Перейти к содержимому

Безопасность данных

Дата вступления в силу: TODO

1. Защита соединения

Весь трафик между пользователем и Сервисом передаётся по протоколу HTTPS с использованием TLS. Поддерживаются актуальные версии протокола; устаревшие алгоритмы отключены.

Целевая конфигурация: TLS 1.3, HSTS с preload — TODO статус деплоя.

2. Хранение данных в Российской Федерации

В соответствии с требованиями 152-ФЗ и решением ADR-0002 все персональные данные российских пользователей собираются, хранятся и обрабатываются на территории Российской Федерации.

  • Хостинг приложения: Sprintbox (РФ).
  • База данных: self-hosted PostgreSQL на VDS в РФ.
  • Объектное хранилище: Yandex Object Storage, регион РФ.
  • Трекинг ошибок: GlitchTip (self-hosted, РФ).

3. Контроль доступа

Доступ сотрудников к данным разграничен по ролям. Административные действия требуют дополнительной аутентификации и фиксируются в журнале аудита.

Журнал аудита: фиксируются вход в админ-панель, изменения согласий, платёжные события, обезличивание данных и иные чувствительные действия. Срок хранения: TODO.

4. Шифрование данных at rest

Чувствительные поля в базе данных шифруются. Резервные копии шифруются при записи на носитель.

Алгоритм и KMS: TODO.

5. Резервное копирование

Регулярное резервное копирование баз данных и объектного хранилища выполняется автоматически. Резервные копии хранятся в зашифрованном виде в РФ.

  • Частота: TODO
  • Срок хранения копий: TODO
  • Регламент тестирования восстановления: TODO

6. Реакция на инциденты

В случае выявления инцидента безопасности, повлёкшего неправомерную передачу или компрометацию персональных данных, Оператор уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) в порядке и сроки, установленные 152-ФЗ — в течение 24 часов с момента выявления инцидента и в течение 72 часов с момента оценки причинённого вреда.

Ответственный за реакцию на инциденты: TODO.

7. Compliance

  • Федеральный закон 152-ФЗ «О персональных данных» — соблюдается.
  • Уведомление в Роскомнадзор о намерении обрабатывать персональные данные — TODO статус регистрации.
  • Иные применимые требования законодательства РФ.

8. Контакты для security-обращений

Сообщить об уязвимости или подозрении на инцидент: security@sidebysurvey.ru

Мы признательны исследователям, действующим добросовестно. Просим не публиковать детали уязвимостей до согласования с Оператором.