Информационная безопасность

  • 25 июля 2024

    Безопасность данных: шифрование и хранение финансовой информации сотрудников

    Для хранения и безопасной передачи чувствительных данных компании и разработчики выбирают различные инструменты. Это базовая мера информационной безопасности. Расскажем в этой статье свою практику использования одного из самых известных хранилищ секретов -  Vault.

    читать
  • 31 мая 2024

    Безопасность API в веб-сервисах

    В данной статье будут рассмотрены несколько общих кейсов проблем безопасности API, которые могут встретиться так или иначе практически в любой клиент-серверной системе, к каждой проблеме будут сформированы эмпирические правила, выработанные на наших реальных проектах, которыми мы активно пользуемся.

    читать
  • 19 марта 2024

    Базовые технические меры при проектировании решения для обработки и защиты персональных данных

    Наша статья расскажет вам, как разработать безопасное и соответствующее требованиям решение для защиты персональных данных.

    читать
  • 12 декабря 2023

    Улучшаем защиту ПО с помощью инструмента Gitleaks

    Мы со всей серьезностью относимся к информационной безопасности наших продуктов и потому продолжаем внедрять в работу новые инструменты для аудита ПО. Рассказываем об использовании Gitleaks на web-проектах.

    читать
  • 21 марта 2023

    Встраиваем сканирование с помощью MobSF в пайплайн мобильных приложений

    Рассказываем, как мы продвинулись во внедрении сканирования кода на предмет безопасности.

    читать
  • 26 сентября 2022

    Как мы внедряем проверки безопасности в разработку мобильных приложений

    Наши команды получили новый инструмент, который будет автоматически отслеживать уязвимости в приложениях. Рассказываем, почему мы посчитали это важным и как это работает в конвейере разработки. 

    читать
  • 7 июля 2022

    Настройка гибкого доступа к окружениям с помощью Spring Security ACL

    Системы приложений часто работают с ресурсами, для которых требуется гибкая настройка прав и доступов. Это позволяет разработчикам, бизнес-заказчикам, пользователям удобно работать с продуктом без сбоев и рисков безопасности для данных.

    читать
  • 23 июня 2022

    Как работает аутентификация через Sidecar-контейнер

    Мы уже рассказывали про организацию перехода с устаревшего Microsoft ADFS на Keycloak. Сегодня подробнее остановимся на том, как настроить аутентификацию в продукте с помощью интеграции с Keycloak и Sidecar-контейнера.

    читать
  • 16 июня 2022

    Keycloak вместо Microsoft ADFS: сами используем и вам советуем

    За последний год сразу в нескольких наших проектах заработала авторизация на основе open source сервиса Keycloak. После восьми лет работы с Microsoft ADFS мы решили, что новый модуль лучше отвечает современным реалиям. И вот почему.

    читать
  • 10 июня 2022

    Внедряем госстандарты информационной безопасности в продукты: почему, как и зачем?

    Мы создаем решения для сферы страхования и работаем с конфиденциальными данными. Разработка таких решений должна отвечать стандартам безопасности, поэтому мы используем требования «Профиля защиты» Банка России. Что это за документ и как с его помощью обезопасить ПО, рассказываем в этом материале.

    читать
  • 13 мая 2022

    Как мы следим за сроками действия сертификатов в наших приложениях

    Сертификаты безопасности обеспечивают защищенный обмен данными внутри ИТ-экосистем. Нет сертификата – нет уверенности, что данные не попадут в посторонние руки. Поэтому важно следить за сертификатами и вовремя их обновлять, иначе вся цепочка интеграций может рассыпаться. В этой статье мы поделимся, как автоматизировали для себя эту задачу.

    читать
  • 21 декабря 2021

    Компания True Engineering получила лицензии ФСТЭК

    Лицензии подтверждают бессрочное право True Engineering работать с конфиденциальными данными и создавать продукты для их обработки.

    читать
  • 20 августа 2021

    Как мы используем Google Identity Platform для безопасности рабочих проектов

    Некоторое время назад мы решили перестроить управление доступом к рабочему пространству мобильных команд. Изучили рынок и обнаружили, что бесплатная Google Cloud Platform вполне может составить конкуренцию платным решениям. В этой статье мы делимся своим опытом и даем инструкции по подключению. 

    читать
  • 30 марта 2021

    Библиотека логирования True Engineering теперь умеет маскировать данные.

    Рассказываем, что библиотека умеет в целом и как мы автоматически блокируем показ чувствительных данных в логах. читать
  • 11 марта 2021

    Как токенизация упрощает работу с чувствительными данными

    Сегодня речь пойдёт о защите информации: рассказываем, зачем превращать персональные данные в неперсональные и как это делается

    читать
  • 12 февраля 2021

    Как работает идентификация пользователей через «Госуслуги»

    Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя, если продукт работает с деньгами и медицинскими данными, решает юридические задачи. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой. читать
  • 21 декабря 2020

    Как работает наш сервис для простой интеграции с Active Directory

    Active Directory – одна из самых популярных служб каталогов, её использует большинство наших заказчиков. Так что необходимость интегрироваться с ней появляется практически в каждом проекте. Чтобы командам не приходилось каждый раз решать эту задачу заново, наши разработчики создали сервис, который теперь можно в готовом виде встраивать в другие продукты. Делимся опытом.

    читать