Hizmetler

Prag web siteleri için siber güvenlik

Web sitenizin ve verinizin nerede açıkta olduğuna net bir bakış, sonra boşlukları kapatan düzeltmeler: denetimler, sızma testi, güvenli kod incelemesi ve WAF sıkılaştırma. 19.900 CZK’den, denetim başına kapsanır.

Hızlı ve güvenli bir ödünleşim değildir

Çoğu Prag web şirketi size ya hız satar ya güvenlik, nadiren ikisini. Alışılmış kalıp: site bir eklenti yığını üzerine hızlıca inşa edilir ve “güvenlik”, yeni yayımlanmış bir açığı olanları yamalamak için yıllık bir telaşa dönüşür. Biz diğer yolla inşa ederiz. Sitelerimiz, saldırılacak neredeyse hiçbir şeyi olmayan elle kodlanmış statik kod olarak teslim edilir: enjekte edilecek bir veritabanı yok, kaba kuvvetle kırılacak bir yönetici girişi yok, size sessizce başkasının açığını gönderen bir eklenti pazarı yok. Söz basittir: onu hızlı inşa ederiz ve güvenli inşa ederiz, aynı projede.

Ama küçük bir saldırı yüzeyi, hiç saldırı yüzeyi olmamasıyla aynı şey değildir. Formlar hâlâ girdi alır, API’ler hâlâ yanıt verir, sunucular hâlâ doğru başlıklara ve güncel TLS’e ihtiyaç duyar. Siber güvenlik, boşlukları kötü niyetli biri bulmadan önce, kasıtlı olarak aramaya gittiğimiz yerdir.

Gerçekte neyi kontrol ederiz

  • Güvenlik denetimi. Sitenizin, sunucunuzun, DNS’in, TLS’in, başlıkların ve üçüncü taraf betiklerin yapılandırılmış bir incelemesi; harekete geçemeyeceğiniz genel bir kontrol listesi olarak değil, her bulguyu gerçek dünya riskine göre sıralayan yazılı bir rapor olarak teslim edilir.
  • Sızma testi. Yazılı izniniz ve anlaşılmış bir kapsamla, kendi sitenize gerçek bir saldırganın yapacağı gibi saldırırız: enjeksiyon, kimlik doğrulama, oturum yönetimi, form ve API kötüye kullanımı, dosya yüklemeleri. Teorik bir liste değil, neyin istismar edilebilir olduğunun kanıtını alırsınız.
  • Güvenli kod incelemesi. Özel kod için, tarayıcıların kaçırdığı hataları bulmak için kaynağı okuruz: bozuk erişim kontrolü, güvensiz sorgular, depoya işlenmiş sırlar ve bilinen CVE’leri olan bağımlılıklar.
  • WAF ve sıkılaştırma. Sitenin önüne bir web uygulaması güvenlik duvarı koyar, sunucu yapılandırmasını sıkılaştırır, tarayıcıların beklediği güvenlik başlıklarını ekler ve herkese açık olması gerekmeyen her şeyi kilitleriz.

İlk işlemeden itibaren güvenli inşa edilir

En ucuz güvenlik işi, hiç sonradan eklemek zorunda kalmadığınız türdür. Web sitenizi inşa ederken sıkılaştırma, sonradan bir ek satış değil, yapının bir parçasıdır: girdi doğrulanır, çıktı kaçışlanır, sırlar kodun dışında kalır, bağımlılıklar güncel tutulur ve sunucu makul varsayılanlarla yayına girer. Bir Prahapp sitesinin, bilinmeyen kaynaklı bir düzine eklentiden montajlanmış bir şablondan çok daha iyi bir yerden başlamasının nedeni budur.

Zaten başkasının inşa ettiği bir siteniz varsa, onu olduğu gibi denetler ve sıkılaştırmaya mı, yeniden inşaya mı yoksa hiçbir şeye mi ihtiyacı olduğunu dürüstçe söyleriz.

GDPR yalnızca bir politika değil, bir güvenlik sorunudur

GDPR ve Çek veri koruma yasası kapsamında, müşteri verisinin sızması yalnızca utanç verici değildir; bildirime tabidir ve para cezasına çarptırılabilir. Gördüğümüz çoğu ihlal sofistike değildir: açıkta bir yedek, veriyi düz metin olarak e-postayla gönderen bir form, kişisel veriyi sessizce bir üçüncü ülkeye gönderen bir analitik betiği. Denetimimiz AB veri korumasının teknik tarafını kapsar: kişisel verinin nerede yaşadığı, nasıl seyahat ettiği, kimin ulaşabileceği ve sizin büyüklüğünüzdeki bir işletme için makul bir “uygun teknik önlemin” neye benzediği. Avukat değiliz ve bunu söyleriz, ama kâğıt üzerindeki bir politikayı gerçek bir riske dönüştüren teknik boşlukları kapatırız.

