Корпоративная безопасность

Безопасность ваших данных — наш главный приоритет. Узнайте о наших комплексных мерах безопасности, стандартах соответствия и о том, как мы защищаем вашу конфиденциальную информацию.

Шифрование AES-256

Военное шифрование для всех данных в состоянии покоя и при передаче

Соответствие SOC 2

Проверенные средства контроля безопасности и стандарты соответствия

SLA доступности 99.9%

Надежная инфраструктура с автоматическим переключением и резервными копиями

Шифрование данных

Военное шифрование защищает ваши данные на каждом уровне

Шифрование в состоянии покоя

  • Шифрование AES-256: Все данные, хранящиеся в наших базах данных, зашифрованы с использованием Advanced Encryption Standard с 256-битными ключами
  • Шифрование базы данных: Firebase Firestore обеспечивает автоматическое шифрование в состоянии покоя для всех хранимых данных
  • Биометрические данные: Данные отпечатков пальцев хешируются с использованием SHA-256 и хранятся в зашифрованном формате, что делает невозможным их восстановление
  • Шифрование резервных копий: Все резервные копии зашифрованы с использованием того же стандарта AES-256
  • Хранилище файлов: Все загруженные файлы (отчеты, документы) шифруются перед сохранением

Шифрование при передаче

  • TLS 1.3: Все данные, передаваемые между вашим браузером и нашими серверами, используют Transport Layer Security 1.3
  • HTTPS везде: Вся наша платформа работает через HTTPS с включенным HSTS
  • Безопасность API: Все вызовы API зашифрованы и аутентифицированы с использованием защищенных токенов
  • Закрепление сертификатов: Наши мобильные приложения используют закрепление сертификатов для предотвращения атак типа «человек посередине»

Управление ключами

  • Google Cloud KMS: Ключи шифрования управляются службой Google Cloud Key Management Service
  • Ротация ключей: Ключи шифрования автоматически меняются каждые 90 дней
  • Контроль доступа: Только авторизованные системы могут получить доступ к ключам шифрования с полным журналированием аудита
  • Аппаратные модули безопасности (HSM): Ключи хранятся в HSM, сертифицированных по FIPS 140-2 Level 3

Аутентификация и контроль доступа

Многоуровневая безопасность для защиты доступа к учетным записям

Двухфакторная аутентификация (2FA)

  • Поддержка TOTP: Одноразовые пароли на основе времени через Google Authenticator, Authy или аналогичные приложения
  • Email 2FA: Альтернативная 2FA через коды подтверждения по электронной почте
  • Обязательная 2FA: Организации могут требовать 2FA для всех пользователей
  • Резервные коды: Коды восстановления предоставляются на случай потери устройства аутентификации

Безопасность паролей

  • Хеширование Bcrypt: Все пароли хешируются с использованием bcrypt с солью
  • Политики паролей: Минимум 8 символов, применяются требования к сложности
  • Обнаружение утечек: Пароли проверяются на соответствие известным базам данных утечек (Have I Been Pwned)
  • Ограничение скорости: Неудачные попытки входа ограничиваются для предотвращения атак грубой силы
  • Управление сеансами: Автоматический выход после бездействия, настраиваемые периоды тайм-аута

Управление доступом на основе ролей (RBAC)

  • Детальные разрешения: Точный контроль доступа для различных ролей пользователей (Администратор, Менеджер, Сотрудник)
  • Принцип наименьших привилегий: Пользователи имеют доступ только к данным, необходимым для их роли
  • Изоляция организаций: Многопользовательская архитектура обеспечивает полную изоляцию данных между организациями
  • Журналы аудита: Все изменения доступа и разрешений регистрируются и отслеживаются

Firebase Authentication

  • Отраслевой стандарт: Работает на платформе Firebase Authentication от Google
  • OAuth 2.0: Поддержка поставщиков социального входа (Google, Microsoft) с OAuth 2.0
  • Подтверждение email: Обязательное подтверждение электронной почты для всех новых учетных записей
  • Восстановление учетной записи: Безопасный сброс пароля по электронной почте с токенами с ограниченным сроком действия

Безопасность инфраструктуры

Корпоративная облачная инфраструктура с глобальной избыточностью

Облачная инфраструктура

  • Google Cloud Platform: Размещено на Google Cloud с сертификатами ISO 27001, SOC 2 и SOC 3
  • Многорегиональное развертывание: Данные реплицируются в нескольких географических регионах для избыточности
  • Автомасштабирование: Инфраструктура автоматически масштабируется для обработки всплесков трафика
  • Защита от DDoS: Google Cloud Armor обеспечивает автоматическое смягчение DDoS
  • Изоляция сети: Частные сети VPC с правилами межсетевого экрана и сегментацией сети

Доступность и надежность

  • SLA доступности 99.9%: Гарантированная доступность сервиса с финансовыми кредитами за простои
  • Автоматическое переключение: Резервные системы автоматически берут на себя управление в случае сбоя
  • Балансировка нагрузки: Трафик распределяется между несколькими серверами для оптимальной производительности
  • Мониторинг работоспособности: Круглосуточный автоматический мониторинг с мгновенным оповещением
  • Реагирование на инциденты: Выделенная команда реагирует на инциденты в течение 15 минут

