Компании и крупные предприятия
Защитите свою компанию от киберпреступников.
Попробовать бесплатноKeeper использует сквозное шифрование с архитектурой нулевого разглашения и нулевого доверия для защиты вашей информации и предотвращения доступа киберпреступников к вашим данным.
Keeper защищает ваши пароли, секреты и личную информацию с помощью 256-битного шифрования AES и эллиптической криптографии, которая считается самым надежным методом шифрованием в индустрии кибербезопасности.
Keeper — поставщик услуг обеспечения безопасности с нулевым разглашением данных. Нулевое разглашение представляет собой системную архитектуру, гарантирующую высочайший уровень безопасности и конфиденциальности. Шифрование и дешифрование данных всегда происходит локально на устройстве пользователя.
Keeper стремится защищать конфиденциальность и личные данные своих клиентов. Наша миссия — создавать самые надежные в мире и инновационные приложения обеспечения безопасности, и мы считаем, что отчеты об ошибках от мирового сообщества исследователей по безопасности являются ценным компонентом обеспечения безопасности продуктов и услуг Keeper. По этим причинам мы сотрудничаем с Bugcrowd в целях управления нашей программой раскрытия уязвимостей (VDP) и программой вознаграждения за обнаружение ошибок.
Решение Keeper сертифицировано Программой проверки криптографических модулей NIST (CMVP) на соответствие стандарту FIPS 140-2.
Keeper сотрудничает со сторонними экспертами, такими как NCC Group, CyberTest и независимыми исследователями по безопасности, для проведения ежеквартального тестирования всех решений и систем на проникновение.
Keeper использует AWS в нескольких регионах, включая США, GovCloud США, Европу, Австралию, Калифорнию и Японию, для размещения и эксплуатации платформы и архитектуры Keeper. Благодаря этому клиентам предоставляется самое безопасное доступное облачное хранилище. Данные полностью изолированы в предпочитаемом клиентом регионе AWS при передаче и хранении.
Глобальная инфраструктура Keeper размещена в нескольких центрах обработки данных AWS с высоким уровнем готовности. Эти центры обработки данных распределены по нескольким регионам AWS, чтобы обеспечить доступность услуг в случае регионального отключения Интернета.
Keeper поддерживает многофакторную аутентификацию (MFA), аутентификацию единого входа (SSO), политики условного доступа (CAP), аппаратные ключи безопасности FIDO2 WebAuthn, ключи доступа, биометрический вход в систему (например, Face ID, Touch ID и Windows Hello) и Keeper DNA®, используя умные часы для подтверждения личности.
Данные конечного пользователя шифруются и дешифруются на уровне устройства и на уровне записи – никогда в облаке или на серверах Keeper. Шифрование на уровне записей уменьшает «радиус поражения» информации, хранящейся в пользовательских хранилищах, и поддерживает многие функции платформы с наименьшими привилегиями, такие как совместное использование записей.
Keeper Security, Inc. стремится защитить информацию своих клиентов с помощью программного обеспечения Keeper для обеспечения безопасности мобильных устройств и настольных компьютеров. Миллионы потребителей и предприятий доверяют Keeper защиту своих паролей и личной информации и доступ к ним.
Программное обеспечение Keeper постоянно совершенствуется и обновляется, чтобы предоставить клиентам новейшие технологии и средства защиты. На этой странице представлен обзор архитектуры безопасности Keeper, методологий шифрования и среды хостинга по состоянию на текущую опубликованную версию. В этом документе дается обзор технических деталей наших методов шифрования и защиты.
Наша Политика конфиденциальности и Условия использования доступны на нашем веб-сайте по следующим ссылкам:
Keeper использует архитектуру нулевого доверия, которая гарантирует, что каждый пользователь должен пройти проверку и аутентификацию, прежде чем он сможет получить доступ к веб-сайту, приложению или системе.
Keeper Enterprise Password Management (EPM) обеспечивает компаниям полную видимость и контроль над тем, как их сотрудники используют пароли, позволяя ИТ-администраторам отслеживать использование паролей и применять передовые методы обеспечения безопасности.
Keeper Secrets Manager (KSM) предоставляет инженерным командам платформу для управления всеми учетными данными, включая секреты инфраструктуры, ключи SSH, ключи API и сертификаты, с помощью SDK и интеграции CI/CD.
Keeper Connection Manager (KCM) – это шлюз удаленного рабочего стола, который предоставляет группам DevOps и ИТ-специалистам легкий сетевой доступ с нулевым доверием (ZTNA) к RDP, SSH и базам данных, внутренним веб-приложениям и конечным точкам Kubernetes через веб-браузер — агент не требуется.
Пользователи Keeper на любом клиентском устройстве, включая настольные компьютеры, мобильные устройства, браузер и командную строку.
IdP — это служба, которая хранит удостоверения пользователей и управляет ими.
Позволяет распространять единый вход (SSO) на домены безопасности, что делает возможным единый вход в веб-браузере.
Привилегированные пользователи с доступом к особо конфиденциальным учетным записям, логинам и секретам.
Используйте эту платформу для настройки и применения бизнес-политики для конечных пользователей.
Обеспечивает сетевой доступ с нулевым доверием к вашей инфраструктуре без использования VPN.
Защищает секреты инфраструктуры, такие как ключи API, пароли баз данных, ключи доступа, сертификаты и конфиденциальные данные любого типа.
Защищает ваши пароли и личную информацию от киберпреступников.
Устройства конечных пользователей, которые получают доступ к защищенным хранилищам паролей.
Различные конечные точки, к которым часто обращаются привилегированные пользователи.
Инструменты DevOps и разработчиков, автоматизирующие процесс сборки и разработки приложений.
Веб-сайты, приложения и системы, требующие входа в систему.
Keeper предоставляет модель многоуровневого шифрования на базе принципа наименьших привилегий. На клиентском устройстве генерируются 256-битные ключи AES на уровне записи и ключи на уровне папки, с помощью которых шифруется каждая запись в хранилище. Записи хранилища и все его содержимое полностью зашифрованы, включая логины, вложенные файлы, коды TOTP, платежную информацию, URL-адреса и настраиваемые поля.
Ключи шифрования генерируются локально на устройстве в целях обеспечения принципа нулевого разглашения данных и поддержки расширенных функций, таких как совместное использование записей и папок. Нулевое разглашение означает, что каждый пользователь имеет полный контроль над шифрованием и дешифрованием всей личной информации в своем хранилище Keeper, и ничто из сохраненных им данных не доступно никому другому, даже сотрудникам Keeper.
Ключи записей и ключи папок шифруются 256-битным ключом данных AES, который уникален для каждого пользователя и генерируется на устройстве пользователя.
На устройстве пользователя создается еще один 256-битный клиентский ключ AES для шифрования локального автономного кэша (если администратор предприятия разрешает автономный доступ). Наконец, 256-битный ключ данных AES шифруется другим ключом, как описано в следующем разделе.
