مرکز امنیت چارگون

امنیت محصول (Product Security)

امنیت محصول در چارگون از سطح معماری نرم‌افزار تا استقرار نهایی در نظر گرفته شده و هسته پلتفرم دیدگاه زاگرس بر اساس استانداردها و پروفایل‌های امنیتی معتبر طراحی شده است. در چرخه توسعه نرم‌افزار (Secure SDLC) نیز کنترل‌هایی مانند بازبینی کد، مدیریت وابستگی‌ها و آزمون‌های امنیتی برای شناسایی و رفع آسیب‌پذیری‌ها در مراحل اولیه انجام می‌شود. محصولات چارگون مجموعه‌ای از قابلیت‌های امنیتی مانند احراز هویت چندعامله، مدیریت دسترسی مبتنی بر نقش، رمزنگاری داده‌ها، ثبت و ممیزی رویدادها و مقاومت در برابر حملات رایج را ارائه می‌دهند. همچنین برای استقرار On‑Premise، دستورالعمل‌های سخت‌سازی زیرساخت، پشتیبان‌گیری، تداوم سرویس و بازیابی بحران به مشتریان ارائه می‌شود تا امنیت در سطح زیرساخت نیز تضمین شود.

امنیت عملیاتی (Operational Security)

در چارگون امنیت عملیاتی با مجموعه‌ای از فرآیندهای مشخص مدیریت می‌شود. برای مدیریت رخدادهای امنیتی، یک فرآیند رسمی وجود دارد تا در صورت شناسایی آسیب‌پذیری یا رخداد مؤثر بر محصول، تیم فنی بتواند آن را تحلیل، اولویت‌بندی و اصلاح کرده و متناسب با سطح ریسک، اطلاع‌رسانی و انتشار اصلاحیه‌ها را انجام دهد. همچنین پایش مستمر آسیب‌پذیری‌های شناخته‌شده (CVE) مرتبط با فناوری‌های مورد استفاده انجام می‌شود و در صورت شناسایی تهدید مؤثر، ارزیابی اثرپذیری صورت گرفته و در صورت نیاز وصله امنیتی یا راهکارهای کاهش ریسک ارائه می‌شود. از سوی دیگر، تمام تغییرات محصول از طریق فرآیند مدیریت تغییر کنترل می‌شوند و پیش از انتشار هر نسخه، آزمون‌های کارکردی و امنیتی انجام شده و مستندات تغییرات در اختیار مشتریان قرار می‌گیرد.

مسئولیت‌های مشترک (Shared Responsibility Model)

در مدل استقرار در محل مشتری (On‑Premise)، امنیت سامانه نتیجه تقسیم مسئولیت میان چارگون و سازمان بهره‌بردار است. چارگون مسئول طراحی و توسعه امن نرم‌افزار، ارائه اصلاحیه‌های امنیتی، مستندات سخت‌سازی و راهنمای پیکربندی ایمن است، در حالی که مشتری مسئول تأمین و ایمن‌سازی زیرساخت، شبکه، سیستم‌عامل، پایگاه داده و مدیریت دسترسی کاربران است. اجرای صحیح کنترل‌های زیرساختی توسط مشتری در کنار کنترل‌های امنیتی تعبیه‌شده در محصول، نقش مهمی در حفظ محرمانگی، تمامیت و دسترس‌پذیری اطلاعات دارد. رعایت الزامات پایه‌ای مانند استفاده از فایروال، به‌روزرسانی سیستم‌ها، اعمال سیاست‌های دسترسی، مانیتورینگ لاگ‌ها و استفاده از ابزارهای امنیتی نیز برای بهره‌برداری ایمن از سامانه ضروری است.

حفاظت از داده و حریم خصوصی

چارگون در مستندات فنی خود به مفهوم طبقه‌بندی اطلاعات توجه دارد و توصیه می‌کند سازمان‌ها داده‌های خود را بر اساس سطح حساسیت طبقه‌بندی کرده و کنترل‌های متناسب اعمال کنند.

در مدل استقرار On-Premise، داده‌های سازمان در زیرساخت خود مشتری نگهداری می‌شود و شرکت چارگون دسترسی پیش‌فرض یا دائمی به این داده‌ها ندارد. هرگونه دسترسی پشتیبانی صرفاً با درخواست رسمی مشتری و تحت کنترل و ثبت رویداد انجام می‌شود.

تمام همکاران و به‌ویژه همکاران مرتبط با استقرار، توسعه و پشتیبانی محصولات، متعهد به رعایت الزامات محرمانگی بوده و دسترسی‌ها بر اساس اصل حداقل دسترسی (Least Privilege)  تخصیص داده می‌شود. تمامی دسترسی‌های فنی قابل ردیابی و ثبت هستند.

امنیت زنجیره تأمین (Supply Chain Security)

چارگون در استفاده از کتابخانه‌ها و مؤلفه‌های نرم‌افزاری ثالث، ارزیابی‌های امنیتی انجام داده و همواره تلاش می‌کند نسخه‌های به‌روز و پشتیبانی‌شده را به کار ‌گیرد. وابستگی‌ها به‌صورت مستمر پایش شده و در صورت انتشار آسیب‌پذیری بحرانی، اقدام اصلاحی در اسرع وقت انجام می‌شود.

مرکز گزارش آسیب‌پذیری  (Vulnerability Disclosure Program)

چارگون از گزارش مسئولانه آسیب‌پذیری‌ها استقبال می‌کند. متخصصین و پژوهشگران امنیتی می‌توانند یافته‌های خود را از طریق کانال رسمی اعلام‌شده در پلتفرم‌های باگ‌بانتی و در چارچوب و قوانین تعریف‌شده در این پلتفرم‌ها ارسال کنند. تمامی گزارش‌ها بررسی شده و در صورت تأیید، در کوتاه‌ترین زمان ممکن اصلاح خواهند شد.