Сравнили корпоративные мессенджеры по десяти критериям безопасности, на которые надо смотреть, когда выбираете свой.
Каждому присвоили оценку от 1 до 10. Рейтинг — в конце статьи.
В этой статье разбираемся с безопасностью корпоративных мессенджеров.
Какие сервисы сравнивали: Compass, VK Teams, eXpress, Пачка, Яндекс, Tada.Team, Amo мессенджер, Mattermost, Rocket.Chat, Zulip.
По каким фичам сравнивали: есть ли on-premise, как шифруются данные при передаче, хранении на сервере и на устройстве, интегрируется ли с ИБ-системами, как защищают данные в облаке, делают ли отдельный контур для внешних пользователей, что с конфиденциальностью информации, как защищают данные при потере устройства и есть ли безопасные push-уведомления.
Ниже — подробно о каждом.
Шифрование, когда данные передаются: информация защищена надежными протоколами TLS 1.3, SRTP и DTLS.
Как хранятся и шифруются данные на сервере: информация на сервере хранится в криптоконтейнере.
Как шифруются данные на устройстве: есть дополнительное шифрование данных на устройствах.
С какими ИБ-системами интегрируется: интегрируется с DLP системами, SIEM и антивирусами.
Как защищает данные в облаке: информация в облаке хранится в дата-центрах в зашифрованном виде, безопасность оборудования подтверждена международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно ограничивать видимость, права и доступы для гостей рабочего пространства — подрядчиков, партнеров и внештатных сотрудников.
Конфиденциальность информации: гибкие настройки приватности: можно запрещать загружать файлы, записывать голосовые, и отправлять личные сообщения.
Если устройство теряется: можно дистанционно разлогинить и удалить информацию приложения на устройстве сотрудника по команде с сервера.
Безопасные push-уведомления: можно настроить так, чтобы контент в push-уведомлениях не отражался, — перехватить или подсмотреть важную информацию не получится.
Дополнительно:
Шифрование, когда данные передаются: используется TLS/WSS и SSL.
Как хранятся и шифруются данные на сервере: данные на сервере хранятся в зашифрованном виде.
Как шифруются данные на устройстве: использует сквозное шифрование (E2EE).
С какими ИБ-системами интегрируется: интегрируется с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть сертификаты ISO и американских учреждений: GDPR, HIPAA, FINRA, FedRAMP (так что, если открываете бизнес в России, лучше посмотреть на аналоги, сервис без галочки от росреестра сейчас — зона риска).
Отдельный контур для внешних пользователей: можно настраивать больше 180 разрешений и контролировать настройки для внешних пользователей.
Конфиденциальность информации: есть гибкие настройки.
Если устройство теряется: можно заблокировать пользователя по сигналу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно:
Шифрование, когда данные передаются: использует транспортное шифрование TLS 1.3 и DTLS, а еще есть возможность шифрования данных Е2ЕЕ.
Как хранятся и шифруются данные на сервере: пишут, что серверы on premise защищены внутри компании.
Как шифруются данные на устройстве: данные хранятся в криптоконтейнере — нельзя будет так просто скачать их вовне, а еще можно запретить делать скрины и запись экрана.
С какими ИБ-системами интегрируется: есть интеграция с корпоративными DLP-системами и SIEM.
Как защищает данные в облаке: есть сертификат от ФСТЭК.
Отдельный контур для внешних пользователей: есть гостевой доступ и расширенные настройки, чтобы управлять разрешениями для участников.
Конфиденциальность информации: eXpress предлагает стандартные настройки конфиденциальности, позволяющие ограничить доступ к информации.
Если устройство теряется: если устройства потеряли или сотрудника уволили, можно все удалить по команде с сервера.
Безопасные push-уведомления: есть дополнительная защита — содержание уведомлений можно скрывать.
Дополнительно: есть трехступенчатая аутентификация, согласно информации с сайта.
Шифрование, когда данные передаются: TLS-шифрование.
Как хранятся и шифруются данные на сервере: шифрует, но не говорит, как.
Как шифруются данные на устройстве: есть шифрование HTTPS.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть американские сертификаты.
Отдельный контур для внешних пользователей: можно создавать отдельные пространства и ограничивать настройки доступа.
Конфиденциальность информации: можно настраивать права пользователей во времени — ставить ограничение на период, в течение которого у нового участника будут только конкретные права.
