Operatorzy energetyki wiatrowej przetwarzają dane krytyczne dla bezpieczeństwa oraz wrażliwe dane handlowe. Collabaro traktuje bezpieczeństwo jako fundament, a nie jako dodatkową funkcję — oferując mechanizmy kontroli, certyfikacje i procedury, które spełniają nawet najbardziej rygorystyczne wymagania zakupowe.
Collabaro domyślnie korzysta z infrastruktury hostowanej w UE — z lokalizacją danych, którą można dostosować do Państwa wymagań regulacyjnych i umownych.
Wszystkie dane klientów są domyślnie przechowywane i przetwarzane w Unii Europejskiej — zgodnie z oczekiwaniami w zakresie suwerenności danych europejskich operatorów energetyki wiatrowej i OEM.
Dla operatorów z określonymi wymaganiami umownymi, regulacyjnymi lub jurysdykcyjnymi lokalizację danych można skonfigurować w preferowanym regionie. Prosimy o omówienie wymagań podczas procesu wdrożenia.
Collabaro stosuje szyfrowanie przez cały cykl życia danych — od momentu przesłania karty czasu pracy przez technika aż po długoterminowe archiwizowanie.
Wszystkie dane przechowywane na dyskach są szyfrowane przy użyciu AES-256 — tego samego standardu stosowanego przez instytucje finansowe i organy rządowe. Klucze szyfrowania są zarządzane niezależnie od chronionych danych.
Cała komunikacja między klientami Collabaro (webowymi i mobilnymi) a naszymi serwerami odbywa się z użyciem TLS 1.2 lub nowszego. Starsze protokoły są wyłączone. Żądania HTTP są automatycznie przekierowywane na HTTPS.
Nasza infrastruktura chmurowa jest konfigurowana i na bieżąco monitorowana zgodnie ze standardami CIS (Center for Internet Security) Benchmark. Odchylenia od konfiguracji bazowej są automatycznie wykrywane i korygowane.
Collabaro zapewnia SLA dostępności na poziomie 99,9%, wsparte infrastrukturą chmurową z miesięcznym zobowiązaniem dostępności na poziomie 99,99%. Automatyczne kontrole stanu systemu i redundancja w wielu strefach dostępności gwarantują ciągłość działania dla zespołów terenowych w odległych lokalizacjach.
Dane klientów są codziennie archiwizowane z geograficznie redundantnymi kopiami przechowywanymi w tym samym regionie. Przywracanie do wybranego punktu w czasie umożliwia odtworzenie danych z dowolnego momentu w oknie retencji. Procedury odtwarzania są regularnie testowane.
Nasza infrastruktura jest monitorowana całą dobę pod kątem anomalnych działań. Automatyczne alarmy, agregacja dzienników zdarzeń oraz procedury reagowania na incydenty umożliwiają szybkie wykrywanie i neutralizowanie zagrożeń.
Dostęp do systemów Collabaro — zarówno do samego produktu, jak i do infrastruktury bazowej — podlega zasadzie minimalnych uprawnień. Użytkownicy i usługi dysponują wyłącznie uprawnieniami niezbędnymi do wykonywania ich konkretnych funkcji — niczym więcej.
Collabaro oferuje kontrolę dostępu opartą na rolach (RBAC), dzięki której administratorzy mogą egzekwować odpowiedni poziom widoczności dla każdego użytkownika — kierownicy projektów, technicy terenowi, osoby odpowiedzialne za finanse oraz klienci z dostępem tylko do odczytu widzą wyłącznie to, czego potrzebują.
Dostęp do infrastruktury produkcyjnej jest ograniczony do imiennie wskazanych inżynierów z udokumentowaną potrzebą biznesową. Każdy dostęp jest uwierzytelniany za pomocą uwierzytelniania wieloskładnikowego (MFA), a uprawnienia dostępu są regularnie weryfikowane i rotowane.
