A++ tasemel turvalisus
Sinu andmed on kaitstud samal tasemel kui pangad
Sinu serveris
Andmed ei lahku sinu kontrolli alt. On-premise või privaatne pilv.
eID autentimine
ID-kaart, Smart-ID, Mobile-ID. Eesti riiklik identiteet.
Krüpteerimine
TLS 1.3, AES-256. Andmed krüpteeritud nii liikumisel kui salvestamisel.
GDPR konformne
Andmetöötlus Eesti/EL jurisdiktsioonis. Auditlogi, andmete kustutamine.
Auditlogi
Iga muudatus logitakse. Kes, millal, mida. Täielik jälgitavus.
Ei jälgimist
Ei Google Analytics't, ei kolmanda osapoole cookie'sid. Privaatne analüütika.
Sinu serveris
On-premise paigaldus tähendab, et kogu süsteem jookseb sinu enda infrastruktuuris. Andmebaas, failid ja varukoopiad asuvad füüsiliselt sinu kontrolli all. See tagab täieliku andmesuveräänsuse — kolmandatel osapooltel puudub tehniline võimalus sinu andmetele ligi pääseda. Sobib eriti hästi reguleeritud sektoritele nagu tervishoid, finants ja avalik sektor.
eID autentimine
AlfaERP toetab kõiki Eesti riiklikke elektroonilise identiteedi vahendeid: ID-kaart, Smart-ID ja Mobile-ID. See on oluliselt turvalisem kui paroolipõhine autentimine, sest isiku tuvastamine põhineb riiklikul infrastruktuuril ja krüpto-sertifikaatidel. Toetab ka digitaalallkirjastamist DigiDoc4j teegi kaudu.
Krüpteerimine
Kõik ühendused on kaitstud TLS 1.3 protokolliga, mis on praegu kõige turvalisem transpordikihi standard. Andmed puhkeolekus on krüpteeritud AES-256 algoritmiga — sama standard, mida kasutavad pangad ja riigiasutused. Paroolid salvestatakse bcrypt räsina, mis muudab brute-force rünnaku praktiliselt võimatuks.
GDPR konformne
AlfaERP on ehitatud GDPR nõuetele vastavaks aluspõhjast peale. Isikuandmete töötlemine toimub ainult Eesti ja EL jurisdiktsioonis. Süsteem toetab andmesubjekti õigusi: juurdepääsu-, parandamis- ja kustutamistaotlused on automatiseeritud. Täielik auditlogi salvestab iga andmetöötluse toimingu koos ajatempli ja kasutajatuvastusega.
Auditlogi
Auditlogi jälgib iga muudatust süsteemis: kes muutis, millal, mida ja milline oli eelmine väärtus. See annab täieliku jälgitavuse, mis on vajalik nii sisemiseks kontrolliks kui välise auditi jaoks. Logid on muutmiskindlad ja säilitatakse määratud perioodi jooksul. Filtreeritavad ja eksporditavad aruanded teevad auditi läbiviimise kiireks.
Ei jälgimist
AlfaERP ei sisalda ühtegi kolmanda osapoole jälgimisskripti. Pole Google Analytics't, Facebook Pixelit ega reklaami-cookie'sid. Veebiliiklusanalüütikat teostab privaatne Plausible, mis on GDPR-konformne ja ei jälgi kasutajaid isiklikul tasemel. Sinu ettevõtte andmed ei liigu kunagi reklaamivõrgustikesse.
Vastavused ja standardid
Andmetöötlus EL jurisdiktsioonis
Elektrooniline identifitseerimine ja usaldusteenused
Automaatne turvatestide komplekt iga deploy eel
Digitaalallkirjastamine Eesti rahvusliku infrastruktuuriga
Tehniline turvalisus
Võrgu turvalisus
- TLS 1.3 kõigis ühendustes
- HTTP Strict Transport Security (HSTS)
- Content Security Policy (CSP)
- Rate limiting kõigis API endpointides
Andmete turvalisus
- AES-256 krüpteerimine puhkeolekus
- Bcrypt paroolide räsimine
- Multi-tenant andmete isolatsioon
- Automaatne andmete varundamine
Rakenduse turvalisus
- OWASP Top 10 kaitse
- SQL injection kaitse (parameetrilised päringud)
- XSS kaitse (Vue 3 automaatne escaping)
- CSRF tokenid kõigis vormides