Если устройство теряется: можно деактивировать любого пользователя по запросу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно: есть SSO и синхро с Active Directory.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: изолирует данные компании от серверов других компании — случайных утечек быть не может.
Как шифруются данные на устройстве: защищают данные с ЕММ.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гибкими правами доступа.
Конфиденциальность информации: гибкие настройки приватности — можно ограничивать доступ к информации и управлять правами пользователей.
Если устройство теряется: можно удалить данные с устройства пользователя при потере.
Безопасные push-уведомления: нет безопасных push-уведомлений.
Шифрование, когда данные передаются: использует TLS 1.3, чтобы передавать данные.
Как хранятся и шифруются данные на сервере: нет информации о шифровании данных в хранилище.
Как шифруются данные на устройстве: аналогично — в официальной документации информации нет.
С какими ИБ-системами интегрируется: интеграция с DLP, SIEM-системами, антиспамом и антивирусами.
Как защищает данные в облаке: все данные лежат в специальных дата-центрах.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства и ограничивать доступ для внешних пользователей, например, для партнеров. Но работает только на одном тарифе.
Конфиденциальность информации: здесь стандартные настройки приватности — можно ограничить доступ к информации.
Если устройство теряется: можно удалить данные с потерянного устройства по запросу от сервера.
Безопасные push-уведомления: есть скрытые пуши, чтобы никто не увидел содержимое.
Дополнительно: есть синхронизация с Active Directory, но только для одного тарифа, а еще — SSO.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: нет в документации.
Как шифруются данные на устройстве: нет в документации.
С какими ИБ-системами интегрируется: есть возможность интегрировать с DLP, но только индивидуально через API.
Как защищает данные в облаке: безопасность оборудования подтверждают международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно управлять доступами, добавлять админов, гостей и сотрудников.
Конфиденциальность информации: только стандартные настройки безопасности, без гибкого управления.
Если устройство теряется: если сотрудник потерял устройство или уволился, можно сразу же ограничить ему доступ.
Безопасные push-уведомления: стандартные механизмы push-уведомлений без дополнительной защиты.
Дополнительно: для on-premise есть синхро с Active Directory.
Шифрование, когда данные передаются: использует протокол TLS 1.3.
Как хранятся и шифруются данные на сервере: не публикует инфу о шифровании данных в хранилище.
Как шифруются данные на устройстве: можно настроить срок или отключить хранение данных на пользовательских устройствах.
С какими ИБ-системами интегрируется: пишут, что через API можно настроить интеграцию с чем угодно, но про встроенную интеграцию с ИБ ничего нет.
Как защищает данные в облаке: есть лицензия ФСТЭК.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гостевым доступом.
Конфиденциальность информации: есть гибкие настройки приватности.
Если устройство теряется: аккаунты можно удалять только через поддержку.
Безопасные push-уведомления: можно контролировать видимость содержания пушей.
Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: есть сертификат от ФСТЭК — безопасность подтвердили.
Как шифруются данные на устройстве: информации в документации нет.
С какими ИБ-системами интегрируется: есть интеграция с DLP-системами, но только на Расширенном и Оптимальном тарифах.
Как защищает данные в облаке: зависит от мер безопасности, реализованных на стороне Яндекса.
Отдельный контур для внешних пользователей: можно создать локальные чаты и сохранить закрытый контур для компании.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: есть — админы смогут выйти из всех акков сотрудника в случае чего.
Безопасные push-уведомления: Яндекс.Мессенджер использует стандартные механизмы push-уведомлений, которые не гарантируют дополнительную защиту.
Дополнительно: есть двухступенчатая авторизация, Active Directory и функция SSO.
Шифрование, когда данные передаются: использует SSL шифрование при передаче данных.
Как хранятся и шифруются данные на сервере: не публикует информацию.
Как шифруются данные на устройстве: нет инфы.
С какими ИБ-системами интегрируется: с системой AmoCRM, с которой можно настроить права доступа и мониторить деятельность пользователей.
Как защищает данные в облаке: сертификата от ФСТЭК нет, но входит в реестр российского ПО.
Отдельный контур для внешних пользователей: нет отдельных контуров для внешних пользователей.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: пишут, что уволенные сотрудники потеряют доступ к спискам, а данные останутся внутри компании.
Безопасные push-уведомления: есть безопасные пуши, пишут, что текст сообщений виден только в приложении.
Важно: у Amo нет даже двухфакторной аутентификации, поэтому сняли за это 0.5 балла.
