O firmie
Ramp to globalna firma technologiczna, która swoimi pionierskimi rozwiązaniami rewolucjonizuje światową infrastrukturę płatniczą dla kryptowalut. Jej misją jest sprawienie, aby wymiana walut fiducjarnych (takich jak euro, dolary czy złotówki) na kryptowaluty (i odwrotnie) była równie prosta jak doładowanie telefonu czy zalogowanie się do konta bankowego.
Jesteśmy mostem, który chce przetransportować społeczeństwo z brzegu web2 do brzegu web3. To dla nas bardzo ważne, aby ułatwić ludziom korzystanie z nieskończonych możliwości, które oferuje im ten nowy świat.
Choć zdecentralizowany charakter kryptowalut mógłby sugerować, że powiązane z nimi produkty są niezależne od rządów poszczególnych państw, to w rzeczywistości wcale tak nie jest. Aby móc świadczyć swoje usługi, Ramp musi zdobyć odpowiednie licencje i wypełnić ustalenia regulacyjne.
Wyzwanie
Firma jest zobowiązana do dopełnienia takich procedur jak KYC (Know Your Customer) czy KYT (Know Your Transaction), których celem jest przeciwdziałanie praniu brudnych pieniędzy i zapobieganie terroryzmowi.
Oczywiście spełniamy wymagania podmiotów regulacyjnych. Ale jednocześnie sami wysoko stawiamy sobie poprzeczkę w tym zakresie. Zależy nam na tym, aby chronić pieniądze naszych użytkowników przed potencjalnymi oszustwami, kradzieżami czy wyłudzeniami. Uważamy też, że naszym obowiązkiem jest dbanie o renomę świata web3. Zapewnienie najwyższego poziomu bezpieczeństwa jest w tym aspekcie kluczowe.
Ramp tworzy i rozwija swoje produkty z użyciem rozwiązań dostarczanych przez FOTC, takich jak Google Cloud czy Google Workspace. Ważnym elementem w strukturze startupu jest m.in. Google Cloud Identity, który pełni rolę głównego dostawcy tożsamości dla pracowników firmy.
Co ważne, narzędzia dostarczane przez Google spełniają wszelkie rygorystyczne wymagania w zakresie bezpieczeństwa i zgodności, jakie są stawiane firmom działającym w regulowanych branżach.
Ogromne tempo rozwoju Ramp stawia przed firmą wymóg ciągłego dostosowywania konfiguracji – szczególnie w trakcie implementacji nowych procesów. Taka dynamika zwiększa ryzyko wystąpienia błędów. To właśnie dlatego zespół odpowiedzialny w Ramp za bezpieczeństwo kładzie duży nacisk na regularną weryfikację prawidłowości ustawień konsoli Google Workspace, co zapewnia infrastrukturze zgodność z najwyższymi standardami bezpieczeństwa.
Rozwiązanie
Aby jeszcze lepiej dbać o dane i środki swoich klientów, Ramp przyjął dwutorową strategię działania. Po pierwsze, firma podjęła decyzję o upgradzie pakietu Google Workspace na wersję Enterprise Standard, co daje jej szersze możliwości w zakresie zabezpieczenia instancji.
Dodatkowo, zespół Ramp przeprowadza regularne audytu infrastruktury, aby mieć pewność, że mimo dynamicznego rozwoju, wszystkie mechanizmy zabezpieczające zostały skonfigurowane poprawnie.
Zarówno w sprawie zmiany planu jak i wykonania audytu bezpieczeństwa Google Workspace Ramp zwrócił się do FOTC.
Każdy audytor patrzy na system z trzech perspektyw. Na kontrole prewencyjne, które chronią przed tym, co się może wydarzyć. Na kontrole detekcyjne, czyli narzędzia monitorujące i powiadamiające, kiedy już zdarzy się coś niepokojącego. I na kontrole korekcyjne, które pozwalają zadziałać, aby skorygować potencjalne problemy. W swoich produktach Google stosuje doskonałe rozwiązania, które pozwalają dbać o pierwsze dwa z tych aspektów. Jednak w przypadku ostatnich niezbędne jest wsparcie operacyjne wychodzące poza rozwiązania technologiczne. Dlatego współpraca z FOTC, czyli partnerem, który przeprowadzi audyt i wskaże ewentualne niedociągnięcia, które mogliśmy przeoczyć, jest idealnym uzupełnieniem usług oferowanych przez Google.
Rezultaty
Specjaliści FOTC przeprowadzili w Ramp audyt bezpieczeństwa Google Workspace i zidentyfikowali obszary, nad których poprawą powinien skupić się zespół scaleupu.
Bezpieczeństwo w Ramp postawione jest na bardzo wysokim poziomie. Jednak moim zdaniem nie istnieje na świecie organizacja, w której nie byłoby w tym zakresie pola do poprawy. Dzięki analizie dokonanej przez naszych inżynierów, mogliśmy wskazać zespołowi zabezpieczającemu zasoby Ramp, na co powinien zwrócić szczególną uwagę oraz jak może włączyć do swoich procedur narzędzia, które daje rozszerzona konsola Google Workspace Enterprise.
Ważnym elementem wsparcia dla Ramp było zidentyfikowanie przez FOTC aplikacji i ich poziomów dostępu. Rekomendacja dotycząca dobrych praktyk była cennym źródłem wiedzy, pomocnym w dodatkowej weryfikacji i wprowadzeniu usprawnień.
Ta spersonalizowana pomoc i doradztwo pozwoliły zespołowi firmy na usprawnienie zarządzania aplikacjami i zasobami w Google Workspace, co z kolei przyczyniło się do zwiększenia poziomu bezpieczeństwa całej organizacji.
Więcej niż zwykły raport
Po przeprowadzeniu audytu Ramp otrzymał od FOTC szczegółowy raport, który został udostępniony zarówno w formacie arkusza Google jak i pliku PDF. Został on opracowany jako w pełni funkcjonalne narzędzie, z którego można zacząć korzystać natychmiast po jego otrzymaniu.
Dzięki możliwości skopiowania pliku na swój Dysk Google, zespół Ramp mógł odznaczać wprowadzone zmiany oraz notować swoje uwagi bezpośrednio w dokumencie, co znacząco wpłynęło na sprawną implementację poszczególnych zaleceń.
Zazwyczaj audyty bezpieczeństwa skutkują otrzymaniem kilkunastu stron tekstu. Raport, który dostaliśmy od FOTC ma formę arkusza kalkulacyjnego z kilkoma zakładkami. Plik opatrzony jest konkretnymi rekomendacjami, które mogliśmy od razu wdrożyć, i priorytetami, określającymi w jakiej kolejności mamy to zrobić. Dla mnie ten raport jest ewenementem. Jestem przekonany, że został zrobiony przez kogoś, kto sam wiele czasu spędził w konsoli Google Workspace i zadał sobie pytanie „Jaki raport sam chciałbym otrzymać, żeby był on dla mnie możliwie jak najbardziej użyteczny?”. Myślę, że to było główną myślą osoby, która go projektowała. Mając dostęp do raportu od FOTC, wiem, w jakim miejscu się znajduję; wiem, gdzie chcę dotrzeć i wiem, którą drogą do tego stanu dojdę.
Ramp z sukcesem wdrożył zalecenia wynikające z audytu. Scaleup pozostaje w stałym kontakcie z FOTC, korzystając ze wsparcia i doradztwa naszych specjalistów, co pomaga firmie w ciągłym doskonaleniu swoich systemów bezpieczeństwa.