Россиядагы серверлер
Бардык маалыматтар РФтеги Selectel дата-борборунда сакталат. Бул орус жарандарынын жеке маалыматтары үчүн 152-ФЗнын талабы. Эч кандай маалымат чет өлкөгө чыкпайт.
Drivli автомектептин маалыматтарын кантип коргойт
Мектеп бизге окуучулардын паспорт маалыматтарын, инструкторлордун медициналык справкаларын жана финансылык операцияларын ишенип берет. Төмөндө — бул маалыматтар агып кетпеши жана жоголбошу үчүн эмне кылып жатканыбыз.
Техникалык чаралар
Каналды шифрлөө
Бардык трафик TLS 1.3 менен HTTPS аркылуу жүрөт. HSTS аталышы браузерге HTTP аркылуу кокусунан туташууга жол бербейт. Сертификаттар Let’s Encrypt'тен, 60 күндө бир автожаңыртуу менен.
Мектептерди БД деңгээлинде изоляциялоо
Ар бир мектеп өз Postgres-схемасында жашайт (schema-per-tenant). Бул бир мектептин директору техникалык жактан экинчисинин маалыматын көрө албайт дегенди билдирет — сурамдар `set_search_path` аркылуу автоматтык түрдө өз схемасы менен чектелет.
Сырсөздөр эч качан ачык түрдө сакталбайт
Каттоодо сырсөз туз менен bcrypt аркылуу хештелет. Drivli'нин ээси да сиздин сырсөзүңүздү биле албайт — аны баштапкы абалга гана келтире алат.
Эки факторлуу аутентификация
«Коопсуздук» бөлүмүндө директор Google Authenticator / Яндекс.Ключ сыяктуу тиркеме аркылуу 2FA'ны иштетет. Экинчи факторсуз, сырсөз уурдалса дагы, кирүү мүмкүн эмес.
Күнүмдүк бэкаптар
Толук Postgres дампы ар бир түнү жасалат жана 30 күн сакталат. Каалаган тенантты калыбына келтирүү — бир нече мүнөт. Бэкаптардын иштешине ынануу үчүн калыбына келтирүүнү айына бир жолу текшеребиз.
Drivli персоналынын мүмкүндүгү
Drivli кызматкерлери сиздин жазуу жүзүндөгү уруксатыңызсыз мектептердин маалыматтарына кирбейт. Өзгөчө — тикет боюнча техникалык жардам: temporary impersonation'ду өзүңүз активдештиресиз, ал автоматтык түрдө өчүрүлөт.
Аракеттер журналы (Audit Log)
Бардык маанилүү аракеттер (кирүү, тарифти өзгөртүү, окуучуну өчүрүү, отчётту жүктөө) журналга жазылат. Мектеп директору өз журналын «Аудит» бөлүмүндө көрөт жана ким, качан, эмнени өзгөрткөнүн текшере алат.
Жалпыга ачык эндпоинттерди коргоо
Арыз виджети жана каттоо барактары rate-limit менен корголгон — спам-боттор сизди жасалма арыздар менен басып кала албайт. Шектүү трафик автоматтык түрдө IP боюнча банга түшөт.
CSP жана коопсуздук аталыштары
Сайт жана тиркеме катаал Content-Security-Policy берет. Скрипттерди trusted origins'тен гана жүктөөгө болот. X-Frame-Options башка iframe'ге кыстарууну бөгөттөйт (clickjacking'тен коргоо).
Мыйзамдарга шайкештик
| Мыйзам | Эмне камсыздалат |
|---|---|
| 152-ФЗ «О персональных данных» | Орус жарандарынын маалыматтарын РФтеги серверлерде сактоо, ПДн иштетүү реестрин жүргүзүү, суроо-талап боюнча маалыматтарды өчүрүү мүмкүнчүлүгү. |
| Постановление Правительства № 1119 | ПДндын үчүнчү деңгээлдеги коргоосу: кирүү укуктарын бөлүштүрүү, журналдар, тууралоону дайыма текшерүү. |
| Постановление Правительства № 1408 (айдоочуларды даярдоо) | Категориялар боюнча программалык сааттар, айдоо журналы, инструкторлордун жана автомобилдердин документтери — баары талаптарга ылайык сакталат. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Drivli жазылуусу мектептин эсептешүү эсебинен накталай эмес гана төлөнөт — бул режимге ККТ жайылтылбайт (ст. 2 ч.9 54-ФЗ + АУСН). Эгер сиздин мектебиңиз окуучулар үчүн өзүнчө эквайринг кошсо, 54-ФЗ чектерин сиздин провайдериңиз берет. |
Алсыздыкты таптыңызбы? Бизге айтыңыз
Эгер сиз коопсуздук маселесин тапсаңыз — жалпыга ачыкка чыгарганга чейин support@drivli.ru дарегине жазыңыз. 24 сааттын ичинде жооп беребиз жана ак хакерлерге ыраазычылык билдиребиз — бизде bug bounty программасы бар (тастыкталган алсыздык үчүн 5 000 ₽дан баштап сыйлык).
Маалыматтарыңызды бизге ишенип берүүгө даярсызбы?
14 күн бекер, банк картасыз. РФтеги серверлер, 152-ФЗ.