Jotform Secure Online Forms
Нашата репутация в Jotform се основава на способността ни да предоставим на всички наши потребители най-висока формова сигурност.
Защо Jotform е защитен?
Гарантирането на поверителността и сигурността на вашите данни е основен приоритет за нас. Вие можете да бъдете спокойни, знаейки, че ние вземаме всички предпазни мерки, за да предоставим услуга за онлайн форми с високо ниво на сигурност.
Как можете да направите вашите форми още по-безопасни?
Има няколко опции за защита на вашите данни в Jotform. Това улеснява избора на ниво на поверителност и сигурност, което искате за вашите форми.
Можете да изберете да съхранявате вашите данни в Европейския съюз (ЕС) от раздела "Данни" в настройките на вашия акаунт. След потвърждение, вашите формови данни ще бъдат преместени на нашите европейски сървъри във Франкфурт, Германия, които са управлявани от Google. След като прехвърлянето приключи, ще бъдете автоматично пренасочвани към eu.jotform.com при влизане. Няма нужда да се притеснявате за безопасността на вашите данни. Jotform отговаря на общите правила на ЕС за регламента за защита на данните.
С Jotform Ентерпрайз можете да използвате геолокализация, за да хоствате данни от форми на сървъри в почти всяка част на света. Тъй като много държави, включително Австралия, имат закони, които изискват това, то може да бъде безценен инструмент за глобалния бизнес.
Вие можете да архивирате вашите данни с едно щракване от раздела Данни в настройките на вашия акаунт. Когато задействате операция за архивиране, ние започваме да подготвяме единичен ZIP файл, който съдържа HTML кода за вашите форми, CSV експорт на вашите подадени формуляри и всички качени файлове.
Тези резервни копия могат да бъдат изтеглени или съхранени в нашата база данни. Ако желаете да архивирате само вашите форми, възможно е също да изтеглите техния изходен код в zip формат и да го съхраните във вашето локално хранилище от опциите за Публикуване.
Jotform предлага две различни алтернативи на КАПЧА, за да затрудни ботовете да попълват вашата форма, като същевременно я поддържат лесна за отговарящите. Можете да използвате основна КАПЧА или реКАПЧА, както се предоставя от Google.
Също така внедрихме множество проверки на кодирането в процеса на подаване, за да анализираме дали подаването идва от човек. Ако спама проникне, нашия 24/7 екип за поддръжка ще ви помогне да установите причината и да кредитирате вашия акаунт, ако е необходимо.
За допълнителна защита срещу спам можете също да ограничите подадените формуляри до вашата форма, така че да може да се направи само едно изпращане от един IP адрес или от един компютър. Ако предпочитате, можете да активирате и двете за по-голяма защита. Освен това можете да изберете вашите форми да бъдат деактивирани в точно определено време или след достигане на определен лимит за подаване.
Какви други мерки предприемаме за защита на вашите данни?
Що се отнася до сигурността на формите, високата наличност или висока производителност, ние непрекъснато правим допълнителни стъпки. Правим домашното си, за да поддържаме сигурността на нашата услуга.
Сървърите на Jotform са разположени съвместно в облачна архитектура с Google Cloud и Amazon Web Services (AWS). Центровете за данни на Google Cloud се хостват в Айова (САЩ) и Франкфурт (Германия, ЕС). Центровете за данни на AWS се намират във Вирджиния (САЩ) и Франкфурт (Германия, ЕС).
Сървърите на Google Cloud хостват нашите резервни сървъри за приложения и данни в активен-активен конфигурация и всички данни също се репликират на AWS сървърите на почасова база за архивиране. Това осигурява резервиране на ниво платформа в допълнение към дублирането, което е получено с множество сървъри в рамките на една платформа. В случай, че трябва да преминем от основната платформа (Google Cloud) към вторичната платформа (AWS), тази архитектура ни помага да се възстановим при прекъсване на ниво платформа. Всички данни остават в региона, така че данните за ЕС винаги се намират в ЕС зоната.
Хостването на Jotform на тези основни облачни платформи също ни предоставя някои допълнителни предимства в средствата за прилагане на най-добрите практики за сигурност в области, като управление на жизнения цикъл на хардуера, физическата сигурност и мрежовата инфраструктура. Нашите сървъри се актуализират редовно и се коригират.
With a Jotform Enterprise account, you can use single sign-on (SSO) to boost security while making it easier for your employees to work together. Choose from multiple login methods and options to track user actions and maintain control of your account’s security.