Резервное копирование и аварийное восстановление

  • Непрерывное резервное копирование: Firebase обеспечивает автоматическое непрерывное резервное копирование данных
  • Восстановление на определенный момент: Восстановление данных на любой момент в течение последних 35 дней
  • Географическая избыточность: Резервные копии хранятся в нескольких географических местах
  • План аварийного восстановления: Комплексный план DR с целевым временем восстановления (RTO) 4 часа
  • Тестирование резервных копий: Регулярные тесты восстановления резервных копий для обеспечения целостности данных

Физическая безопасность

  • Центры обработки данных Google: Современные объекты с круглосуточным персоналом безопасности
  • Биометрический доступ: Доступ к центру обработки данных контролируется биометрической аутентификацией
  • Видеонаблюдение: Непрерывный мониторинг с видеозаписью
  • Экологический контроль: Пожаротушение, климат-контроль и избыточность электропитания

Безопасность приложений

Безопасные практики кодирования и управление уязвимостями

Безопасная разработка

  • Безопасный SDLC: Безопасность интегрирована в каждую фазу жизненного цикла разработки программного обеспечения
  • Обзор кода: Все изменения кода проверяются несколькими разработчиками перед развертыванием
  • Статический анализ: Автоматическое сканирование кода на уязвимости безопасности (SAST)
  • Сканирование зависимостей: Сторонние библиотеки сканируются на известные уязвимости
  • Обучение безопасности: Регулярное обучение безопасности для всех членов команды разработки

Управление уязвимостями

  • Тестирование на проникновение: Ежегодные сторонние тесты на проникновение сертифицированными фирмами по безопасности
  • Программа Bug Bounty: Программа ответственного раскрытия с вознаграждениями для исследователей безопасности
  • Сканирование уязвимостей: Еженедельные автоматические сканирования на уязвимости безопасности
  • Управление исправлениями: Критические исправления безопасности развертываются в течение 24 часов
  • Мониторинг CVE: Непрерывный мониторинг общих уязвимостей и воздействий

Защита от OWASP Top 10

  • SQL-инъекции: Параметризованные запросы и ORM предотвращают атаки SQL-инъекций
  • Предотвращение XSS: Санитизация ввода и заголовки Content Security Policy (CSP)
  • Защита от CSRF: Анти-CSRF токены на всех операциях, изменяющих состояние
  • Ошибки аутентификации: Отраслевая стандартная аутентификация через Firebase Auth
  • Неправильная конфигурация безопасности: Автоматизированные проверки конфигурации и усиление защиты
  • Раскрытие конфиденциальных данных: Шифрование и безопасное хранение всех конфиденциальных данных

Безопасность API

  • JWT токены: Аутентификация API с использованием JSON Web Tokens с истечением срока действия
  • Ограничение скорости: Ограничения скорости API предотвращают злоупотребления и DDoS-атаки
  • Проверка ввода: Все входные данные API проверяются и очищаются
  • OAuth 2.0: Безопасный доступ к сторонним API с протоколом OAuth 2.0

Соответствие стандартам и сертификация

Соответствие глобальным стандартам безопасности и конфиденциальности

SOC 2 Type II

Ежегодные аудиты наших средств контроля безопасности, доступности и конфиденциальности независимыми сторонними аудиторами.

Соответствие GDPR

Полное соответствие Общему регламенту ЕС по защите данных, включая права субъектов данных и уведомление о нарушениях.

Соответствие CCPA

Соответствие Закону Калифорнии о конфиденциальности потребителей для клиентов из США с комплексным контролем конфиденциальности.

ISO 27001 (GCP)

Наш поставщик инфраструктуры (Google Cloud) имеет сертификацию ISO 27001 для управления информационной безопасностью.

PCI DSS

Обработка платежей через процессоры платежей, соответствующие PCI DSS Level 1. Мы никогда не храним данные кредитных карт.

Готовность к HIPAA

Инфраструктура поддерживает требования соответствия HIPAA для организаций здравоохранения (BAA доступен по запросу).

Конфиденциальность и защита данных

Прозрачные практики обработки данных и контроль конфиденциальности пользователей

Минимизация данных

  • Мы собираем только данные, необходимые для функциональности сервиса
  • Нет отслеживающих файлов cookie в маркетинговых целях
  • Биометрические данные хранятся в хешированном, необратимом формате
  • Дополнительные функции позволяют отключить определенный сбор данных

Права пользователей

  • Право на доступ: Экспортируйте все свои данные в стандартных форматах (CSV, JSON, Excel)
  • Право на удаление: Запросите постоянное удаление ваших данных
  • Право на исправление: Исправьте неточные или неполные данные
  • Право на переносимость: Передайте данные другому поставщику услуг
  • Право на возражение: Откажитесь от маркетинговых коммуникаций и аналитики

