Серверлер Ресейде
Барлық деректер Selectel дата-орталығында РФ-да сақталады. Бұл ресейлік азаматтардың дербес деректері үшін 152-ФЗ талабы. Ешқандай дерек шетелге шықпайды.
Мектеп бізге оқушылардың паспорт деректерін, нұсқаушылардың медициналық анықтамаларын және қаржылық операцияларды сеніп тапсырады. Төменде — осы деректер ағып кетпеуі және жоғалмауы үшін біз не істейтініміз.
Барлық деректер Selectel дата-орталығында РФ-да сақталады. Бұл ресейлік азаматтардың дербес деректері үшін 152-ФЗ талабы. Ешқандай дерек шетелге шықпайды.
Бүкіл трафик HTTPS арқылы TLS 1.3-пен жүреді. HSTS тақырыбы браузерге HTTP бойынша байқаусыз қосылуға жол бермейді. Сертификаттар Let’s Encrypt-тен 60 күнде бір автоматты жаңартумен.
Әр мектеп өз Postgres-схемасында тұрады (schema-per-tenant). Бұл бір мектеп директоры техникалық тұрғыдан басқасының деректерін көре алмайды дегенді білдіреді — сұраулар `set_search_path` арқылы өз схемасымен автоматты түрде шектеледі.
Тіркелу кезінде құпиясөз bcrypt арқылы тұзбен хешталады. Drivli иесінің өзі де сіздің құпиясөзіңізді біле алмайды — тек қалпына келтіре алады.
«Қауіпсіздік» бөлімінде директор Google Authenticator / Яндекс.Ключ сияқты қосымша арқылы 2FA қосады. Екінші факторсыз кіру мүмкін емес, тіпті құпиясөз ұрланса да.
Толық Postgres дампы әр түнде жасалады және 30 күн сақталады. Кез келген тенантты қалпына келтіру — бірнеше минут. Бэкаптардың жұмыс істейтініне көз жеткізу үшін қалпына келтіруді айына бір рет тексереміз.
Drivli қызметкерлері сіздің жазбаша рұқсатыңызсыз мектеп деректеріне кірмейді. Ерекшелік — тикет бойынша техникалық көмек: temporary impersonation-ды өзіңіз белсендіресіз, ол автоматты түрде өшеді.
Барлық маңызды әрекеттер (кіру, тарифті өзгерту, оқушыны жою, есепті жүктеу) журналға жазылады. Мектеп директоры өз журналын «Аудит» бөлімінде көреді және кім, қашан нені өзгерткенін тексере алады.
Өтінімдер виджеті мен тіркелу беттері rate-limit-пен қорғалған — спам-боттар сізді жалған өтінімдермен басып тастай алмайды. Күдікті трафик IP бойынша автоматты түрде бұғатталады.
Сайт пен қосымша қатаң Content-Security-Policy береді. Скрипттерді тек trusted origins-тен жүктеуге болады. X-Frame-Options бөтен iframe-ге ендіруді бұғаттайды (clickjacking-тен қорғау).
| Заң | Не қамтамасыз етіледі |
|---|---|
| 152-ФЗ «О персональных данных» | Ресейлік азаматтардың деректерін РФ-дағы серверлерде сақтау, ПДн өңдеу тізілімін жүргізу, сұрау бойынша деректерді жою мүмкіндігі. |
| Постановление Правительства № 1119 | ПДн қорғаудың үшінші деңгейі: қолжетім құқықтарын бөлу, журналдар, баптауды тұрақты тексеру. |
| Постановление Правительства № 1408 (подготовка водителей) | Санаттар бойынша бағдарламалық сағаттар, көлік жүргізу журналы, нұсқаушылар мен көліктердің құжаттары — барлығы талаптарға сай сақталады. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Drivli жазылымы тек мектептің есеп шотынан қолма-қол ақшасыз төленеді — бұл режимге ККТ қолданылмайды (ст. 2 ч.9 54-ФЗ + АУСН). Егер сіздің мектебіңіз оқушылар үшін бөлек эквайринг қосса, 54-ФЗ чектерін сіздің провайдеріңіз береді. |
Егер сіз қауіпсіздік мәселесін тапсаңыз — жария ашудан бұрын support@drivli.ru мекенжайына жазыңыз. 24 сағат ішінде жауап береміз және ақ хакерлерге алғыс айтамыз — бізде bug bounty бағдарламасы бар (расталған осалдық үшін 5 000 ₽-ден сыйақы).
14 күн тегін, банк картасынсыз. Серверлер РФ-да, 152-ФЗ.
Біз сервисті қалай жақсартуға болатынын түсіну үшін веб-аналитика мақсатында cookie мен Яндекс.Метриканы қолданамыз. Аналитика тек сіздің келісіміңізден кейін қосылады. Толығырақ — Құпиялылық саясатында.