Keeper шифрует данные по-разному в зависимости от того, как пользователи входят в систему. Для рядовых пользователей и участников семейного плана используется мастер-пароль и биометрическая аутентификация. Для бизнес-пользователей и корпоративных пользователей, которые входят в систему с помощью единого входа, Keeper использует эллиптическую криптографию в целях безопасной работы без пароля.
Для пользователей, входящих с помощью мастер-пароля: Ключ для дешифрования и шифрования ключа данных извлекается из мастер-пароля пользователя с использованием функции изменения ключа на основе пароля. (PBKDF2) с 1 000 000 итераций. После того как пользователь вводит свой мастер-пароль, ключ извлекается локально, а затем получается ключ данных. Ключ данных дешифруется и используется для получения ключей отдельных записей и папок. При дешифровке каждого ключа содержимое записи сохраняется локально на устройстве пользователя.
Модель шифрования Keeper — Вход с мастер-паролемДля пользователей, входящих в систему с помощью единого входа или технологии без пароля: Эллиптическая криптография используется для шифрования и дешифрования данных на уровне устройства. Локальный закрытый ключ ECC-256 (secp256r1) используется для дешифровки ключа данных. После дешифровки ключа данных он используется для получения ключей отдельных записей и папок. Затем с помощью ключа записи дешифруется содержимое каждой сохраненной записи. Зашифрованный ключ данных передается между устройствами пользователя через push-систему или службу обмена ключами, называемую подтверждением устройства. С целью обеспечения принципа нулевого разглашения, подтверждение устройства управляется локально конечным пользователем.
SSO Connect Cloud — Многоуровневая модель шифрованияУзнайте подробнее о службе Keeper Automator.
Для пользователей SSO Connect Cloud создается закрытый ключ эллиптической криптографии (ЭК), который сохраняется локально на каждом устройстве. В современных веб-браузерах и приложении Keeper Desktop на базе Electron хранилище Keeper хранит закрытый ключ ЭК локального устройства («DPRIV») в виде неэкспортируемого файла CryptoKey. На устройствах iOS и macOS ключ хранится в связке ключей устройства. На устройствах Android ключ шифруется с Android Keystore с использованием Encrypted Shared Preferences. Там, где это возможно, Keeper использует механизмы безопасного хранения в каждой операционной системе.
Закрытый ключ устройства не используется напрямую для шифрования или дешифрования данных хранилища. После успешной аутентификации от поставщика удостоверений для расшифровки данных хранилища используется отдельный ключ (который не сохраняется). Поэтому при автономном извлечении закрытого ключа локального устройства невозможно дешифровать хранилище пользователя.
Keeper использует AWS для хостинга платформы и архитектуры Keeper. Наши центры обработки данных AWS расположены в нескольких географических точках, и наши клиенты могут арендовать Keeper в любом предпочтительном основном регионе. Это гарантирует, что данные клиентов и доступ к платформе будут ограничены этим конкретным регионом.
Хранящиеся данные шифруются на устройстве пользователя локально с использованием AES-256 GCM, а зашифрованные данные при передаче шифруются с помощью TLS 1.3 с дополнительным уровнем шифрования. Данные клиентов изолируются за счет шифрования на уровне записей.
Модель шифрования Keeper придерживается следующей структуры:
Keeper ведет полную зашифрованную историю версий каждой записи в хранилище пользователя, обеспечивая уверенность в том, что никакие важные данные никогда не будут потеряны. В клиентском приложении Keeper пользователи могут просматривать историю записей и выполнять восстановление любой отдельной записи хранилища. Если сохраненный пароль или файл в Keeper изменен или удален, у пользователей всегда есть возможность выполнить восстановление на определенный момент времени.
Клиентам, приобретающим Keeper Business, предоставляется дополнительный уровень контроля над своими пользователями и устройствами. Администраторам Keeper предоставляется доступ к облачной консоли администрирования, которая позволяет полностью контролировать регистрацию и удаление пользователей, разрешения на основе ролей, делегированное администрирование, группы пользователей, интеграцию Active Directory/LDAP, двухфакторную аутентификацию, единый вход и политики обеспечения безопасности. Политики применения Keeper на основе ролей полностью настраиваемы и масштабируемы для организации любого размера.
Помимо хранения в инфраструктуре AWS только зашифрованного на устройстве шифротекста, Keeper также выполняет супершифрование с помощью многорегиональных аппаратных модулей безопасности (HSM) с использованием неэкспортируемых ключей.
На уровне продукта/пользователя программное обеспечение Keeper сохраняет полную историю изменений каждой записи. Поэтому, если пользователю требуется провести восстановление, он может просмотреть и вернуться к предыдущим версиям своих сохраненных записей Keeper в любое время без ограничений, используя пользовательский интерфейс.
На системном уровне зашифрованные базы данных и файловые объекты Keeper реплицируются и резервируются в нескольких географических регионах в целях аварийного восстановления. Все резервные копии шифруются с помощью AES-256 в дополнение к супершифрованию шифротекста, созданного на устройстве.
Клиентам, которым требуется помощь в восстановлении (например, из-за того, что клиент случайно удалил хранилище или общую папку), служба поддержки Keeper может помочь в восстановлении на любой момент времени (с точностью до минуты) в течение 30 дней. Поддержка Keeper может помочь в любом восстановлении, например восстановлении пользователя, восстановлении хранилища или полном восстановлении предприятия.
Фраза восстановления из 24 слов позволяет клиентам Keeper восстановить доступ к своему хранилищу Keeper, если они потеряют или забудут свой мастер-пароль.
Keeper ввел фразы восстановления, используя тот же список слов BIP39, который используется для защиты криптокошельков. Список слов BIP39 представляет собой набор из 2048 слов, используемых для генерации ключа шифрования с 256 битами энтропии. Этот метод восстановления обычно используется в популярных биткойн- и криптовалютных кошельках. Каждое слово в списке BIP39 тщательно отобрано, чтобы улучшить видимость и сделать процесс восстановления менее подверженным ошибкам. Пользователям следует записать фразу восстановления и хранить ее в надежном месте, например в сейфе.
По фразе восстановления генерируется 256-битный ключ AES, с которым шифруется копия ключа данных пользователя. Чтобы восстановить учетную запись и сбросить мастер-пароль, пользователю требуется ввести фразу восстановления, а также пройти проверку посредством электронной почты и двухфакторной аутентификации (2FA).
Администраторы предприятия могут отключить восстановление учетной записи на уровне политики применения ролей.
Установка фразы восстановленияКлиенты Keeper Enterprise и Business могут управлять множеством различных возможностей платформы Keeper, такими как политики доступа на основе ролей, подготовка пользователей, аутентификация и управление.
Функции администратора защищены на платформе Keeper как шифрованием, так и авторизацией. Авторизация гарантирует, что только назначенные пользователи могут выполнять определенные функции. Шифрование гарантирует, что назначенные администраторы смогут физически и криптографически выполнять только функции, связанные с данными хранилища или ключами, контролируемыми предприятием. Вот несколько примеров:
Прежде чем пользователь сможет даже попытаться войти в учетную запись, он должен сначала пройти этап проверки и подтверждения устройства. Проверка устройства предотвращает атаки перечислением и защищает от атак методом подбора.