Каждому присвоили оценку от 1 до 10. Рейтинг — в конце статьи.
В этой статье разбираемся с безопасностью корпоративных мессенджеров.
Какие сервисы сравнивали: Compass, VK Teams, eXpress, Пачка, Яндекс, Tada.Team, Amo мессенджер, Mattermost, Rocket.Chat, Zulip.
По каким фичам сравнивали: есть ли on-premise, как шифруются данные при передаче, хранении на сервере и на устройстве, интегрируется ли с ИБ-системами, как защищают данные в облаке, делают ли отдельный контур для внешних пользователей, что с конфиденциальностью информации, как защищают данные при потере устройства и есть ли безопасные push-уведомления.
Ниже — подробно о каждом.
Compass — 10.5
Корпоративный мессенджер с открытым исходным кодом и фокусом на безопасность, где есть все привычное для работы, бизнеса и клиентов: видеоконференции на 1000+ участников, чаты, треды, реакции. Есть две версии сервиса: on-premise и облачная, если хотите начать коммуникацию сразу.Как защищает данные
On-premise: можно развернуть у себя, все данные находятся под контролем на вашем сервере.Шифрование, когда данные передаются: информация защищена надежными протоколами TLS 1.3, SRTP и DTLS.
Как хранятся и шифруются данные на сервере: информация на сервере хранится в криптоконтейнере.
Как шифруются данные на устройстве: есть дополнительное шифрование данных на устройствах.
С какими ИБ-системами интегрируется: интегрируется с DLP системами, SIEM и антивирусами.
Как защищает данные в облаке: информация в облаке хранится в дата-центрах в зашифрованном виде, безопасность оборудования подтверждена международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно ограничивать видимость, права и доступы для гостей рабочего пространства — подрядчиков, партнеров и внештатных сотрудников.
Конфиденциальность информации: гибкие настройки приватности: можно запрещать загружать файлы, записывать голосовые, и отправлять личные сообщения.
Если устройство теряется: можно дистанционно разлогинить и удалить информацию приложения на устройстве сотрудника по команде с сервера.
Безопасные push-уведомления: можно настроить так, чтобы контент в push-уведомлениях не отражался, — перехватить или подсмотреть важную информацию не получится.
Дополнительно:
- Безопасность устройств сотрудников — обнаруживаем jailbreak или root на смартфонах с мгновенным уведомлением администратору, а еще защищаем данные от вредоносных программ.
- Есть синхро с Active Directory и функция Single Sign-On.
- Регулярные аудиты безопасности — исходный код Compass доступен на GitHub, его регулярно проверяют на уязвимости независимые эксперты безопасности и признанные лидеры рынка.
Rocket.Chat — 10, но не входит в реестр российского ПО
Open-source платформа для корпоративного общения, где можно управлять проектами и общаться с командой.Как защищает данные
On-premise: можно развернуть на собственном сервере.Шифрование, когда данные передаются: используется TLS/WSS и SSL.
Как хранятся и шифруются данные на сервере: данные на сервере хранятся в зашифрованном виде.
Как шифруются данные на устройстве: использует сквозное шифрование (E2EE).
С какими ИБ-системами интегрируется: интегрируется с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть сертификаты ISO и американских учреждений: GDPR, HIPAA, FINRA, FedRAMP (так что, если открываете бизнес в России, лучше посмотреть на аналоги, сервис без галочки от росреестра сейчас — зона риска).
Отдельный контур для внешних пользователей: можно настраивать больше 180 разрешений и контролировать настройки для внешних пользователей.
Конфиденциальность информации: есть гибкие настройки.
Если устройство теряется: можно заблокировать пользователя по сигналу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно:
- Есть синхро с single sign-on (SSO) через Google, GitHub, SAML (и Okta), AzureAD, Active Directory/LDAP.
- Постоянно проходит аудиты безопасности на уязвимости в коде и системе.
eXpress — 9.5
eXpress — корпоративный мессенджер с конференциями на 250+ участников, личным кабинетом сотрудника и стандартными фичами — можно создавать групповые чаты, отправлять почту и создавать треды.Как защищает данные
On-premise: корпоративные заказчики могут развернуть на сервере.Шифрование, когда данные передаются: использует транспортное шифрование TLS 1.3 и DTLS, а еще есть возможность шифрования данных Е2ЕЕ.
Как хранятся и шифруются данные на сервере: пишут, что серверы on premise защищены внутри компании.
