Безопасность на Lucid

Сертификаты, актуальную документацию по безопасности и ответы на часто задаваемые вопросы можно моментально найти в центре доверия Lucid. Здесь хранится наша документация по SOC 2, CAIQ и SIG, а также более 30 других документов.

Компания Lucid прекрасно понимает, что ваши данные — ценный актив, который обязательно нужно защищать. Предлагаем вашему вниманию белую книгу о том, как наши правила и процедуры безопасности стоят на страже данных клиентов в Lucidchart, Lucidspark и Lucidscale.

Lucid не претендует на содержимое ваших файлов. Право интеллектуальной собственности и другие права на ваши документы и содержащуюся в них информацию сохраняются за вами. Мы уважаем неприкосновенность вашей информации и ни в коем случае не размещаем ваши файлы в открытом пространстве без вашего согласия.

В целях защиты вашей информации передача всех данных между пользовательскими устройствами и серверами Lucid производится посредством соединения TLS 1.2 с применением 256-битного шифрования и сертификата поставщика мирового класса. Чтобы обезопасить всю хранимую в приложении информацию, Lucid также осуществляет шифрование неактивных данных (AES-256). Для охраны информации на Lucid применяются криптографические ключи, защищенные системой управления ключами Amazon (Key Management Services).

Lucid строго соблюдает нормы CCPA и GDPR и следит за применением одобренных механизмов работы с данными (например, стандартных положений о защите данных в рамках GDPR и соглашений, которые придут на смену Privacy Shield) при передаче личной информации пользователей из Европейской экономической зоны (ЕЭЗ), Великобритании и Швейцарии в США. Вдобавок к этому, при передаче личной информации из ЕЭЗ, Великобритании и Швейцарии в США все наши субподрядчики по обработке данных придерживаются механизма Data Privacy Framework либо стандартных положений или обязательных корпоративных правил GDPR. Компания Lucid также сертифицирована по программе EU-US Privacy Shield.

Полезные ресурсы:

• Политика конфиденциальности
• Условия предоставления услуг
• Дополнение по обработке данных (для корпоративных клиентов)
• Часто задаваемые вопросы

Мы знаем, что данные, хранящиеся в облаке, требуют особой защиты. Поэтому протокол безопасности Lucidscale включает меры по охране данных и предоставлению доступа к ним только тем, кому он положен. Lucidscale придерживается передовых методов охраны данных на всех трех интегрированных облачных платформах — AWS, Azure и GCP.

Приглашаем вас ознакомиться с дополнительной информацией о стороннем доступе, разрешениях, идентификаторах пользователей и правилах хранения данных в AWS, Azure и GCP.

Компания Lucid соблюдает применимые местные и международные правила работы с данными и располагает актуальными сертификатами соответствия, в числе которых:

• SOC 2 второго типа,
• PCI (стандарт сферы платежных карт),
• Data Privacy Framework (механизм передачи данных между ЕС/Швецией и США),
• FedRAMP,
• ISO 27001,
• CASA (оценка безопасности облачных приложений).

Безопасность ваших данных — один из главнейших приоритетов Lucid, поэтому на защиту наших систем, процессов и рычагов управления выделена целая команда сотрудников. Платформа Lucid работает на базе Amazon Web Services (AWS) — ведущего поставщика надежной вычислительной инфраструктуры в нашей области.
Мы выбрали AWS за жесткий контроль безопасности, в частности: 

• аудит по стандарту SOC 2, 
• сертификат поставщика услуг первого уровня согласно стандарту безопасности данных (DSS) в сфере платежных карт (PCI),
• сертификат ISO 27001,   
• разрешение на ведение деятельности умеренного уровня по стандартам Управления общих служб США и Федерального закона о модернизации информационной безопасности (FISMA)
,
• разрешение FedRAMP (средний уровень риска)
.

С процедурами защиты данных, принятыми в AWS, можно подробнее ознакомиться в документации по безопасности и исполнению стандартов.

Безопасный доступ к сервисам Lucid предоставляется в любое время, с любого устройства и в любом месте. Lucid гарантирует корпоративным клиентам аптайм 99,9%. Эта цифра достигается путем репликации документов, сведений об учетных записях, списков контроля доступа и других постоянных данных в нескольких зонах доступности с использованием стандартных отраслевых систем управления базами данных и решений для аварийного переключения.

Корпоративным клиентам Lucid предлагает функции, позволяющие держать учетные записи под контролем для более строгого исполнения стандартов работы с данными. В их числе — ограничение на передачу документов, а также списки разрешенных IP-адресов и доменов.

Мы строго придерживаемся передовых методов защиты информации, в частности, принципа минимальных привилегий. Опираясь на простую систему выдачи прав на основе ролей, Lucid дает администраторам возможность контролировать доступ пользователей к документам в пределах вашей учетной записи. А наши инструменты позволяют администраторам аккаунтов и рабочих команд интегрировать наш сервис с предпочитаемыми платформами управления идентификацией и держать под контролем настройки совместной работы.

Lucid позволяет сторонним исследователям выявлять ошибки в наших приложениях и оповещать нас о них через программу «баг-баунти» на платформе HackerOne. Чтобы вступить в программу, отправьте свое имя пользователя в HackerOne на адрес security@lucid.co.

Если вы обнаружили ошибку в безопасности наших приложений, вместо отчета через HackerOne вы можете отправить информацию нам напрямую: security@lucid.co, однако вознаграждения за «пойманные» ошибки начисляются только по программе на HackerOne.

Enterprise Shield — специальное дополнение для корпоративных клиентов Lucid и учетных записей с сертификацией FedRAMP. Оно обеспечивает повышенный уровень безопасности и строгий контроль для и без того крайне надежной платформы Lucid.

Enterprise Shield открывает администраторам расширенные возможности для защиты важных данных, контроля доступа к содержимому и более строгого соблюдения рабочих стандартов.