Клиенты, вошедшие в систему с помощью мастер-пароля, могут выполнять проверку устройства несколькими способами, в том числе:
Для клиентов, прошедших аутентификацию с помощью Keeper SSO Connect Cloud подтверждение устройства осуществляется с помощью передачи ключа, при которой на устройство доставляется зашифрованный ключ данных пользователя, который дешифруется локально с использованием закрытого ключа пользователя эллиптической криптографии. К методам подтверждения устройства относятся следующие:
Узнайте подробнее о подтверждении устройств.
Keeper соответствует требованиям GDPR и стремится обеспечить соответствие своих процессов и продуктов требованиям GDPR для клиентов в Европейском Союзе и по всему миру. Мы соответствуем рамочному соглашению о конфиденциальности данных между ЕС и США («DPF ЕС-США»), британскому расширению DPF ЕС-США и рамочному соглашению о конфиденциальности данных между Швейцарией и США («DPF Швейцария-США»), как указано в Министерство торговли США.
См. Политику конфиденциальности Keeper в связи с GDPR.
Ни одно из приложений Keeper не содержит трекеров и сторонних библиотек, осуществляющих отслеживание. В качестве примера в данном отчете представлена информация о работе приложения Keeper для Android, которая показывает, что трекеры не установлены.
Keeper — это платформа SaaS, данные которой размещаются в нескольких географически изолированных центрах обработки данных AWS. Организации могут арендовать Keeper в предпочитаемом ими основном регионе. Данные клиентов и доступ к платформе будут ограничены этим конкретным регионом.
Доступные регионы:
Хранилище Keeper защищено API, которые проверяются посредством авторизации на устройстве пользователя.
При использовании мастер-пароля пользовательское устройство получает 256-битный ключ аутентификации с использованием PBKDF2-HMAC_SHA256 с 1 000 000 итераций и случайной солью. Хэш аутентификации создается путем хеширования ключа аутентификации с использованием SHA-256. При входе в систему хэш аутентификации сравнивается с сохраненным хэшем аутентификации в хранилище Keeper. После входа пользователя в систему на сервере создается токен сеанса, который отправляется пользователю для использования устройством для последующих запросов API. Чтобы разрешить постоянное использование связи клиент-сервер, сеанс должен быть активным.
Компания Keeper создала усовершенствованную модель облачной аутентификации и сетевых коммуникаций с высочайшим уровнем конфиденциальности, безопасности, доверия и прозрачности. Вот ряд ключевых особенностей этой модели аутентификации:
Keeper интегрируется со всеми поставщиками удостоверений, совместимыми с SAML 2.0, включая Okta, Microsoft Entra ID (Azure), AD FS, Google Workspace, Centrify, OneLogin, Ping Identity, JumpCloud, Duo, Auth0 и другими.
Мы предлагаем два разных типа единого входа: SSO Connect Cloud и SSO Connect On-Prem. Обе реализации обеспечивают архитектуру с нулевым разглашением информации и простой аутентификацией пользователей.
В отличие от большинства услуг SaaS, учетные данные пользователей Keeper никогда не покидают их устройства. Когда пользователи входят в Keeper с помощью мастер-пароля, PBKDF2 используется на локальном устройстве для получения 256-битного ключа AES для дешифрования. Дополнительный ключ PBKDF2 генерируется на уровне устройства, а затем хэшируется с помощью HMAC_SHA256 для создания токена аутентификации. Keeper ничего не знает о ключе дешифрования пользователя.
Все зашифрованные полезные данные, отправляемые на серверы Keeper, шифруются 256-битным ключом передачи AES и TLS для защиты от атак типа «человек посередине» (MITM). Ключ передачи генерируется на клиентском устройстве и передается на сервер с использованием шифрования ECIES посредством открытого ключа ЭК сервера.
Пользователи не могут использовать новые устройства для входа в свои учетные записи Keeper, не пройдя их проверку. Keeper поддерживает несколько способов проверки в зависимости от схемы аутентификации.
Если у пользователя включена или принудительно применена MFA, он должен сначала выполнить этот шаг, прежде чем вводить свой мастер-пароль.
Если способ проверки не настроен, пользователь не сможет перейти к вводу своего мастер-пароля. Такая расширенная аутентификация защищает от нескольких распространенных типов атак, включая атаки методом подбора, распыление паролей, перечисление и «человек посередине».
Для защиты от несанкционированного доступа к учетным записям клиентов Keeper предлагает много-факторную аутентификацию (MFA), в которой требуется два или более факторов аутентификации, которыми являются фактор знания, фактор владения и/или фактор неотъемлемости. Узнайте больше о настройке MFA в Keeper.
Keeper использует ваш мастер-пароль и ваше устройство, чтобы обеспечить дополнительный уровень безопасности, если ваш мастер-пароль или устройство будут скомпрометированы. Keeper поддерживает аппаратные ключи FIDO2 WebAuthn и программные решения, такие как TOTP и SMS.
При использовании метода TOTP в MFA/2FA Keeper генерирует 10-байтовый секретный ключ с помощью криптографически безопасного генератора случайных чисел. Код TOTP действителен около минуты и не может быть использован повторно после успешной аутентификации. Keeper поддерживает любое приложение TOTP, включая Google Authenticator и Microsoft Authenticator. Keeper также напрямую интегрируется с популярными службами MFA, такими как Duo и RSA SecurID.
При использовании аутентификаторов MFA, таких как Google Authenticator, Microsoft Authenticator или других приложений TOTP на вашем мобильном устройстве, сервер Keeper внутренне генерирует QR-код, содержащий ваш секретный ключ. Каждый раз, когда пользователь активирует MFA, генерируется новый ключ.
Чтобы активировать MFA, перейдите на экран настроек веб-приложения Keeper, настольного приложения Desktop App или приложения для iOS/Android. Администраторы Keeper Business также могут принудительно вводить MFA и поддерживаемые методы MFA посредством консоли администрирования Keeper.
Поддержка FIDO2-совместимого WebAuth обеспечивается посредством Keeper, а в качестве дополнительного фактора используются аппаратные ключи безопасности, такие как ключи YubiKey и Google Titan. Ключи доступа также поддерживаются методом 2FA с использованием физических устройств или веб-браузеров. Ключи безопасности предоставляют безопасный способ выполнения MFA, не требуя от пользователя ввода кодов вручную.
Мост Keeper Bridge интегрируется с серверами Active Directory и LDAP для подготовки и подключения пользователей пользователей. Коммуникация с Keeper Bridge сначала авторизуется администратором, имеющим право управлять мостом. Ключ передачи генерируется и передается Keeper для всех последующих коммуникаций. Использование ключа передачи предстает авторизацией всех операций, выполняемых мостом, за исключением инициализации моста. Ключ передачи можно восстановить в любое время, и он будет автоматически меняться каждые 30 дней.
Ключ передачи предназначен только для передачи, что означает, что скомпрометированный ключ может быть повторно инициализирован или отозван без какой-либо потери данных или разрешения.