Как шифруются данные на устройстве: данные хранятся в криптоконтейнере — нельзя будет так просто скачать их вовне, а еще можно запретить делать скрины и запись экрана.
С какими ИБ-системами интегрируется: есть интеграция с корпоративными DLP-системами и SIEM.
Как защищает данные в облаке: есть сертификат от ФСТЭК.
Отдельный контур для внешних пользователей: есть гостевой доступ и расширенные настройки, чтобы управлять разрешениями для участников.
Конфиденциальность информации: eXpress предлагает стандартные настройки конфиденциальности, позволяющие ограничить доступ к информации.
Если устройство теряется: если устройства потеряли или сотрудника уволили, можно все удалить по команде с сервера.
Безопасные push-уведомления: есть дополнительная защита — содержание уведомлений можно скрывать.
Дополнительно: есть трехступенчатая аутентификация, согласно информации с сайта.
Zulip — 9
Open-source платформа с возможностью общаться и управлять проектами — есть чаты по темам и каналы.Как защищает данные
On-premise: можно разворачивать на своем сервере.Шифрование, когда данные передаются: TLS-шифрование.
Как хранятся и шифруются данные на сервере: шифрует, но не говорит, как.
Как шифруются данные на устройстве: есть шифрование HTTPS.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО, но есть американские сертификаты.
Отдельный контур для внешних пользователей: можно создавать отдельные пространства и ограничивать настройки доступа.
Конфиденциальность информации: можно настраивать права пользователей во времени — ставить ограничение на период, в течение которого у нового участника будут только конкретные права.
Если устройство теряется: можно деактивировать любого пользователя по запросу с сервера.
Безопасные push-уведомления: есть безопасные пуши.
Дополнительно: есть SSO и синхро с Active Directory.
Mattermost — 8
Mattermost — open-source платформа для корпоративного общения с каналами, плейбуками (можно автоматизировать рутину и превратить в шаблоны внутри мессенджера) и интеграциями.Как защищает данные
On-premise: можно разворачивать на собственном сервере.Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: изолирует данные компании от серверов других компании — случайных утечек быть не может.
Как шифруются данные на устройстве: защищают данные с ЕММ.
С какими ИБ-системами интегрируется: с LDAP, SAML и OAuth.
Как защищает данные в облаке: нет сертификата ФСТЭК и не входит в реестр российского ПО.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гибкими правами доступа.
Конфиденциальность информации: гибкие настройки приватности — можно ограничивать доступ к информации и управлять правами пользователей.
Если устройство теряется: можно удалить данные с устройства пользователя при потере.
Безопасные push-уведомления: нет безопасных push-уведомлений.
VK Teams — 7.5
VK Teams — облачный мессенджер на базе VK с интеграциями внутри экосистемы. Привычный интерфейс платформы, групповые чаты и видеоконференции.Как защищает данные
On-premise: можно развернуть на своем сервере.Шифрование, когда данные передаются: использует TLS 1.3, чтобы передавать данные.
Как хранятся и шифруются данные на сервере: нет информации о шифровании данных в хранилище.
Как шифруются данные на устройстве: аналогично — в официальной документации информации нет.
С какими ИБ-системами интегрируется: интеграция с DLP, SIEM-системами, антиспамом и антивирусами.
Как защищает данные в облаке: все данные лежат в специальных дата-центрах.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства и ограничивать доступ для внешних пользователей, например, для партнеров. Но работает только на одном тарифе.
Конфиденциальность информации: здесь стандартные настройки приватности — можно ограничить доступ к информации.
Если устройство теряется: можно удалить данные с потерянного устройства по запросу от сервера.
Безопасные push-уведомления: есть скрытые пуши, чтобы никто не увидел содержимое.
Дополнительно: есть синхронизация с Active Directory, но только для одного тарифа, а еще — SSO.
Пачка — 6.5
Пачка — мессенджер для команд со встроенными списками дел и файловым хранилищем. Есть открытые и закрытые чаты, новостные каналы, сквозные треды и видеозвонки до 100 человек.Как защищает данные
On-premise: сервис облачный, поэтому развернуть на собственном сервере невозможно.Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: нет в документации.
Как шифруются данные на устройстве: нет в документации.
С какими ИБ-системами интегрируется: есть возможность интегрировать с DLP, но только индивидуально через API.
Как защищает данные в облаке: безопасность оборудования подтверждают международными стандартами ISO и ФСТЭК.
Отдельный контур для внешних пользователей: можно управлять доступами, добавлять админов, гостей и сотрудников.
