Перейти к содержанию

Разделение ответственности за данные клиента

В Валарм WAF используется раздельная схема ответственности за данные. Валарм и клиент имеют разные зоны ответственности, в том числе за Персональные данные и информацию о банковских картах.

Валарм WAF — гибридное решение, которое предоставляет и программное обеспечение и услугу (SaaS). Решение состоит из двух основных компонентов в разных зонах ответственности:

  • WAF‑нода устанавливается в инфраструктуре клиента и находится в зоне ответственности клиента или партнера. Компонент фильтрует запросы от конечного пользователя к приложению: пропускает легитимные и блокирует вредоносные. WAF‑нода анализирует запросы локально без зеркалирования или клонирования трафика в Облако Валарм.

  • Облако Валарм — облачный компонент, который находится в зоне ответственности Валарм. Компонент получает от WAF‑ноды метаданные об обработанных запросах и обнаруженных атаках. На основе полученных данных Облако формирует индивидуальные правила для приложения и сохраняет правила доступными для скачивания WAF‑нодой. Консоль управления Валарм и публичный API позволяют клиентам получать отчеты и уведомления о событиях безопасности, управлять пользователями, правилами и интеграциями.

Зоны ответственности

Ответственность Валарм

  • Безопасность и доступность облачных сред Валарм, безопасность кода WAF‑ноды и внутренних систем Валарм.

    Обеспечение безопасности и доступности включает в себя такие действия, как: исправление серверных ошибок, поддержка сервисов для предоставления облачного компонента Валарм, тестирование уязвимостей, мониторинг и логирование событий безопасности, управление инцидентами, оперативный мониторинг и круглосуточная поддержка. Также, мы управляем конфигурацией серверов и группами безопасности облачных сред Валарм.

  • Периодическое обновление WAF‑ноды. Применение обновлений на стороне приложения — ответственность клиента.

  • Предоставление по запросу копии последнего отчета SOC 2 Type II об аудите Валарм.

Ответственность клиента

  • Внедрение и поддержка внутреннего контроля за доступом к системе и использованием компонентов, связанных с сервисами Валарм, в том числе с WAF‑нодами и Облаком.

  • Удаление аккаунтов пользователей, с которыми прекращено сотрудничество и которые имели доступ к управлению сервисами Валарм.

  • Настройка правил маскировки конфиденциальных данных, которые могут быть отправлены WAF‑нодой в Облако Валарм как часть отчета об обнаруженных вредоносных запросах.

  • Обеспечение авторизованных, защищенных и своевременных транзакций от компании клиента.

  • Своевременное уведомление Валарм об изменениях в списке сотрудников, которые участвуют в финансовых, технических, административных или других процессах по работе с Валарм.

  • Своевременное применение обновлений Валарм к установленным WAF‑нодам.

  • Разработка и возможное участие в реализации плана обеспечения непрерывности и восстановления (BCDRP), который содействует в продолжении работы с сервисами Валарм.

Ответственность партнера

Если клиент получает защиту веб‑приложения через партнера Валарм, ответственность может быть разделена между клиентом и партнером по условиям договора. Например, партнер может управлять WAF‑нодами на своей стороне и самостоятельно обеспечивать стабильность связанных сервисов.

Маскировка данных

Чтобы обеспечить защиту от отправки конфиденциальных данных в Облако Валарм, мы рекомендуем настроить специальные правила маскировки. Также, правила маскировки рекомендуются для клиентов, которые обрабатывают даннные на своей стороне в соответствии с PCI DSS, GDPR и другими требованиями.

Среди конфиденциальных данных, которые WAF‑нода отправляет в Облако Валарм, могут быть только данные об атаке. Вероятнее всего, вредоносный запрос не содержит конфиденциальных данных, но мы рекомендуем максировать поля запроса, которые могут содержать персональные или платежные данные (api_key, password, token, cc_number и так далее). Данный подход гарантирует, что указанные поля не покинут периметр безопасности клиента.

Вы можете настроить правило WAF типа Маскировать как конфиденциальные данные и указать параметры запроса, которые должны быть опущены при отправке данных в Облако Валарм. Для получения более подробной информации вы можете использовать инструкцию или обратиться в техническую поддержку Валарм.