Рәсәйҙә серверҙар
Бөтә мәғлүмәт РФ-тағы Selectel дата-үҙәгендә һаҡлана. Был — рәсәй граждандарының шәхси мәғлүмәттәре өсөн 152-ФЗ талабы. Бер ниндәй мәғлүмәт тә сик аръяғына китмәй.
Drivli автомәктәп мәғлүмәтен нисек һаҡлай
Мәктәп беҙгә уҡыусыларҙың паспорт мәғлүмәтен, инструкторҙарҙың медицина белешмәләрен һәм финанс операцияларын ышанып тапшыра. Түбәндә — был мәғлүмәттәрҙең һыҙылмаҫ һәм юғалмаҫ өсөн беҙ нимә эшләйбеҙ.
Техник саралар
Канал шифрлауы
Бөтә трафик TLS 1.3 менән HTTPS буйынса бара. HSTS заголовогы браузерға осраҡлы рәүештә HTTP буйынса тоташырға бирмәй. Сертификаттар Let’s Encrypt-тан, 60 көн һайын авто-яңыртыу менән.
Мәктәптәрҙе БД кимәлендә изоляциялау
Һәр мәктәп үҙ Postgres-схемаһында йәшәй (schema-per-tenant). Был бер мәктәп директоры техник яҡтан икенсеһенең мәғлүмәтен күрә алмай тигәнде аңлата — һорауҙар автоматик рәүештә `set_search_path` аша үҙ схемаһы менән сикләнә.
Пароллер бер ҡасан да асыҡ килеш һаҡланмай
Теркәлгәндә пароль bcrypt менән тоҙ ҡушып хешлана. Хатта Drivli эйәһе лә һеҙҙең паролде белә алмай — тик ташлай ала.
Ике факторлы аутентификация
«Хәүефһеҙлек» бүлегендә директор Google Authenticator / Яндекс.Ключ кеүек ҡушымта аша 2FA-ны ҡабыҙа. Икенсе факторһыҙ инеп булмай, хатта пароль урланһа ла.
Көн һайын бэкаптар
Postgres-тың тулы дампы һәр төндә яһала һәм 30 көн һаҡлана. Теләһә ниндәй тенантты тергеҙеү — бер нисә минут. Бэкаптарҙың эшләгәненә ышаныр өсөн тергеҙеүҙе айына бер тапҡыр һынайбыҙ.
Drivli хеҙмәткәрҙәренең инеүе
Drivli хеҙмәткәрҙәре мәктәп мәғлүмәтенә һеҙҙең яҙма рөхсәтегеҙһеҙ инмәй. Иҫке — тикет буйынса техник ярҙам: һеҙ үҙегеҙ temporary impersonation-ды активлаштыраһығыҙ, ул автоматик һүнә.
Эштәр журналы (Audit Log)
Бөтә мөһим эштәр (инеү, тарифты үҙгәртеү, уҡыусыны юйыу, отчёт выгрузкаһы) журналға яҙыла. Мәктәп директоры үҙ журналын «Аудит» бүлегендә күрә һәм кем, ҡасан нимә үҙгәрткәнен тикшерә ала.
Асыҡ эндпоинттарҙы яҡлау
Заявка виджеты һәм теркәлеү биттәре rate-limit менән яҡланған — спам-боттар һеҙҙе ялған заявкалар менән күмә алмай. Шикле трафик IP буйынса автоматик банлана.
CSP һәм хәүефһеҙлек заголовоктары
Сайт һәм ҡушымта ҡаты Content-Security-Policy бирә. Скрипттарҙы тик trusted origins-тан ғына йөкләп була. X-Frame-Options сит iframe-ға индереүҙе блоклай (clickjacking-тан яҡлау).
Закондарға тап килеү
| Закон | Нимә тәьмин ителә |
|---|---|
| 152-ФЗ «О персональных данных» | Рәсәй граждандарының мәғлүмәтен РФ-тағы серверҙарҙа һаҡлау, ПДн эшкәртеү реестрын алып барыу, һорау буйынса мәғлүмәтте юйыу мөмкинлеге. |
| Постановление Правительства № 1119 | ПДн яҡлауҙың өсөнсө кимәле: инеү хоҡуҡтарын бүлеү, журналдар, көйләнеште даими тикшереү. |
| Постановление Правительства № 1408 (подготовка водителей) | Категориялар буйынса программа сәғәттәре, йөрөтөү дәфтәре, инструкторҙар һәм машиналар документтары — бөтәһе талаптарға ярашлы һаҡлана. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Drivli подпискаһы тик мәктәптең иҫәп-хисап счёты аша нал-һыҙ түләнә — был режимға ККТ ҡағылмай (ст. 2 ч.9 54-ФЗ + АУСН). Әгәр һеҙҙең мәктәп уҡыусылар өсөн айырым эквайринг тоташтырһа, 54-ФЗ чектарын һеҙҙең провайдер бирә. |
Зәғифлек таптығыҙмы? Беҙгә әйтегеҙ
Әгәр һеҙ хәүефһеҙлек проблемаһын тапһағыҙ — асыҡ фаш итеүгә тиклем support@drivli.ru-ға яҙығыҙ. 24 сәғәт эсендә яуап бирәбеҙ һәм аҡ хакерҙарға рәхмәт әйтәбеҙ — беҙҙә bug bounty программаһы бар (раҫланған зәғифлек өсөн 5 000 ₽-нән башлап бүләк).
Мәғлүмәтте беҙгә ышанып тапшырырға әҙерме?
14 көн бушлай, банк картаһыҙ. РФ-та серверҙар, 152-ФЗ.