Keeper Bridge не может предоставлять привилегии роли или пользователю. Он может добавить пользователю привилегированную роль, при условии, что ключи принудительного исполнения не требуются. Операции Keeper Bridge не могут распространяться выше той части дерева, которой он управляет. Мосту доступны не все операции, например, мост может отключить активного пользователя, но не может удалить его. Администратор должен будет выбрать, следует ли удалить пользователя или перенести его.
Когда Keeper развертывается с помощью решения единого входа, такого как Microsoft Entra ID (Azure AD), Okta, Ping, Google Workspace или любого другого поставщика удостоверений SAML 2.0, операциями MFA можно полностью управлять во время процесса входа в IdP. Keeper также поддерживает политики условного доступа Azure для всех типов устройств и приложений.
MFA можно ввести как на стороне поставщика удостоверений, так и на стороне Keeper. Например, как только пользователь проходит этап MFA с поставщиком удостоверений, его дополнительно можно заставить пройти второй этап MFA в интерфейсе Keeper. Эту политику может применить администратор Keeper.
Keeper SSO Connect Cloud позволяет корпоративным клиентам полностью интегрировать Keeper с любым поставщиком удостоверений, совместимым с SAML 2.0, и развертывать зашифрованные хранилища для своих пользователей.
Реализация SAML с Keeper позволяет пользователям проходить аутентификацию через своего поставщика удостоверений единого входа, а затем дешифровать шифротекст хранилища на своем устройстве. Каждое пользовательское устройство имеет индивидуальную пару ключей эллиптической криптографии (ЭК) и зашифрованный ключ данных. Кроме того, у каждого пользователя есть собственный 256-битный ключ данных AES. При входе в Keeper с использованием нового устройства пользователь должен использовать уже подтвержденные устройства для подтверждения нового устройства или, как вариант, администратор с соответствующими правами может одобрить новое устройство пользователя.
Эта возможность необходима для того, чтобы пользователь мог расшифровать свое хранилище локально, на своем устройстве, без необходимости ввода мастер-пароля или получения ключа пароля. Принцип нулевого разглашения не нарушается, поскольку облако не может дешифровать ключ данных пользователя. Вместо этого ключ данных, зашифрованный устройством (DEDK), предоставляется пользователю после успешной аутентификации у поставщика удостоверений (например, Okta, Entra ID (Azure), Google Workspace, AD FS, Ping, Duo, JumpCloud и т. д.). Ключ данных пользователя дешифруется локально на устройстве с помощью закрытого ключа устройства эллиптической криптографии (ЭК). Keeper имеет патенты США на эту технологию, использующуюся с 2015 года.
SSO Connect On-Prem представляет собой автономную интеграцию, для которой требуется сервер приложений, размещенный на Windows или Linux. Чтобы не нарушать принцип нулевого разглашения и обеспечить простой единый вход для пользователей, Keeper SSO Connect должен быть установлен на сервере клиента. Среды Windows, Mac и Linux полностью поддерживаются режимами балансировки нагрузки высокого уровня доступности (HA).
Keeper SSO Connect автоматически генерирует и сохраняет мастер-пароль для каждого подготовленного пользователя; этот пароль представляет собой случайно сгенерированный 256-битный ключ. Мастер-пароль шифруется с помощью ключа единого входа. Ключ единого входа шифруется с помощью ключа дерева. Ключ единого входа извлекается с сервера при запуске службы Keeper SSO Connect, а затем дешифруется с помощью ключа дерева, который хранится локально на сервере для поддержки автоматического запуска службы. Коммуникация между SSO Connect и безопасным облачным хранилищем Keeper защищена ключом передачи. Сообщения SAML имеют криптографическую подпись и защищены алгоритмом подписи RSA-SHA256 или ECDSA-SHA256 в зависимости от типа ключа шифрования (RSA или ECC), предоставленного клиентом.
Keeper поддерживает возможность безопасного обмена записями между пользователями, безопасного предоставления записей другой группе в организации или даже за пределами организации (если это разрешено администратором Keeper).
Пользователи Keeper могут напрямую обмениваться записями друг с другом. Для этого Keeper сначала запрашивает открытый ключ эллиптической криптографии пользователя из его хранилища. Каждая запись имеет ключ записи, который шифруется с помощью открытого ключа эллиптической криптографии получателя и синхронизируется с хранилищем Keeper пользователя.
Владелец зашифрованной общей записи дешифрует ключ записи с помощью своего закрытого ключа эллиптической криптографии. Ключ записи также повторно шифруется с помощью ключа данных пользователя, а зашифрованный текст сохраняется в хранилище получателя.
Архитектура предоставления записейФункция ограниченного предоставления Keeper обеспечивает ограниченное по времени безопасное предоставление записи (например, пароля, учетных данных, секрета, соединения, документа или другой конфиденциальной информации) кому угодно, даже если у него нет учетной записи Keeper. Модель шифрования ограниченного предоставления Keeper использует ту же технологию, что и Keeper Secrets Manager (KSM) — платформу с нулевым разглашением и нулевым доверием для защиты облачной инфраструктуры.
Функция администратора общего доступа Keeper представляет собой разрешение управления доступом на основе ролей (RBAC), которое предоставляет администраторам повышенные права в отношении общих папок и записей организации. Администраторы общего доступа обладают полными правами пользователя и записи для любой общей записи, к которой у них есть доступ.
Share AdminKeeper Secrets Manager (KSM) — это платформа с нулевым разглашением данных для ИТ-специалистов и групп DevOps. Решение позволяет командам управлять секретами на протяжении всего жизненного цикла разработки и развертывания программного обеспечения.
Модель шифрования Keeper Secrets ManagerKeeper использует управляемую автономную архитектуру на AWS под названием BreachWatch, которая физически отделена от API Keeper и записей пользователей.
Физический модуль аппаратной безопасности (HSM) на серверах BreachWatch используется для обработки, хэширования и хранения миллиардов уникальных паролей в «Даркнете», собранных в результате утечек данных. Все пароли обрабатываются на серверах Keeper с использованием метода хеширования HMAC_SHA512 и хешируются с помощью HSM с использованием неэкспортируемого ключа.
Когда на клиентском устройстве активирована функция BreachWatch, хэш HMAC_SHA512 генерируется на основе каждой записи и отправляется на сервер. На сервере создается второй хэш с использованием HMAC_SHA512 посредством HSM с использованием неэкспортируемого ключа. «Хеши хэшей» сравниваются, чтобы определить, были ли взломаны учетные данные.
Архитектура BreachWatch создана с прицелом на предотвращение корреляции взломанного пароля с паролем в хранилище пользователя, независимо от размера утечки данных. При обнаружении взломанного пароля используется физический модуль HSM, чтобы гарантировать, что хеширование может выполняться только онлайн – для предотвращения любой атаки методом подбора.
BreachWatch на 100% создан Keeper с использованием каналов данных SpyCloud, но Keeper никогда не отправляет какие-либо данные третьим лицам.
Модель Keeper BreachWatchПользователи BreachWatch загружают список взломанных доменов и осуществляют локальную проверку.