Jotform Enterprise supports SAML user authentication and popular SSO solutions such as Active Directory, Okta, Google, and OneLogin. Multi SSO allows users to be authenticated through multiple identity providers simultaneously, such as Google and Microsoft, enhancing flexibility and security for organizations with various authentication needs.
You can also use SSO to protect internal forms with Jotform Enterprise. Users must be authenticated before they can view your form, ensuring that sensitive employee data is securely collected and that the person submitting the form is a verified user.
В допълнение към внедряването на функции, които повишават сигурността, ние поддържаме най-добрите практики в бекенда, за да гарантираме, че вашият акаунт остава защитен. Ние наблюдаваме сесиите, за да ограничим достъпа до вашия акаунт по подходящ начин и сме създали Jotform по начин, по който всеки акаунт е изолиран.
Ние въведохме предпазни мерки за откриване на често срещани атаки, като SQL инжектиране и скриптове между сайтове. Най-важното е, че ние активно преглеждаме нашия код за потенциални проблеми със сигурността (в допълнение към оценката от отзивите на всички потребители), за да можем да се справим с всички проблеми, ако възникнат. Нашата декларация за поверителност говори за нашето ниво на ангажираност, за да гарантираме, че с вашите данни не се злоупотребява.
Целият разработен код се внедрява в производствената среда само след определени процедури, включително тестове, които са изпълнявани на подготвителни системи. Нашата система за непрекъснато внедряване и процес на разработка ни позволяват бързо да актуализираме и коригираме нашата система, когато е необходимо.
PCI сканирането се извършва за редовно откриване на всякакъв вид уязвимости на публично достъпните интерфейси. Всяко тримесечие се извършват вътрешни и външни тестове на одобрен доставчик за сканиране (ASV) за PCI. В допълнение към тези PCI сканирания периодично се извършват тестове за проникване.
Имаме и програма за награди за открити грешки, при която плащаме на външни страни за докладване на уязвимости, което гарантира, че ние сме първите, които знаят за тях. Ние отстраняваме всички проблеми, докладвани с нашата програма за грешки с най-висок приоритет, във възможно най-кратки срокове.
Ние имаме външен маршрутизиращ слой от CloudFlare, който осигурява основно филтриране за обработка и управление на всякакви потенциални DDoS (отказ от услуга) атаки. Сканирания за защита се извършва периодично, както е описано в главата за одити/VA/PT. Нашите сървъри са конфигурирани да позволяват само абсолютно минимално ниво на достъп, което е необходимо за поддържането им.
Всички ненужни потребители, протоколи и портове са деактивирани и наблюдавани. Нашите служители имат достъп до сървърите само чрез виртуална частна мрежа, използвайки 2048-битова криптирана връзка с частни ключове. В допълнение към услугите за сигурност на трети страни, нашият опитен екип за разработка непрекъснато наблюдава всяко подозрително поведение в цялата система.
ЧЗВ
-
Имат ли формите някакви защитни функции?
Да. Вашите форми се съхраняват в защитена, 256-битов Слой със защитени гнезда (SSL) връзка. Когато криптирате вашите форми, подадените формуляри са защитени от вашата персонализирана парола. Освен това, вие можете да активирате допълнителна защита за поверителност и нежелана поща, както е обяснено по-горе в раздела „Как можете да направите вашите форми още по-безопасни?“
-
Съхранявате ли всички криптирани формови данни? Изпращате ли имейл известия за криптирани форми?
Ако желаете да криптирате вашите форми, вашите подадени формуляри ще бъдат прехвърлени и съхранени криптирани. Имейл известията за тези форми не са криптирани и следователно не съдържат подадени данни.
-
Ще бъдат ли моите данни защитени както при пренос, така и при покой, ако използвам вашата система?
Да, ако криптирате вашата форма, подадените данни ще бъдат криптирани по време на предаването към нашия сървър с 256-битово SSL криптиране. След като достигнат до нашите сървъри, SSL се декриптира и вашите данни се съхраняват криптирани в нашите сървъри. Само притежателят на паролата за криптиране ще има достъп до вашите формови данни.
-
Могат ли търсачките да индексират моите формови данни?
Jotform обезсърчава търсачките да индексират подадени формуляри. Потребителите могат също така да ограничат достъпа до подадените формуляри до техните собствени акаунти, ако желаят да направят това и да направят техните подадените формуляри недостъпни за обществеността.
-
Как съхранявате качените файлове в моите форми?
