Keselamatan di iTutor
Sekolah, universiti, dan pasukan Latihan & Pembangunan mempercayai iTutor dengan data pembelajaran pelajar dan pekerja. Berikut ialah cara kami melindungi data tersebut — ditulis untuk pasukan perolehan, pentadbir IT, dan ibu bapa yang mahukan jawapan konkrit, bukan bahasa pemasaran.
Penyulitan data
Semua trafik antara pelayar anda, aplikasi iTutor, dan bahagian belakang kami disulitkan semasa penghantaran menggunakan TLS 1.3. Data yang disimpan — termasuk bahan pelajaran yang dimuat naik, profil akaun, dan rekod kemajuan — disulitkan dengan penyulitan simetrik standard industri pada lapisan storan.
Kelayakan pengesahan tidak pernah disimpan dalam teks biasa; kata laluan dicincang menggunakan algoritma memory-hard moden dengan garam per pengguna.
Kawalan akses
Akses aplikasi dikawal oleh kawalan akses berasaskan peranan. Pada akaun individu, hanya pemilik akaun boleh membaca data mereka sendiri. Pada akaun institusi, pentadbir menentukan peranan guru dan pelajar, dan keterlihatan dihadkan kepada kelas, kursus, atau kohort yang ditetapkan. Akses data merentas penyewa dicegah pada lapisan pertanyaan — tiada laluan pertanyaan yang boleh mengembalikan data daripada penyewa yang tidak dimiliki oleh pemohon.
Akses kakitangan iTutor kepada data pengeluaran adalah terhad, dilog, dan diberikan hanya apabila diperlukan untuk menyiasat tiket sokongan atau mendiagnosis insiden. Tindakan kakitangan terhadap data pengguna boleh diaudit.
Pilihan pengesahan
Akaun individu menggunakan pengesahan e-mel dan kata laluan, dengan pilihan log masuk melalui Google atau Apple ID. Akaun institusi boleh memerlukan Single Sign-On (SAML 2.0, OIDC, atau LTI 1.3) supaya institusi kekal sebagai sumber kebenaran identiti. Pengesahan dua faktor tersedia pada semua tahap akaun.
Sandaran dan pemulihan
Pangkalan data pengeluaran disandarkan setiap hari dengan pemulihan berasaskan masa untuk tempoh pengekalan yang ditetapkan. Sandaran disulitkan semasa penyimpanan dan disimpan di geografi yang berasingan daripada sistem utama. Prosedur pemulihan diuji mengikut jadual tetap.
Pemantauan dan tindak balas insiden
Log aplikasi dan infrastruktur diagregatkan untuk pemantauan keselamatan. Kami mempunyai proses tindak balas insiden dalaman yang merangkumi pengesanan, pembendungan, pembasmian, pemulihan, dan semakan pasca insiden. Insiden material yang mempengaruhi data pelanggan akan dimaklumkan kepada pelanggan yang terjejas tanpa kelewatan yang tidak wajar, selaras dengan keperluan peraturan.
Ujian penembusan
iTutor menjalani ujian penembusan pihak ketiga setiap tahun yang merangkumi aplikasi web, permukaan API, dan sistem pengesahan. Penemuan dijejaki sehingga pemulihan selesai. Laporan ringkasan tersedia kepada pelanggan institusi di bawah NDA atas permintaan.
Pematuhan peraturan
iTutor dibina dengan prinsip privasi mengikut reka bentuk yang selaras dengan Peraturan Perlindungan Data Am Kesatuan Eropah (GDPR). Untuk pelanggan institusi, kami menawarkan Perjanjian Pemprosesan Data yang menggariskan hubungan pengawal / pemproses, senarai sub-pemproses, pilihan kediaman data jika berkenaan, dan aliran kerja permintaan subjek data.
Untuk penggunaan di sekolah, kami mengikuti jangkaan privasi sektor pendidikan: minimisasi data, tiada pemprofilan pengiklanan tingkah laku pelajar, dan pembatasan ketat sebarang analitik kepada kes guna pendidikan.
Pendedahan kerentanan
Jika anda telah menemui isu keselamatan dalam iTutor, kami ingin mendengar daripada anda. Sila e-melkan kami di alamat di bawah dengan langkah-langkah untuk menghasilkan semula, impak, dan sebarang bahan bukti konsep. Kami berkomitmen untuk mengakui laporan anda dalam masa 5 hari bekerja, memberikan kemas kini status dalam masa 14 hari, dan menyelaras masa pendedahan yang bertanggungjawab bersama anda.