Клиентские устройства подключаются к BreachWatch и загружают список хешированных имен пользователей (или паролей) вместе с выбранным клиентом случайным идентификатором (отдельные идентификаторы для служб проверки имени пользователя и пароля). Эти хэши паролей обрабатываются при загрузке с помощью HMAC с использованием аппаратного модуля безопасности (HSM) и секретного ключа, хранящегося в HSM, помеченного как неэкспортируемый (это означает, что HSM будет обрабатывать HMAC только локально, и ключ не может быть извлечен). Эти входные данные HMAC (имена пользователей или пароли) сравниваются с наборами взломанных данных с использованием того же HMAC и ключа. О любых совпадениях сообщается на клиентское устройство. Любые несовпадающие значения сохраняются вместе с анонимным идентификатором клиента.
По мере добавления в систему новых взломанных имен пользователей и паролей они обрабатываются с помощью HMAC в HSM, добавляются в набор данных BreachWatch и сравниваются с сохраненными значениями клиента. При обнаружении совпадения отправляется оповещение для соответствующего идентификатора клиента.
Клиентские устройства периодически обращаются к BreachWatch, сообщая свои идентификаторы BreachWatch. Все сгенерированные ранее сообщения загружаются на клиентские устройства, и клиентские устройства передают все новые или измененные имена пользователей и пароли, которые обрабатываются тем же образом.
Безопасность служб BreachWatch обеспечивается по принципу доверия при первом использовании (TOFU). Иными словами, клиентские устройства должны предполагать, что сервер BreachWatch не является вредоносным (то есть, не скомпрометирован злоумышленником), когда клиентское устройство передает хэшированные данные. Как только эти данные обработаны с HSM, они становятся защищенными от попыток оффлайн-взлома. Иными словами, если злоумышленник и украдет набор данных хранимых клиентских данных, он не сможет взломать эти данные в режиме оффлайн без ключа HMAC, хранящегося в HSM.
Если обнаружен взлом пароля, клиентское устройство отправляет хешированную комбинацию имени пользователя и пароля на серверы BreachWatch, которые затем выполняют то же самое сравнение хэшей в HMAC, чтобы определить, была ли взломана комбинация имени пользователя и пароля, и если да, то возвращаются домены, связанные с этими взломами, чтобы клиентское устройство могло определить, совпадает ли вся комбинация имя пользователя+пароль+домен. Если все три параметра на клиентском устройстве совпадают, пользователь получает предупреждение о взломе.
Когда BreachWatch активирован для корпоративных и бизнес-клиентов, хранилища конечных пользователей сканируются автоматически каждый раз, когда пользователь входит в систему с помощью Keeper. Сводные данные BreachWatch, сканируемые на устройстве пользователя, шифруются с помощью корпоративного открытого ключа и расшифровываются администратором предприятия при входе в консоль администрирования Keeper. Эта зашифрованная информация включает адрес электронной почты, количество записей с высоким риском, количество записей с решенными проблемами безопасности и количество проигнорированных записей. Администратор Keeper может просматривать сводную статистику на уровне пользователя в пользовательском интерфейсе консоли администрирования.
При интеграции с модулем расширенной отчетности и предупреждений устройства конечных пользователей Keeper также могут быть дополнительно настроены для передачи подробных данных о событиях в реальном времени в сторонние SIEM-решения и интерфейс отчетности консоли администрирования Keeper. Данные о событии содержат адрес электронной почты, UID записи, IP-адрес и информацию об устройстве (события не включают в себя какие-либо расшифрованные данные записи, поскольку Keeper является платформой с нулевым разглашением и не может расшифровать пользовательские данные).
По умолчанию подробные данные о событиях BreachWatch не отправляются в модуль расширенной отчетности и предупреждений или в любые подключенные внешние системы журналирования. Чтобы активировать отправку данных BreachWatch на уровне событий в модуль расширенной отчетности и предупреждений, необходимо включить политику применения для события на экране конкретной роли > Политики принудительного применения > Функции хранилища. После активации клиентские устройства конечных пользователей начнут отправлять данные об этом событии. Поскольку интеграция со сторонними решениями SIEM передается из серверной части Keeper в целевую систему SIEM, эта информация о событии доступна для чтения целевой SIEM и может использоваться для определения того, какие записи и какие пользователи в организации имеют пароли с высоким риском. Если администратор Keeper не желает передавать данные о событиях на уровне записей в модуль расширенных отчетов и предупреждений Keeper, этот параметр можно оставить отключенным.
Офлайн-режим позволяет пользователям иметь доступ к своему хранилищу, когда они не могут подключиться в режиме онлайн к Keeper или к своему поставщику удостоверений единого входа. Эта возможность доступна в мобильном приложении Keeper, настольном приложении и веб-хранилище во всех браузерах.
Это осуществляется путем создания копии хранилища на локальном устройстве пользователя. Данные хранилища, хранящиеся в офлайн-режиме, зашифрованы AES-GCM с помощью 256-битного «клиентского ключа», который генерируется случайным образом и защищается PBKDF2-HMAC-SHA512 с 1 000 000 итераций и случайной солью. Соль и итерации хранятся локально. Когда пользователь вводит свой мастер-пароль или использует биометрические данные, ключ извлекается с использованием соли и итераций, и предпринимается попытка дешифровать клиентский ключ. Затем клиентский ключ используется для дешифровки кэша сохраненных записей. Если в хранилище пользователя включена защита посредством самоуничтожения, при 5 неудачных попытках входа в систему будут автоматически удалены все локально хранящиеся данные хранилища. Для бизнес-клиентов офлайн-доступ может быть ограничен администратором Keeper на основе политик применения ролей.
Индивидуальные и семейные планы Keeper позволяют пользователям добавлять до пяти контактов для экстренных случаев, чтобы предоставить доступ к хранилищу в случае смерти пользователя или другой чрезвычайной ситуации. Пользователь указывает время ожидания, и по его истечении контакт для экстренных случаев получит доступ к хранилищу пользователя. Предоставление общего доступа к хранилищу контактному лицу в экстренных ситуациях не нарушает принцип нулевого разглашения, и мастер-пароль пользователя никогда не разглашается. Кроме того, используется 2048-битное шифрование RSA с 256-битным ключом AES. Чтобы принять информацию, контакт для экстренных случаев должен иметь учетную запись Keeper.
Функция экстренного доступаKeeper использует AWS в Северной Америке (коммерческая или GovCloud), Европе, Австралии, Японии и Канаде в целях локализованной конфиденциальности данных и географической изоляции для размещения и использования решения и архитектуры Keeper. Использование AWS позволяет Keeper беспрепятственно масштабировать ресурсы по требованию и предоставлять клиентам самую быструю и безопасную среду облачного хранения. Keeper работает как в мультизонной, так и в мультирегиональной среде, чтобы максимизировать время безотказной работы и обеспечить максимально быстрое время ответа клиентам. Корпоративные клиенты могут арендовать решение Keeper в любом предпочитаемом основном регионе. Данные клиентов и доступ к платформе ограничены этим конкретным регионом.