Collabaro zostało zaprojektowane z uwzględnieniem wymogów compliance korporacyjnych operatorów energetyki wiatrowej — od międzynarodowych standardów bezpieczeństwa po sektorowe wymagania zakupowe.
Collabaro dąży do uzyskania certyfikacji ISO 27001 — uznanego na całym świecie standardu dla Systemów Zarządzania Bezpieczeństwem Informacji (ISMS). Nasze polityki, mechanizmy kontroli i praktyki zarządzania ryzykiem są opracowywane i weryfikowane w celu spełnienia tego standardu.
Konfiguracja naszej infrastruktury jest zgodna ze standardami CIS (Center for Internet Security) Benchmark i podlega ciągłemu monitorowaniu. Te niezależne od dostawców dobre praktyki stanowią mierzalną podstawę do utwardzania systemów operacyjnych, środowisk chmurowych i komponentów sieciowych.
Collabaro przygotowuje się do certyfikacji Cyber Essentials Plus — programu wspieranego przez rząd brytyjski, który potwierdza solidną obronę przed powszechnymi zagrożeniami cybernetycznymi. Obejmuje to zweryfikowane mechanizmy kontroli zapór sieciowych, bezpiecznej konfiguracji, zarządzania dostępem, ochrony przed złośliwym oprogramowaniem i zarządzania poprawkami.
Podchodzimy proaktywnie do identyfikowania i usuwania luk bezpieczeństwa, zanim zostaną one wykorzystane.
Collabaro regularnie poddaje się testom penetracyjnym przeprowadzanym przez niezależnych zewnętrznych specjalistów ds. bezpieczeństwa. Wyniki są oceniane pod kątem ryzyka, usuwane zgodnie z poziomem ważności i śledzone do momentu zamknięcia. Raporty z testów są udostępniane klientom korporacyjnym na podstawie umowy NDA.
W okresach między testami penetracyjnymi automatyczne narzędzia skanujące stale oceniają nasze środowisko pod kątem znanych podatności. Zależności są monitorowane pod kątem opublikowanych CVE i szybko łatane. Krytyczne poprawki bezpieczeństwa są wdrażane w ciągu 24 godzin.
Kampanie serwisowe w energetyce wiatrowej działają w napiętych harmonogramach. Zobowiązania Collabaro dotyczące dostępności są zaprojektowane z myślą o zespołach pracujących w terenie, często w odległych lub morskich lokalizacjach z ograniczonymi oknami łączności.
Collabaro zapewnia miesięczne SLA dostępności na poziomie 99,9% dla platformy głównej. Planowane prace konserwacyjne są harmonogramowane poza godzinami szczytowymi i komunikowane z wyprzedzeniem przez wyznaczony kontakt wsparcia.
Collabaro działa na korporacyjnej infrastrukturze chmurowej z miesięcznym zobowiązaniem dostępności na poziomie 99,99% na poziomie infrastruktury. Architektura wielostrefowa oznacza brak pojedynczego punktu awarii na poziomie sprzętu i sieci.
Zachęcamy do odpowiedzialnego ujawniania przez badaczy bezpieczeństwa. Jeśli uważają Państwo, że zidentyfikowali podatność w Collabaro, prosimy o bezpośredni kontakt, abyśmy mogli ją zbadać i szybko zareagować.
Raporty o podatnościach należy przesyłać na adres security@collabaro.com. Staramy się potwierdzać wszystkie zgłoszenia w ciągu 2 dni roboczych i przekazywać harmonogram rozwiązania w ciągu 5 dni roboczych od potwierdzenia podatności.
Skontaktuj się z naszym zespołem ds. bezpieczeństwa →Chętnie wypełnimy kwestionariusze bezpieczeństwa, udostępnimy podsumowania testów penetracyjnych i omówimy Państwa szczegółowe wymagania dotyczące ochrony danych z działem IT lub compliance.