Соглашения об обработке данных

  • Стандартные договорные оговорки: Утвержденные ЕС SCC для международных передач данных
  • Соответствие GDPR: Полное соответствие обязательствам обработчика по Статье 28 GDPR
  • Прозрачность субобработчиков: Публичный список всех субобработчиков с уведомлением об изменениях
  • Уведомление о нарушении данных: Уведомление в течение 72 часов о любом нарушении данных

Мониторинг безопасности и реагирование на инциденты

Круглосуточный мониторинг и быстрое реагирование на инциденты

Непрерывный мониторинг

  • Мониторинг 24/7: Круглосуточный мониторинг инфраструктуры и приложений
  • Интеграция SIEM: Управление информацией и событиями безопасности для обнаружения угроз
  • Обнаружение аномалий: Обнаружение необычной активности на основе машинного обучения
  • Оповещения в реальном времени: Мгновенные уведомления об инцидентах безопасности
  • Агрегация журналов: Централизованное журналирование с хранением для криминалистического анализа

Реагирование на инциденты

  • Выделенная команда: Команда реагирования на инциденты безопасности доступна 24/7
  • Время отклика: Первоначальный ответ в течение 15 минут после обнаружения критического инцидента
  • Коммуникация: Прозрачная коммуникация с затронутыми клиентами во время инцидентов
  • Обзор после инцидента: Подробный анализ и корректирующие действия после инцидентов
  • Уведомление регулирующих органов: Соответствие требованиям уведомления о нарушениях (GDPR, CCPA)

Журналирование аудита

  • Комплексные журналы: Все действия пользователей, системные события и события безопасности регистрируются
  • Неизменяемые журналы: Журналы не могут быть изменены или удалены, обеспечивая целостность следа аудита
  • Хранение журналов: Журналы безопасности хранятся 2 года для соответствия и криминалистики
  • Активность пользователей: Клиенты могут просматривать журналы аудита активности своей организации

Доступ сотрудников и обучение

Строгий контроль доступа сотрудников к данным клиентов

Контроль доступа

  • Наименьшие привилегии: Сотрудники имеют доступ только к данным, необходимым для их работы
  • Проверка биографических данных: Все сотрудники проходят проверку биографических данных перед наймом
  • NDA и конфиденциальность: Все сотрудники подписывают соглашения о неразглашении
  • Обзор доступа: Ежеквартальный обзор разрешений доступа сотрудников
  • Немедленный отзыв: Доступ отзывается немедленно после увольнения

Обучение безопасности

  • Обучение при приеме на работу: Обязательное обучение безопасности для всех новых сотрудников
  • Ежегодное обучение: Ежегодное обучение осведомленности о безопасности с обновленными угрозами
  • Симуляции фишинга: Регулярные тесты фишинга для поддержания бдительности
  • Учения по реагированию на инциденты: Ежеквартальные учения по реагированию на инциденты безопасности
  • Обучение соответствию: Обучение GDPR, SOC 2 и защите данных

Доступ к данным клиентов

  • Нет доступа по умолчанию: Сотрудники не имеют доступа к данным клиентов по умолчанию
  • Доступ поддержки: Служба поддержки может получить доступ к данным только с явного разрешения
  • След аудита: Весь доступ сотрудников к данным клиентов регистрируется и отслеживается
  • Анонимизация данных: Инженеры работают с анонимизированными данными для отладки

Рекомендации по безопасности для клиентов

Мы рекомендуем следующие практики для повышения безопасности вашей учетной записи:

  • Включите двухфакторную аутентификацию (2FA) для всех пользователей
  • Используйте надежные уникальные пароли (минимум 12 символов)
  • Регулярно проверяйте разрешения доступа пользователей и удаляйте ненужный доступ
  • Обучайте сотрудников осведомленности о фишинге и социальной инженерии
  • Внедрите собственный внутренний контроль доступа и политики
  • Регулярно экспортируйте и резервируйте свои данные
  • Отслеживайте журналы аудита на предмет подозрительной активности
  • Немедленно сообщайте о любых проблемах безопасности на [email protected]

Программа ответственного раскрытия

Мы ценим сообщество безопасности и приветствуем сообщения об уязвимостях безопасности. Если вы обнаружите проблему безопасности, пожалуйста, сообщите об этом ответственно:

Email безопасности: [email protected]

PGP ключ: Доступен по запросу для зашифрованных коммуникаций

Время отклика: Мы подтверждаем отчеты в течение 24 часов

Bug Bounty: Вознаграждения доступны за квалифицированные уязвимости

Рекомендации

  • Не получайте доступ и не изменяйте данные клиентов без разрешения
  • Не выполняйте атаки типа «отказ в обслуживании» или деструктивное тестирование
  • Дайте нам разумное время для устранения проблемы перед публичным раскрытием
  • Предоставьте подробные шаги воспроизведения и оценку воздействия
  • Мы не будем преследовать в судебном порядке исследователей, действующих добросовестно

Вопросы о безопасности?

Наша команда безопасности готова помочь ответить на ваши вопросы

Связаться с командой безопасности Просмотреть политику конфиденциальности