Компания Keeper создала передовую модель облачной аутентификации и сетевых коммуникаций, обеспечивающую высочайший уровень конфиденциальности, безопасности и доверия. Вот несколько ключевых особенностей модели аутентификации:
Хранилище Keeper Cloud Security Vault защищено API-интерфейсами, которые проверяются посредством авторизации на клиентском устройстве. Клиент получает токен сеанса при входе в систему и отправляет его при каждом вызове API. Токен сеанса отслеживается на сервере. Вход осуществляется посредством мастер-пароля, возобновления сеанса или аутентификации SAML 2.0 SSO.
При использовании мастер-пароля клиентское устройство получает 256-битный «ключ аутентификации» с использованием PBKDF2-HMAC-SHA256 с 1 000 000 итераций и 128-битной случайной солью. «Хеш аутентификации» генерируется путем хеширования ключа аутентификации с использованием SHA-256. Для входа в систему хэш аутентификации сравнивается с хешем аутентификации, хранящимся в Cloud Security Vault. После входа в систему на сервере генерируется токен сеанса, который отправляется клиенту для использования клиентским устройством для последующих запросов API. Сеанс должен быть активным, чтобы можно было продолжать использовать связь между клиентом и сервером.
Keeper использует 128- и 256-битные версии протокола TLS для шифрования всех данных, передающихся между клиентским приложением и облачным хранилищем Keeper.
Keeper развертывает сертификаты TLS, подписанные DigiCert с использованием алгоритма SHA2, наиболее безопасного алгоритма подписи, предлагаемого в настоящее время коммерческими центрами сертификации. SHA2 значительно более безопасен, чем более широко используемый SHA1, который может быть дешифрован из-за математической слабости, выявленной в алгоритме. SHA2 помогает защититься от выдачи поддельных сертификатов, которые злоумышленник может использовать для подмены веб-сайта.
Keeper также поддерживает Certificate Transparency (CT), инициативу Google по созданию публично проверяемой записи сертификатов, подписанных центрами сертификации. CT помогает защититься от выдачи сертификатов неавторизованными организациями. CT в настоящее время поддерживается в последних версиях веб-браузеров Chrome, Safari и Brave. Дополнительную информацию о Certificate Transparency можно найти по адресу: https://certificate.transparency.dev/. Keeper поддерживает следующие наборы шифров TLS:
Клиентские устройства Keeper на iOS и Android также используют привязывание ключей — механизм безопасности, предотвращающий выдачу себя за другое лицо злоумышленниками, использующими поддельные цифровые сертификаты.
Веб-хранилище Keeper обеспечивает выполнение строгой политики безопасности контента, которая ограничивает происхождение исходящих запросов и препятствует выполнению всех скриптов, за исключением скриптов, явно исходящих от Keeper, включая встраиваемые скрипты и атрибуты обработки событий HTML, сокращая или устраняя большинство направлений атак посредством межсайтового скриптинга.
Доступ к доменным именам Keeper ограничен протоколом HTTPS с TLS 1.3 и обеспечивается механизмом HTTP Strict Transport Security. Это предотвращает широкий спектр атак с перехватом пакетов и модификацией данных и атак типа «человек посередине».
В браузерном расширении Keeper запрашиваются у пользователей их учетные данные хранилища из области фрейма страницы. Вход в расширение происходит в области панели инструментов расширения браузера. Вход в хранилище через веб-браузер всегда будет происходить либо в домене keepersecurity.com, keepersecurity.eu, keepersecurity.com.au, keepersecurity.jp, keepersecurity.ca или govcloud.keepersecurity.us, либо с панели инструментов расширения браузера Keeper, которая находится за пределами страницы контента.
Браузерное расширение Keeper помещает iFrame в формы входа на веб-страницу, чтобы гарантировать, что ни один вредоносный веб-сайт не получит доступ к внедренному контенту. Содержимое записей, внедренное в iFrames, также ограничивается записями хранилища, хранящимися в хранилище пользователя, которые соответствуют домену целевого веб-сайта. Keeper не будет предлагать автоматический ввод данных для логина и пароля, если домен веб-сайта не совпадает с доменом веб-сайта в записи в хранилище Keeper. Расширение не будет отображать записи, если они не соответствуют корневому домену адреса веб-сайта.
Сторонние браузерные расширения могут иметь повышенные уровни разрешений в веб-браузерах и могут получать доступ к информации внутри страницы. Поэтому администраторам Keeper рекомендуется запретить пользователям устанавливать сторонние браузерные расширения из соответствующего магазина приложений для браузера.
Keeper изначально поддерживает Windows Hello, Touch ID, Face ID и биометрию Android. Клиенты, которые обычно входят в свое хранилище Keeper с помощью мастер-пароля или корпоративного единого входа (SAML 2.0), также могут входить на своих устройствах с помощью биометрических данных. Биометрия должна быть включена администратором Keeper в ролевой политике. В таком случае офлайн-доступ также возможен с помощью биометрических данных, если эта функция активирована.
Когда на устройстве включен биометрический вход в систему, ключ генерируется случайным образом локально и сохраняется в защищенном анклаве (например, в «Связке ключей» или «Хранилище ключей») устройства. Ключ данных пользователя зашифрован биометрическим ключом. После успешной биометрической аутентификации ключ извлекается, и пользователь может расшифровать свое хранилище.
Touch ID и Face ID на устройствах iOS позволяют пользователям получать доступ к своему хранилищу Keeper с помощью биометрических данных. Чтобы обеспечить эту удобную функцию, в связке ключей iOS хранится случайно сгенерированный 256-битный «биометрический ключ». Элемент «Связка ключей iOS», созданный для этой функции, не предназначен для синхронизации со «Связкой ключей iCloud» и поэтому не покинет ваше мобильное устройство iOS.
Настоятельно рекомендуется использовать сложный мастер-пароль и включить многофакторную аутентификацию, чтобы обеспечить максимальную безопасность вашего зашифрованного хранилища Keeper. Использование Touch ID и Face ID делает более удобным использование сложного мастер-пароля на мобильном устройстве iOS. Также рекомендуется установить пароль длиной более 4 цифр, чтобы защитить связку ключей iOS.
Связка ключей iOS используется iOS и приложениями для безопасного хранения учетных данных. Приложения iOS используют связку ключей iOS для хранения различной конфиденциальной информации, включая пароли веб-сайтов, ключи, номера кредитных карт и информацию Apple Pay. Keeper не использует связку ключей iOS для хранения ваших записей Keeper - все записи Keeper защищены 256-битным шифрованием AES и надежно хранятся в хранилище Keeper. Связка ключей iOS также зашифрована 256-битным шифрованием AES с использованием пароля устройства. Даже если устройство будет потеряно или украдено или злоумышленник получит физический доступ к мобильному устройству, он не сможет получить доступ к сохраненной информации Keeper. Связку ключей iOS невозможно расшифровать без пароля, а содержимое хранилища Keeper невозможно расшифровать без мастер-пароля пользователя Keeper.
