Политика безопасности
Последнее обновление: 26 октября 2024 г.
Настоящая Политика безопасности описывает меры, которые Venanzio Monteloro принимает для защиты данных пользователей, обеспечения целостности платформы и поддержания конфиденциальности информации. Используя наш сервис, вы соглашаетесь с положениями данной политики.
1. Общие положения
Venanzio Monteloro придерживается принципов информационной безопасности, включающих конфиденциальность, целостность и доступность данных. Мы применяем технические и организационные меры для защиты платформы и всех обрабатываемых данных от несанкционированного доступа, утечки, изменения или уничтожения.
Политика распространяется на всю инфраструктуру платформы, включая веб-приложения, серверные компоненты, базы данных, каналы передачи данных и пользовательские аккаунты.
2. Защита учётных записей
2.1. Аутентификация
Доступ к платформе осуществляется через защищённую процедуру аутентификации. Пользователям рекомендуется использовать надёжные уникальные пароли длиной не менее 12 символов, включающие буквы разного регистра, цифры и специальные символы.
Там, где это доступно, настоятельно рекомендуется включать двухфакторную аутентификацию (2FA) для дополнительной защиты учётной записи.
2.2. Управление паролями
- Пароли хранятся в зашифрованном виде с применением современных алгоритмов хэширования
- Платформа не хранит и не передаёт пароли в открытом виде
- При подозрении на компрометацию учётной записи пользователь обязан незамедлительно сменить пароль
- Платформа не запрашивает пароль пользователя по электронной почте или в переписке
2.3. Управление сессиями
Сессии пользователей автоматически завершаются по истечении периода неактивности. Токены сессий генерируются случайным образом и недействительны после выхода из системы. Одновременный вход с нескольких устройств регистрируется в журнале активности.
3. Шифрование данных
3.1. Передача данных
Все данные, передаваемые между пользователем и платформой, защищены протоколом TLS версии 1.2 или выше. Соединения по незащищённому протоколу HTTP автоматически перенаправляются на HTTPS. Используются актуальные наборы шифров, обеспечивающие прямую секретность (Perfect Forward Secrecy).
3.2. Хранение данных
Данные пользователей хранятся в зашифрованном виде. Резервные копии также подлежат шифрованию. Ключи шифрования хранятся отдельно от зашифрованных данных и регулярно ротируются в соответствии с внутренними процедурами.
4. Контроль доступа
Доступ к пользовательским данным и системным компонентам предоставляется сотрудникам исключительно по принципу минимально необходимых привилегий. Административный доступ к производственным системам ограничен и требует дополнительной аутентификации.
Все действия с привилегированным доступом регистрируются и периодически проверяются. Права доступа пересматриваются при изменении роли сотрудника или прекращении трудовых отношений.
5. Безопасность инфраструктуры
5.1. Сетевая безопасность
- Инфраструктура платформы защищена межсетевыми экранами и системами обнаружения вторжений
- Сетевой трафик постоянно мониторируется на предмет аномалий
- Производственные, тестовые и разрабатываемые среды логически разделены
- Применяются меры защиты от DDoS-атак
5.2. Серверная безопасность
Серверное программное обеспечение регулярно обновляется для устранения известных уязвимостей. Конфигурации серверов проверяются на соответствие принятым стандартам безопасности. Неиспользуемые сервисы и порты отключены.
5.3. Резервное копирование
Резервные копии данных создаются на регулярной основе. Процедуры восстановления из резервных копий периодически тестируются. Резервные копии хранятся в географически распределённых хранилищах.
6. Безопасность приложений
Разработка компонентов платформы ведётся с соблюдением принципов безопасного программирования. Перед выпуском обновлений проводится проверка кода на наличие уязвимостей. Применяются меры защиты от распространённых веб-угроз, включая:
- Межсайтовое выполнение сценариев (XSS)
- Внедрение SQL-кода (SQL Injection)
- Межсайтовая подделка запросов (CSRF)
- Небезопасная десериализация данных
- Атаки на механизм аутентификации
7. Мониторинг и журналирование
Платформа ведёт журналы событий безопасности, включая попытки входа, изменения в учётных записях и административные действия. Журналы защищены от несанкционированного изменения и хранятся в течение установленного периода. Системы мониторинга работают в круглосуточном режиме и настроены на оповещение при обнаружении подозрительной активности.
8. Реагирование на инциденты
В случае обнаружения инцидента безопасности Venanzio Monteloro следует установленной процедуре реагирования:
- Обнаружение и идентификация — выявление и подтверждение факта инцидента
- Локализация — ограничение распространения угрозы
- Устранение — ликвидация причины инцидента
- Восстановление — возобновление нормальной работы сервисов
- Анализ — изучение причин и принятие мер по предотвращению повторения
При инцидентах, затрагивающих данные пользователей, пострадавшие стороны уведомляются в разумные сроки в соответствии с применимыми требованиями.
9. Уязвимости и ответственное раскрытие
Venanzio Monteloro приветствует ответственное раскрытие уязвимостей. Если вы обнаружили потенциальную уязвимость в системе безопасности платформы, просим незамедлительно сообщить об этом по адресу help@venanziomonteloro.com.
При подаче сообщения об уязвимости просим:
- Не использовать уязвимость в целях, выходящих за рамки подтверждения её существования
- Не получать несанкционированный доступ к данным других пользователей
- Предоставить достаточно информации для воспроизведения и исправления уязвимости
- Сохранять конфиденциальность до устранения проблемы
Мы обязуемся рассмотреть каждое обращение и уведомить вас о результатах проверки.
10. Сторонние сервисы
Платформа может использовать сторонние сервисы и инструменты. Все привлекаемые поставщики проходят проверку на соответствие требованиям безопасности. Передача данных третьим сторонам осуществляется только в объёме, необходимом для предоставления услуг, и регулируется соответствующими соглашениями о конфиденциальности и безопасности.
11. Обязанности пользователей
Безопасность платформы обеспечивается совместными усилиями. Пользователи несут ответственность за:
- Сохранение конфиденциальности учётных данных
- Использование актуального программного обеспечения и браузеров
- Незамедлительное уведомление о подозрительной активности в учётной записи
- Соблюдение правил допустимого использования платформы
- Несанкционированную передачу доступа к учётной записи третьим лицам
12. Физическая безопасность
Серверная инфраструктура размещается в дата-центрах с контролируемым физическим доступом, системами видеонаблюдения и защитой от несанкционированного проникновения. Физический доступ к оборудованию ограничен авторизованным персоналом.
13. Обучение и осведомлённость
Сотрудники Venanzio Monteloro, имеющие доступ к данным пользователей или системным компонентам, проходят регулярное обучение в области информационной безопасности. Осведомлённость о текущих угрозах и методах защиты поддерживается на постоянной основе.
14. Изменения в политике безопасности
Настоящая политика может обновляться в связи с изменениями в технологиях, угрозах или операционных процессах. Актуальная версия всегда доступна на данной странице. Дата последнего обновления указана в начале документа. При существенных изменениях пользователи могут быть уведомлены дополнительно.
15. Контактная информация
По вопросам, связанным с безопасностью платформы, а также для сообщения об уязвимостях или инцидентах обращайтесь:
| Канал связи | Контакт |
|---|---|
| Электронная почта | help@venanziomonteloro.com |
| Телефон | +7 702 000 09 18 |
| Адрес | проспект Тәуелсіздік 24б, Astana 140000, Kazakhstan |