Maliyeti ne

Yazılı raporlu odaklı bir güvenlik denetimi, sitenizin boyutuna göre kapsanmış olarak 19.900 CZK’den başlar. Sızma testi, güvenli kod incelemesi ve WAF kurulumu, kapsamı öğrendikten sonra çalışma başına fiyatlandırılır, çünkü beş sayfalık bir broşür sitesi ile girişleri olan bir rezervasyon platformu aynı iş değildir. Her teklif başlamadan önce sabit ve yazılıdır. Bunu nasıl yapılandırdığımızı fiyatlandırma sayfasında görebilir ya da ne çalıştırdığınızı bize anlatın, 24 saat içinde somut bir kapsam ve fiyatla yanıt verelim.

Bu kimin için

Müşteri verisi işleyen ya da kesinti göze alamayan her Prag işletmesi: kart bilgisi alan e-shop’lar, hasta kayıtları olan klinikler, rezervasyon platformları, bir müşterinin güvenlik anketinden yeni kalmış ya da birini imzalamak üzere olan herkes. Buna ihtiyacınız olup olmadığına hâlâ karar veriyorsanız, bir denetim dürüst ilk adımdır: az maliyetlidir, kapsamı baştan bellidir ve düzeltmelere bir kuruş harcamadan önce tam olarak nerede durduğunuzu söyler.

Sıkça sorulan sorular

Güvenlik denetimi ile sızma testi arasındaki fark nedir?

Bir denetim yapılandırılmış bir incelemedir: sitenizi, sunucunuzu, TLS’i, başlıkları, DNS’i ve üçüncü taraf betikleri inceler, sonra size her bulguyu gerçek riske göre sıralayan yazılı bir rapor veririz. Bir sızma testi daha ileri gider ve o bulguları, yazılı izniniz ve anlaşılmış bir kapsamla, etkin biçimde istismar etmeye çalışır; böylece bir saldırganın gerçekte ne yapabileceğini, kâğıt üzerinde zayıf görüneni değil, görürsünüz. Çoğu işletme denetimle başlar ve riskin gerektirdiği yerde bir sızma testi ekler.

Testler web sitemi çevrimdışı bırakır mı?

Hayır. Bir hazırlık kopyasına karşı ya da düşük trafikli bir pencerede test eder, kapsamı önceden sizinle yazılı olarak anlaşır ve bir şey riskli görünür görünmez dururuz. Amaç, zayıflıkları biri kendi koşullarında bulmadan önce, güvenle, bizim koşullarımızda bulmaktır. Ne yaptığımızı ve ne zaman yaptığımızı tam olarak bilirsiniz.

Bulduklarınızı düzeltiyor musunuz, yoksa yalnızca rapor mu ediyorsunuz?

İkisi de ve seçim sizin. Her çalışma, herhangi bir geliştiriciyle harekete geçebileceğiniz yazılı bir raporla biter. Boşlukları bizim kapatmamızı isterseniz, düzeltmeleri sabit bir fiyat olarak fiyatlandırır, uygular ve sonra her sorunun yalnızca yapıldı olarak işaretlenmiş değil, gerçekten çözülmüş olduğunu doğrulamak için yeniden test ederiz.

Küçük işletmem gerçekten bir hedef mi?

Gördüğümüz neredeyse her saldırı kişisel değil, otomatiktir. Botlar bilinen zayıflıklar için tüm interneti tarar ve ne kadar büyük olduğunuzu umursamaz; güncelliğini yitirmiş bir eklentiye sahip küçük bir e-shop, bir bankadan daha kolay bir hedeftir. GDPR kapsamında, müşterilerinizin verisinin sızması da bildirime tabidir ve para cezasına çarptırılabilir, dolayısıyla işletmenin büyüklüğü riskin büyüklüğü değildir.

Bir güvenlik incelemesi GDPR’a nasıl yardımcı olur?

GDPR, kişisel veriyi korumak için uygun teknik önlemler gerektirir ve çoğu ihlal politika değil, teknik başarısızlıktır: açıkta bir yedek, veriyi düz metin olarak gönderen bir form, veriyi bir üçüncü ülkeye sızdıran bir betik. Denetimimiz kişisel verinin nerede yaşadığını, nasıl hareket ettiğini ve kimin ulaşabileceğini haritalar, sonra teknik boşlukları kapatır. Avukat değiliz ve bir soru teknik değil hukuki olduğunda bunu söyleriz.

Hangi hizmete ihtiyacınız olduğundan emin değil misiniz?

Durumunuzu anlatın, size doğru seçeneği gösterelim; bu, henüz bizden hizmet almamanızı söylemek anlamına gelse bile.