Серверлер Ресейде
Барлық деректер Selectel дата-орталығында РФ-да сақталады. Бұл ресейлік азаматтардың дербес деректері үшін 152-ФЗ талабы. Ешқандай дерек шетелге шықпайды.
Drivli автомектеп деректерін қалай қорғайды
Мектеп бізге оқушылардың паспорт деректерін, нұсқаушылардың медициналық анықтамаларын және қаржылық операцияларды сеніп тапсырады. Төменде — осы деректер ағып кетпеуі және жоғалмауы үшін біз не істейтініміз.
Техникалық шаралар
Арна шифрлауы
Бүкіл трафик HTTPS арқылы TLS 1.3-пен жүреді. HSTS тақырыбы браузерге HTTP бойынша байқаусыз қосылуға жол бермейді. Сертификаттар Let’s Encrypt-тен 60 күнде бір автоматты жаңартумен.
Мектептерді БД деңгейінде оқшаулау
Әр мектеп өз Postgres-схемасында тұрады (schema-per-tenant). Бұл бір мектеп директоры техникалық тұрғыдан басқасының деректерін көре алмайды дегенді білдіреді — сұраулар `set_search_path` арқылы өз схемасымен автоматты түрде шектеледі.
Құпиясөздер ешқашан ашық түрде сақталмайды
Тіркелу кезінде құпиясөз bcrypt арқылы тұзбен хешталады. Drivli иесінің өзі де сіздің құпиясөзіңізді біле алмайды — тек қалпына келтіре алады.
Екі факторлы аутентификация
«Қауіпсіздік» бөлімінде директор Google Authenticator / Яндекс.Ключ сияқты қосымша арқылы 2FA қосады. Екінші факторсыз кіру мүмкін емес, тіпті құпиясөз ұрланса да.
Күнделікті бэкаптар
Толық Postgres дампы әр түнде жасалады және 30 күн сақталады. Кез келген тенантты қалпына келтіру — бірнеше минут. Бэкаптардың жұмыс істейтініне көз жеткізу үшін қалпына келтіруді айына бір рет тексереміз.
Drivli қызметкерлерінің қолжетімі
Drivli қызметкерлері сіздің жазбаша рұқсатыңызсыз мектеп деректеріне кірмейді. Ерекшелік — тикет бойынша техникалық көмек: temporary impersonation-ды өзіңіз белсендіресіз, ол автоматты түрде өшеді.
Әрекеттер журналы (Audit Log)
Барлық маңызды әрекеттер (кіру, тарифті өзгерту, оқушыны жою, есепті жүктеу) журналға жазылады. Мектеп директоры өз журналын «Аудит» бөлімінде көреді және кім, қашан нені өзгерткенін тексере алады.
Жария эндпоинттерді қорғау
Өтінімдер виджеті мен тіркелу беттері rate-limit-пен қорғалған — спам-боттар сізді жалған өтінімдермен басып тастай алмайды. Күдікті трафик IP бойынша автоматты түрде бұғатталады.
CSP және қауіпсіздік тақырыптары
Сайт пен қосымша қатаң Content-Security-Policy береді. Скрипттерді тек trusted origins-тен жүктеуге болады. X-Frame-Options бөтен iframe-ге ендіруді бұғаттайды (clickjacking-тен қорғау).
Заңдарға сәйкестік
| Заң | Не қамтамасыз етіледі |
|---|---|
| 152-ФЗ «О персональных данных» | Ресейлік азаматтардың деректерін РФ-дағы серверлерде сақтау, ПДн өңдеу тізілімін жүргізу, сұрау бойынша деректерді жою мүмкіндігі. |
| Постановление Правительства № 1119 | ПДн қорғаудың үшінші деңгейі: қолжетім құқықтарын бөлу, журналдар, баптауды тұрақты тексеру. |
| Постановление Правительства № 1408 (подготовка водителей) | Санаттар бойынша бағдарламалық сағаттар, көлік жүргізу журналы, нұсқаушылар мен көліктердің құжаттары — барлығы талаптарға сай сақталады. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Drivli жазылымы тек мектептің есеп шотынан қолма-қол ақшасыз төленеді — бұл режимге ККТ қолданылмайды (ст. 2 ч.9 54-ФЗ + АУСН). Егер сіздің мектебіңіз оқушылар үшін бөлек эквайринг қосса, 54-ФЗ чектерін сіздің провайдеріңіз береді. |
Осалдық таптыңыз ба? Бізге айтыңыз
Егер сіз қауіпсіздік мәселесін тапсаңыз — жария ашудан бұрын support@drivli.ru мекенжайына жазыңыз. 24 сағат ішінде жауап береміз және ақ хакерлерге алғыс айтамыз — бізде bug bounty бағдарламасы бар (расталған осалдық үшін 5 000 ₽-ден сыйақы).
Деректерді бізге сеніп тапсыруға дайынсыз ба?
14 күн тегін, банк картасынсыз. Серверлер РФ-да, 152-ФЗ.