На качените файлове във вашите форми се задава много сложен URL адрес. Само хора с този URL могат да изтеглят тези файлове. Ако обаче искате по-голяма сигурност за вашите качени файлове, вие можете да ограничите достъпа. Например, за да можете да изтеглите тези файлове, вие трябва да сте влезли във вашия Jotform акаунт в същия браузър. Вие можете да Прочетете повече за тази функция.
-
Обработва ли вашата организация транзакции или информация с кредитни карти? Ако е така, отговаряте ли на PCI DSS?
Jotform е Стандарт за сигурност на данните за кредитната индустрия за плащане (PCI DSS) Сертифициран доставчик на услуги ниво I, най-високото ниво на сигурност, което можете да имате като бизнес, който събира плащания от и се интегрира с кредитни карти. Въпреки че повечето плащания се обработват на уебсайта на платежния процесор, за PayPal Payments Про, Authorize.net, Worldpay US и PayJunction, информацията за кредитната карта се обработва през нашите PCI сървъри — но не се съхранява по никакъв начин.
-
Какви са стандартите за сигурност на Jotform (HTTPS / криптиране)?
По подразбиране Jotform използва TLSv1.2 стандарта за връзка в допълнение към SHA256/RSA криптиране за HTTPS. За криптиране на подадени формуляри, Jotform използва 2048 битови RSA ключове.
-
Как предотвратявате инжектирането на XSS и SQL?
Ние прилагаме най-добрите практики за предотвратяване на такива уязвимости и активно преглеждаме нашия код за потенциални проблеми със сигурността. Освен това оценяваме всички отзиви на потребителите и отчетите на програмите за грешки в най-кратки срокове.
-
Какво използвате за защита на сигурността срещу злонамерени атаки?
Ние използваме CloudFlare за защита от спам, фишинг и DDOS атаки и OSSEC за откриване на прониквания и наблюдение на сървърите.
-
Кой има достъп до информацията, която е събрана в нашата база данни в Jotform?
Нашите сървъри имат ограничен достъп по мрежа и ниво на удостоверяване. На ниво мрежа са разрешени само ограничен брой точки за влизане в VPN, а останалите заявки за връзка са напълно блокирани от нашата защитна стена. На ниво удостоверяване само екипа по операции за развитие и нашият технически директор и главен изпълнителен директор имат идентификационни данни за достъп до тези сървъри.
-
Провеждате ли някакви вътрешни или външни оценки на уязвимостта или тестове за проникване?
В допълнение към вътрешните и външните PCI сканирания периодично се извършват тестове за проникване. Имаме и програма за награди за грешки, при която външни страни съобщават за уязвимости. Прочетете повече за това в нашия блог или в секцията Одити на сигурността по-горе.
-
Каква е политиката за сложност на паролата на вашата компания?
Нямаме политика за сложност на паролата. Паролите са криптирани със "сол" и SHA-256.
-
Вашата компания има ли политика за откриване на прониквания?
Jotform използва Система за откриване на проникване в хост (HIDS) на сървърите на приложението и Система за откриване на проникване в мрежа (NIDS) в офисите за разработка. Освен това се прилагат политики за откриване на PCI прониквания, както е определено от PCI изискванията.
-
Какъв тип надлежна проверка се извършва върху служителите от вашата организация?
Всички служители на Jotform трябва да преминат строг процес на проверка по време на наемането. Освен това всички служители трябва да подпишат и са обвързани от споразумение за неразкриване на информация (СНИ).
-
Какви мерки за сигурност на данните има вашият център за данни? Има ли налични сертификати, свързани със сигурността на данните, поверителността на данните, сигурното предаването на данни? Съвместим ли е вашият център за данни със SOC 2?
Всички центрове за данни, където хостваме нашите сървъри, отговарят на най-високите стандарти за сигурност. Нашата основна платформа е Google Cloud, която отговаря на SSAE16 / ISAE 3402 Type II, SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27017 (Cloud Security), ISO 27018 (Cloud Privacy) и PCI DSS v3.2. То също така позволява HIPAA съответствие. Вие можете да намерите повече информация относно Google Cloud съответствието на адрес https://cloud.google.com/security/compliance.
-
Къде е центъра за данни? Имате ли вътрешни сървъри?
Jotform използва Google Cloud и AWS за всички наши нужди от хостинг центрове за данни и не поддържа вътрешни сървъри. За текущ списък с местоположения за хостинг в облака, моля вижте секцията "Център за данни".
-
Тествани ли са вашите системи за недостатъци в сигурността?
Да, нашите системи се тестват редовно срещу външни и вътрешни заплахи.