken.
Om ervoor te zorgen dat dit met Alloq niet kan gebeuren, krijgt elk bedrijf zijn eigen speciale containercluster. Dit is tech talk voor een omgeving waarin alle bits en delen van de Alloq-applicatie geïsoleerd leven. Dit betekent dat andere Alloq-applicaties (omdat het in wezen klonen zijn) geen toegang hebben tot de gegevens van andere klonen. Zonder een gedeelde database kunnen we gegevens niet ‘misplaatsen’. Uw Alloq-omgeving en de gegevens die erin staan, zijn alleen van u en alleen uw gebruikers kunnen deze zien.
Kwaliteitsverzekering
Om de kwaliteit van Alloq te waarborgen, hebben we praktijken ingevoerd die menselijke fouten verminderen. Tussen het schrijven van code en het updaten van de applicatie moeten we een groot aantal stappen doorlopen.
Onze eerste verdedigingslinie zijn geautomatiseerde tests. Deze worden vaak uitgevoerd, maar wat nog belangrijker is, ze worden ook uitgevoerd voordat nieuwe code wordt goedgekeurd. Ze controleren of de code werkt zoals verwacht en zorgen ervoor dat codewijzigingen de bestaande functionaliteit niet aantasten. Als een test mislukt, moeten we deze repareren voordat we door kunnen gaan naar de volgende stap.
Zodra alle geautomatiseerde tests zijn geslaagd, controleert een scanner onze code op bugs, kwetsbaarheden en code die niet aan onze normen voldoet. Deze tool wordt regelmatig bijgewerkt om rekening te houden met de nieuwste beveiligingsproblemen. Nogmaals, we moeten alle problemen oplossen voordat we door kunnen gaan naar de volgende stap.
Helaas kunnen tools niet alle problemen detecteren, dus alle codewijzigingen worden beoordeeld door een andere software-engineer. Deze zijn bedoeld om potentiële beveiligingsproblemen op te vangen en om ervoor te zorgen dat de code begrijpelijk en schaalbaar is.
Zodra al het bovenstaande is gedaan, is de code goedgekeurd. We brengen het meestal uit in onze testomgeving. Dit is onze interne omgeving waarop we zo vaak we willen kunnen inzetten. We gebruiken het om ons werk opnieuw te testen en om de laatste wijzigingen aan belanghebbenden te demonstreren. Hoewel het geen formele test is, is het een goed moment om eventuele resterende problemen op te sporen.
Ten slotte wordt ons werk beoordeeld door belanghebbenden in een andere omgeving. Hun tests zijn grondig en hebben meestal betrekking op vele, zo niet alle aspecten van de applicatie.
Als alles in orde is en we formele toestemming krijgen, zijn we klaar om over te gaan tot productie. De ene engineer moet de productierelease voorbereiden en een andere moet deze goedkeuren. We volgen meestal een schema om ervoor te zorgen dat we Alloq niet vrijgeven wanneer het in gebruik is. Als er iets misgaat bij een van bovenstaande, gaan we terug naar stap één. Elk probleem dat we oplossen, resulteert in een codewijziging die helemaal opnieuw moet worden bekeken.
Beveiligingsaudits vereisen zeer specifieke vaardigheden en nemen veel meer tijd in beslag. Het duurt te lang om deze bij elke codewijziging te doen. In plaats daarvan laten we een beveiligingsspecialist Alloq hacken. Of dat proberen ze. We hebben experts van FoxIT en VI Company gehad die beveiligingsaudits hebben uitgevoerd en ze zijn er niet in geslaagd om Alloq te hacken of er gegevens uit te extraheren.
Afsluitend
We zijn trots op onze hoge normen en we zullen ons blijven verbeteren om ervoor te zorgen dat Alloq zo veilig en veerkrachtig mogelijk is. We zitten op de hoogte van beveiligingsnieuws, de nieuwste technieken en tools, en testen de applicatie dagelijks.