Конфиденциальность информации: только стандартные настройки безопасности, без гибкого управления.
Если устройство теряется: если сотрудник потерял устройство или уволился, можно сразу же ограничить ему доступ.
Безопасные push-уведомления: стандартные механизмы push-уведомлений без дополнительной защиты.
Дополнительно: для on-premise есть синхро с Active Directory.
Tada.Team — 6.5
Tada.Team — платформа для командной работы, где можно управлять проектами, общаться, планировать и вести документооборот. Есть встроенный календарь, который можно синхронуть с существующими, списки дел и видео/аудио звонки до 25 человек.Как защищает данные
On-premise: можно развернуть на своем сервере, но только для компаний от 1000 человек.Шифрование, когда данные передаются: использует протокол TLS 1.3.
Как хранятся и шифруются данные на сервере: не публикует инфу о шифровании данных в хранилище.
Как шифруются данные на устройстве: можно настроить срок или отключить хранение данных на пользовательских устройствах.
С какими ИБ-системами интегрируется: пишут, что через API можно настроить интеграцию с чем угодно, но про встроенную интеграцию с ИБ ничего нет.
Как защищает данные в облаке: есть лицензия ФСТЭК.
Отдельный контур для внешних пользователей: можно создавать отдельные рабочие пространства с гостевым доступом.
Конфиденциальность информации: есть гибкие настройки приватности.
Если устройство теряется: аккаунты можно удалять только через поддержку.
Безопасные push-уведомления: можно контролировать видимость содержания пушей.
Яндекс.Мессенджер — 5.5
Вписывается в экосистему Яндекса с почтой, диском и всем прилежащим. Функции стандартны: есть каналы, чаты, видеозвонки, безопасный обмен файлами. Можно ставить статус профиля и отмечать важность сообщений, чтобы тегнуть всех.Как защищает данные
On-premise: развернуть на своем сервере не получится, но можно обратиться в службу поддержки, чтобы настроить интеграцию и общаться с клиентами.Шифрование, когда данные передаются: использует TLS.
Как хранятся и шифруются данные на сервере: есть сертификат от ФСТЭК — безопасность подтвердили.
Как шифруются данные на устройстве: информации в документации нет.
С какими ИБ-системами интегрируется: есть интеграция с DLP-системами, но только на Расширенном и Оптимальном тарифах.
Как защищает данные в облаке: зависит от мер безопасности, реализованных на стороне Яндекса.
Отдельный контур для внешних пользователей: можно создать локальные чаты и сохранить закрытый контур для компании.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: есть — админы смогут выйти из всех акков сотрудника в случае чего.
Безопасные push-уведомления: Яндекс.Мессенджер использует стандартные механизмы push-уведомлений, которые не гарантируют дополнительную защиту.
Дополнительно: есть двухступенчатая авторизация, Active Directory и функция SSO.
Amo мессенджер — 4
Amo мессенджер — корпоративный мессенджер встроенный в систему AmoCRM. Можно общаться с клиентами и командой, создавать групповые чаты, вести переписку и отправлять файлы.Как защищает данные
On-premise: сервис облачный, развернуть на своем сервере не получится.Шифрование, когда данные передаются: использует SSL шифрование при передаче данных.
Как хранятся и шифруются данные на сервере: не публикует информацию.
Как шифруются данные на устройстве: нет инфы.
С какими ИБ-системами интегрируется: с системой AmoCRM, с которой можно настроить права доступа и мониторить деятельность пользователей.
Как защищает данные в облаке: сертификата от ФСТЭК нет, но входит в реестр российского ПО.
Отдельный контур для внешних пользователей: нет отдельных контуров для внешних пользователей.
Конфиденциальность информации: стандартные настройки конфиденциальности.
Если устройство теряется: пишут, что уволенные сотрудники потеряют доступ к спискам, а данные останутся внутри компании.
Безопасные push-уведомления: есть безопасные пуши, пишут, что текст сообщений виден только в приложении.
Важно: у Amo нет даже двухфакторной аутентификации, поэтому сняли за это 0.5 балла.
Итоговые оценки сервисов
- Compass: 10.5.
- Rocket.Chat: 10.
- eXpress: 9.5.
- Zulip: 9.
- Mattermost: 8.
- VK Teams: 7.5.
- Пачка: 6.5.
- Tada.Team: 6.5.
- Яндекс: 5.5.
- Amo мессенджер: 4.
