Серверы ў Расіі
Усе дадзеныя захоўваюцца ў дата-цэнтры Selectel у РФ. Гэта патрабаванне 152-ФЗ для персанальных дадзеных расійскіх грамадзян. Ніякія дадзеныя не сыходзяць за мяжу.
Як Drivli абараняе дадзеныя аўташколы
Школа давярае нам пашпартныя дадзеныя вучняў, медыцынскія даведкі інструктараў і фінансавыя аперацыі. Ніжэй — што мы робім, каб гэтыя дадзеныя не выцеклі і не прапалі.
Тэхнічныя меры
Шыфраванне канала
Увесь трафік ідзе па HTTPS з TLS 1.3. Загаловак HSTS не дае браўзеру выпадкова падключыцца па HTTP. Сертыфікаты ад Let’s Encrypt з аўтаабнаўленнем раз у 60 дзён.
Ізаляцыя школ на ўзроўні БД
Кожная школа жыве ў сваёй Postgres-схеме (schema-per-tenant). Гэта значыць, што дырэктар адной школы тэхнічна не можа ўбачыць дадзеныя іншай — запыты аўтаматычна абмежаваны сваёй схемай праз `set_search_path`.
Паролі ніколі не захоўваюцца ў адкрытым выглядзе
Пры рэгістрацыі пароль хэшыруецца праз bcrypt з соллю. Нават уладальнік Drivli не можа даведацца ваш пароль — толькі скінуць.
Двухфактарная аўтэнтыфікацыя
У раздзеле «Бяспека» дырэктар уключае 2FA праз дадатак тыпу Google Authenticator / Яндекс.Ключ. Без другога фактара ўваход немагчымы, нават калі пароль скралі.
Штодзённыя бэкапы
Поўны дамп Postgres робіцца кожную ноч і захоўваецца 30 дзён. Аднаўленне любога тэнанта — некалькі хвілін. Тэстуем аднаўленне раз у месяц, каб упэўніцца, што бэкапы працоўныя.
Доступ персаналу Drivli
Супрацоўнікі Drivli не заходзяць у дадзеныя школ без вашага пісьмовага дазволу. Выключэнне — тэхнічная дапамога па тыкеце: вы самі актывуеце temporary impersonation, і ён адключаецца аўтаматычна.
Журнал дзеянняў (Audit Log)
Усе важныя дзеянні (уваход, змяненне тарыфу, выдаленне вучня, выгрузка справаздачы) пішуцца ў журнал. Дырэктар школы бачыць свой журнал у раздзеле «Аўдыт» і можа праверыць, хто і калі што мяняў.
Абарона публічных эндпоінтаў
Віджэт заявак і старонкі рэгістрацыі абаронены rate-limit'ам — спам-боты не могуць засыпаць вас фэйкавымі заяўкамі. Падазроны трафік баніцца аўтаматычна па IP.
CSP і загалоўкі бяспекі
Сайт і дадатак аддаюць строгі Content-Security-Policy. Скрыпты можна загружаць толькі з trusted origins. X-Frame-Options блакіруе ўбудаванне ў чужыя iframe (абарона ад clickjacking).
Адпаведнасць законам
| Закон | Што забяспечваецца |
|---|---|
| 152-ФЗ «О персональных данных» | Захоўванне дадзеных расійскіх грамадзян на серверах у РФ, вядзенне рэестра апрацоўкі ПДн, магчымасць выдаліць дадзеныя па запыце. |
| Постановление Правительства № 1119 | Трэці ўзровень абароны ПДн: падзел правоў доступу, журналы, рэгулярныя праверкі наладкі. |
| Постановление Правительства № 1408 (падрыхтоўка кіроўцаў) | Праграмныя гадзіны па катэгорыях, журнал уліку ваджэння, дакументы інструктараў і аўтамабіляў — усё захоўваецца ў адпаведнасці з патрабаваннямі. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Падпіска Drivli аплачваецца толькі безнаяўна з разліковага рахунку школы — на гэты рэжым ККТ не распаўсюджваецца (ст. 2 ч.9 54-ФЗ + АУСН). Калі ваша школа асобна падключае эквайрынг для вучняў, чэкі 54-ФЗ выдае ваш правайдар. |
Знайшлі ўразлівасць? Скажыце нам
Калі вы выявілі праблему бяспекі — напішыце на support@drivli.ru да публічнага раскрыцця. Адказваем на працягу 24 гадзін і дзякуем белым хакерам — у нас ёсць праграма bug bounty (узнагароджанне ад 5 000 ₽ за пацверджаную ўразлівасць).
Гатовы даверыць нам дадзеныя?
14 дзён бясплатна, без банкаўскай карты. Серверы ў РФ, 152-ФЗ.