Функция избранного Apple Watch позволяет просматривать избранные записи на подключенных часах Apple Watch. Записи Keeper должны быть явно включены для возможности просмотра на Apple Watch. Подключенные часы Apple Watch взаимодействуют с расширением Keeper для часов, работающем в своем выделенном замкнутом пространстве отдельно от приложения iOS Keeper. Расширение Keeper для часов также использует Связку ключей iOS в целях безопасного хранения и доступа к ключам, чтобы безопасно связываться с приложением iOS Keeper.
Keeper DNA предоставляет способ многофакторной аутентификации с использованием умных часов. Keeper DNA использует з токены, хранящиеся в хранилище Keeper, чтобы генерировать временные пароли для многофакторной аутентификации. Запросы на аутентификацию можно одобрять и автоматически отправлять с Apple Watch (или устройства Android Wear), касаясь экрана часов, либо вводить вручную
Когда для узла активируется политика передачи учетной записи, политика узла для пары открытого/закрытого ключей создается в консоли администрирования на устройстве пользователя. Ключ данных конечного пользователя (для пользователей, к которым принудительно применяется политика) шифруется с помощью открытого ключа политики, когда пользователь входит в хранилище. Закрытый ключ шифруется с помощью открытого ключа администратора, после чего администратор может расшифровать ключ принудительного применения с передачей хранилища.
При передачи хранилища администратор Keeper должен сначала заблокировать учетную запись пользователя. Затем передача хранилища может произойти немедленно с последующим удалением учетной записи пользователя. Это гарантирует, что операция не будет проведена тайно. При выполнении передачи ключ данных пользователя извлекается путем сначала дешифровки закрытого ключа принудительного применения, а затем дешифровки ключа данных пользователя. Ключ данных используется для дешифровки ключей записи, ключей групп и ключей папок.
Все шифрование выполняется на стороне клиента в консоли администрирования, и Keeper ни при каких обстоятельствах не имеет возможности дешифровать передаваемую или предоставляемую информацию. Кроме того, ключ данных клиента пользователя никогда не передается. Пользователь, удаленный из группы, общей папки или прямого предоставления, не будет получать новые данные из группы, общей папки или записи. Хотя ключи записи, папки и группы дешифруются локально для администратора во время операции, эти ключи невозможно использовать для получения доступа к базовой записи или данным папки.
Во время передачи хранилища администратор получает только зашифрованный ключ данных, зашифрованные ключи записей и зашифрованные ключи папок. Эти ключи дешифруются, а затем повторно шифруются с помощью открытого ключа целевого хранилища. Администратор никогда не получают доступа к фактическим данным записи. Keeper не шифрует данные, сохраненные клиентом, напрямую с помощью ключа данных — это происходит на устройстве.
Сохранение данных уволенных сотрудниковKeeper фанатично относится к безопасности. Keeper — это самое безопасное в мире, сертифицированное, протестированное и проверенное решение для защиты паролей и платформа управления привилегированным доступом. Keeper имеет самую продолжительную в отрасли сертификацию SOC2 и ISO. Решение Keeper сертифицировано по стандартам ISO 27001, 27017 и 27018. Keeper соответствует требованиям GDPR, CCPA, HIPAA, FedRAMP и StateRAMP, а также сертифицировано PCI DSS и TrustArc по части обеспечения конфиденциальности.
Keeper использует проверенные модули шифрования FIPS 140-2 для соблюдения строгих требований безопасности правительственного и государственного сектора. Шифрование Keeper сертифицировано программой проверки криптографических модулей NIST (CMVP) и подтверждено на соответствие стандарту FIPS 140 аккредитованными сторонними лабораториями.
Keeper выдан сертификат № 3976 в соответствии с NIST CMVP
Keeper Security Government Cloud (KSGC) поддерживает соблюдение Правил международной торговли оружием США (ITAR). Компании, на которых распространяются экспортные правила ITAR, должны контролировать непреднамеренный экспорт, ограничивая доступ к защищенным данным гражданами США и ограничивая физическое местонахождение защищенных данных Соединенными Штатами Америки.
Среда KSGC, отвечающая требованиям FedRAMP на умеренном уровне воздействия, поддерживает требования ITAR благодаря следующему:
Среда Keeper FedRAMP была проверена независимой сторонней оценочной организацией (3PAO) на подтверждение наличия надлежащих средств контроля для поддержки программ экспортного соответствия клиентов и продолжает проходить ежегодный аудит, необходимый для поддержания соответствия требованиям.
Дополнительная информация о ITAR.
Keeper Security Government Cloud (KSGC) — платформа KSI для управления паролями и обеспечения кибербезопасности для государственных учреждений. KSGC является авторизованным поставщиком FedRAMP на уровне умеренного воздействия (Moderate Impact Level), размещенным в AWS GovCloud (США). KSGC можно найти на торговой площадке FedRAMP.
Федеральная программа управления рисками и авторизацией (FedRAMP) — это программа федерального правительства США, обеспечивающая стандартизированный подход к оценке безопасности, авторизации и непрерывному мониторингу облачных продуктов и сервисов. FedRAMP стремится ускорить внедрение современных облачных решений государственными учреждениями, уделяя особое внимание безопасности и защите федеральной информации. Узнайте подробнее о FedRAMP.
StateRAMP разработана примерно через десять лет после FedRAMP с целью стимулирования внедрения безопасных облачных решений на уровне штатов и местных органов власти. Получение авторизации StateRAMP обычно представляет собой двухлетний процесс, который был ускорен посредством программы взаимности благодаря авторизации Keeper в FedRAMP.
Записи в клиентских хранилищах защищены с использованием строгих методов внутреннего контроля с тщательным отслеживанием. Keeper уже более десяти лет сертифицирован как соответствующий требованиям SOC 2 Type 2 в соответствии с AICPA Service Organization Control. Соблюдение SOC 2 помогает обеспечить безопасность хранилищ пользователей путем внедрения стандартизированных средств контроля, определенных в рамках принципов надежности AICPA Trust Service Principles.
Решение Keeper сертифицировано по стандартам ISO 27001, 27017 и 27018, охватывающим систему управления информацией и облачную инфраструктуру Keeper Security, которая поддерживает платформу Keeper Enterprise. Сертификаты ISO компании Keeper покрывают управление и эксплуатацию цифрового хранилища и облачных сервисов, контроль облачной безопасности, контроль конфиденциальности данных, разработку программного обеспечения и приложений, а также защиту цифровых активов как для цифрового хранилища, так и для облачных сервисов.
Keeper соответствует требованиям части 11 раздела 21 кодекса федеральных нормативных актов (CFR), которые применяются к ученым, работающим в строго регулируемых средах, в том числе к исследователям, проводящим клинические испытания. Эти требования отражают критерии Управления США по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA), в соответствии с которыми электронные записи и подписи считаются заслуживающими доверия, надежными и эквивалентными бумажным записям с рукописными подписями. В частности, ученые должны убедиться, что все используемое ими программное обеспечение соответствует требованиям части 11 раздела 21 CFR, в отношении следующего:
Средства контроля безопасности для идентификации пользователей – Keeper соответствует требованиям части 11 раздела 21 CFR к функциям безопасности, которые ограничивают доступ пользователей и их привилегии, включая обеспечение того, чтобы у всех пользователей были уникальные имена пользователей и пароли, возможность обнаружения и предотвращения несанкционированного доступа к системе и возможность блокировки скомпрометированных учетных записей.
