Μετάβαση στο περιεχόμενο
210 440 8777
Πες μας τι χρειάζεσαι

Information Security

Πολιτική ασφάλειας πληροφοριών.

Η ασφάλεια των δεδομένων σας είναι θεμελιώδης για εμάς. Παρακάτω τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουμε σύμφωνα με τα διεθνή πρότυπα (ISO 27001, GDPR Άρθρο 32).

Ζήτησε προσφορά

Κρυπτογράφηση

Σε μεταφορά (in transit)

  • TLS 1.3 για όλη την HTTP κίνηση (HSTS preload list).
  • SSL certificates από αναγνωρισμένη CA (Let's Encrypt, Google Trust Services).
  • Αυτόματη ανακατεύθυνση HTTP → HTTPS (301).
  • HSTS με preload για 1 έτος (RFC 6797).

Σε ανάπαυση (at rest)

  • AES-256 στα backups και τις βάσεις δεδομένων.
  • Κρυπτογραφημένοι δίσκοι στους production servers.
  • Hash αλγόριθμος bcrypt / Argon2 για passwords (όχι MD5/SHA1).

Έλεγχος πρόσβασης

  • Multi-factor authentication (MFA) υποχρεωτικό για όλα τα admin accounts.
  • Principle of least privilege — κάθε χρήστης έχει μόνο τα δικαιώματα που χρειάζεται.
  • Audit logs για όλες τις admin ενέργειες, διατηρούνται 12 μήνες.
  • Πρόσβαση σε production servers μόνο μέσω SSH key (όχι password), από συγκεκριμένα IPs.
  • VPN για απομακρυσμένη πρόσβαση όπου χρειάζεται.

Backups & disaster recovery

  • Καθημερινά backups με 30 ημέρες retention.
  • Off-site storage σε διαφορετική γεωγραφική τοποθεσία.
  • Encrypted in transit & at rest.
  • Δοκιμή restore κάθε τρίμηνο για επαλήθευση integrity.
  • RTO (Recovery Time Objective): 4 ώρες
  • RPO (Recovery Point Objective): 24 ώρες

Network & infrastructure

  • Cloudflare WAF (Web Application Firewall) στο edge.
  • DDoS protection (Cloudflare Magic Transit).
  • Rate limiting σε auth endpoints και APIs.
  • Automated security updates στους servers.
  • Δικτυακή απομόνωση μεταξύ production / staging / dev.

Software development

  • Code review πριν από κάθε production deployment.
  • Dependency scanning (Dependabot) για γνωστές ευπάθειες.
  • Static analysis (SAST) στο CI/CD pipeline.
  • Secrets vault — ποτέ credentials στον κώδικα.
  • Tested rollback διαδικασία για production releases.

Εκπαίδευση προσωπικού

  • Ετήσια εκπαίδευση security awareness για όλα τα μέλη της ομάδας.
  • Phishing simulations 2 φορές τον χρόνο.
  • NDA για όλους τους συνεργάτες με πρόσβαση σε προσωπικά δεδομένα.

Incident response

Σε περίπτωση παραβίασης ασφάλειας προσωπικών δεδομένων (data breach):

  1. Εντός 1 ώρας: εσωτερική αναφορά και ενεργοποίηση incident response team.
  2. Εντός 24 ωρών: εκτίμηση επιπτώσεων και containment.
  3. Εντός 72 ωρών: ενημέρωση Αρχής Προστασίας Δεδομένων (Άρθρο 33 GDPR), αν υπάρχει υψηλός κίνδυνος.
  4. Άμεσα: ενημέρωση επηρεαζόμενων υποκειμένων δεδομένων (Άρθρο 34 GDPR), αν υπάρχει υψηλός κίνδυνος.
  5. Εντός 30 ημερών: post-mortem report και μέτρα πρόληψης.

Αναφορά ευπαθειών (Responsible disclosure)

Αν εντοπίσετε security ζήτημα, στείλτε email στο [email protected] με θέμα «Security report». Δεσμευόμαστε:

  • Να απαντήσουμε εντός 48 ωρών.
  • Να μη λάβουμε νομικά μέτρα εναντίον σας, εφόσον αναφέρετε υπεύθυνα και δεν εκμεταλλεύεστε την ευπάθεια.
  • Να σας ευχαριστήσουμε δημόσια (αν επιθυμείτε).

Συμμόρφωση

  • GDPR Άρθρο 32 — Ασφάλεια επεξεργασίας
  • ISO/IEC 27001 best practices
  • OWASP Top 10 mitigations
  • NIST Cybersecurity Framework guidance

Σχετικά

Έτοιμοι να ξεκινήσουμε;

Πες μας λίγα λόγια για το έργο σου. Θα σου στείλουμε σταθερή προσφορά σε 24 ώρες.

Ζήτησε προσφορά Κλείσε ραντεβού 15′