Во время проверок FDA регулирующие органы требуют от исследователей предоставления аудиторского журнала с подробной хронологической записью всех операций. Функции отчетности Keeper о соответствии требованиям позволяют исследователям легко создавать отслеживаемые электронные журналы аудита.
Если для документа требуется юридически обязывающая электронная подпись, согласно части 11 раздела 21 CFR требуется, чтобы подпись была привязана к уникальному логину и паролю или биометрической идентификации. Keeper поддерживает это требование, предоставляя исследователям возможность гарантировать, что все пользователи имеют уникальные имена пользователей и пароли, надежно хранящиеся в цифровом хранилище пользователя, к которому может получить доступ только сам пользователь.
Дополнительную информацию о 21 CFR, часть 11 можно найти здесь.
Программное обеспечение Keeper отвечает мировым стандартам по защите медицинских данных пациентов, включая, без ограничения, HIPAA (Health Insurance Portability and Accountability Act) и DPA (Data Protection Act).
Keeper является сертифицированной SOC2 и ISO 27001 платформой обеспечения безопасности с нулевым разглашением данных и соответствует требованиям HIPAA. Поддерживается строгое соблюдение требований и контроль, охватывающий неприкосновенность частной жизни, конфиденциальность, целостность и доступность. При такой архитектуре безопасности Keeper не может расшифровать, просмотреть или получить доступ к какой-либо информации, включая ePHI, хранящейся в хранилище пользователя Keeper. По вышеуказанным причинам Keeper не является деловым партнером, как это определено в Законе о переносимости и подотчетности медицинского страхования (HIPAA), и, следовательно, на него не распространяется действие Соглашения о деловом партнерстве.
Чтобы подробнее узнать о дополнительных преимуществах для поставщиков медицинских услуг и компаний медицинского страхования, прочтите весь документ Раскрытие данных безопасности и посетите наше Руководство для предприятий.
Компания Keeper Security EMEA Limited сертифицирована в соответствии с квалификационной системой Hellios Financial Services Qualification System-Netherlands (FSQS-NL), которая признает самые высокие стандарты безопасности, качества и инноваций в Нидерландах. Этот стандарт демонстрирует соответствие требованиям Управления финансового надзора и Управления пруденциального надзора для обеспечения надежности программного обеспечения Keeper Enterprise для крупных банков и финансовых учреждений.
Решение Keeper сертифицировано Бюро промышленности и безопасности Министерства торговли США под контрольным номером 5D992 по классификации экспортных товаров в соответствии с Правилами экспортного контроля (EAR).
Для получения дополнительной информации о EAR: https://www.bis.doc.gov
Keeper контролируется 24x7x365 штатными сотрудниками DevOps и глобальной сторонней сетью мониторинга, чтобы гарантировать доступность нашего веб-сайта и хранилища Cloud Security Vault по всему миру.
Если у вас есть вопросы относительно раскрытия даных безопасности, свяжитесь с нами.
Если вы получили электронное письмо, предположительно отправленное от Keeper Security, и не уверены, так ли это на самом деле, это может быть «фишинговое письмо», в котором подделан адрес электронной почты отправителя. В этом случае электронное письмо может содержать ссылки на веб-сайт, похожий на KeeperSecurity.com, но не являющийся нашим сайтом. Веб-сайт может запросить у вас мастер-пароль Keeper Security или попытаться установить нежелательное программное обеспечение на ваш компьютер в попытке украсть вашу личную информацию или получить доступ к вашему компьютеру. Подобные электронные письма могут также содержать ссылки, ведущие на другие потенциально опасные веб-сайты. Сообщение также может содержать вложения, которые обычно содержат нежелательное программное обеспечение, называемое «вредоносным ПО». Если вы не уверены в подлинности пришедшего электронного письма, не переходя по каким-либо ссылкам и не открывая никаких вложений.
Если вы хотите сообщить об электронном письме, якобы отправленном от Keeper, которое, по вашему мнению, является поддельным, или у вас есть другие вопросы в связи с безопасностью свяжитесь с нами..
Веб-сайт и облачное хранилище Keeper работают в безопасной облачной инфраструктуре Amazon Web Services (AWS). Облачная инфраструктура AWS, используемая для размещения архитектуры Keeper, получила следующие аттестаты и сертификаты:
Keeper Security занимается разработкой самого безопасного решения для управления паролями и привилегированным доступом. Мы стремимся защищать конфиденциальность и персональные данные своих клиентов. Миссия Keeper заключается в создании самой надежной в мире инновационной платформы обеспечения безопасности, и мы считаем, что сообщения об ошибках, поступающие от мирового сообщества исследователей безопасности, имеют решающее значение для обеспечения безопасности продуктов и услуг Keeper.
Keeper проводит обширное внутреннее и внешнее тестирование, включая тесты на проникновение, проводимые NCC Group и CyberTest с полным доступом к исходному коду. Keeper проводит свою программу раскрытия уязвимостей в партнерстве с Bugcrowd. В совокупности это приносит пользу всей отрасли и, более того, служит общественному благу.
Политика раскрытия уязвимостей Keeper устанавливает ожидаемые нормы при работе с хакерами доброй воли, а также то, что вы можете ожидать от нас.
Если тестирование безопасности и отчетность проводятся в соответствии с руководящими принципами данной политики, мы:
Если в какой-либо момент у вас возникнут сомнения или вы не будете уверены в проведении тестирования способом, соответствующим руководящим принципам и сфере применения настоящей политики, свяжитесь с нами по адресу security@keepersecurity.com, прежде чем продолжить.
С целью поощрения тестирования безопасности с добрыми намерениями и раскрытия обнаруженных уязвимостей, мы просим вас:
Подавайте свои отчеты здесь: https://bugcrowd.com/keepersecurity
Keeper не просто заботится о безопасности; мы относимся к этому фанатично. Вот почему мы делаем каждую деталь нашей модели шифрования доступной для общественности. Мы считаем, что наши клиенты заслуживают того, чтобы знать о каждом шаге, который мы предпринимаем для обеспечения безопасности их данных в условиях постоянно меняющейся среды кибербезопасности.
Модель Keeper шифрования с нулевым доверием и нулевым разглашением данных гарантирует, что даже в худшем случае ваше хранилище Keeper будет защищено, и мы постоянно проводим тесты безопасности, чтобы гарантировать, что мы остаемся лучшим решением для защиты наиболее ценных ваших данных.
Портал документации Keeper, содержащий руководства по продуктам, техническую информацию, примечания к выпускам и руководства для конечных пользователей, доступен по этой ссылке.
Чтобы повысить прозрачность, Keeper публикует подробные примечания к выпускам на каждой платформе.
Состояние системы в реальном времени можно найти здесь.