Россиядагы серверлер
Бардык маалыматтар РФтеги Selectel дата-борборунда сакталат. Бул орус жарандарынын жеке маалыматтары үчүн 152-ФЗнын талабы. Эч кандай маалымат чет өлкөгө чыкпайт.
Мектеп бизге окуучулардын паспорт маалыматтарын, инструкторлордун медициналык справкаларын жана финансылык операцияларын ишенип берет. Төмөндө — бул маалыматтар агып кетпеши жана жоголбошу үчүн эмне кылып жатканыбыз.
Бардык маалыматтар РФтеги Selectel дата-борборунда сакталат. Бул орус жарандарынын жеке маалыматтары үчүн 152-ФЗнын талабы. Эч кандай маалымат чет өлкөгө чыкпайт.
Бардык трафик TLS 1.3 менен HTTPS аркылуу жүрөт. HSTS аталышы браузерге HTTP аркылуу кокусунан туташууга жол бербейт. Сертификаттар Let’s Encrypt'тен, 60 күндө бир автожаңыртуу менен.
Ар бир мектеп өз Postgres-схемасында жашайт (schema-per-tenant). Бул бир мектептин директору техникалык жактан экинчисинин маалыматын көрө албайт дегенди билдирет — сурамдар `set_search_path` аркылуу автоматтык түрдө өз схемасы менен чектелет.
Каттоодо сырсөз туз менен bcrypt аркылуу хештелет. Drivli'нин ээси да сиздин сырсөзүңүздү биле албайт — аны баштапкы абалга гана келтире алат.
«Коопсуздук» бөлүмүндө директор Google Authenticator / Яндекс.Ключ сыяктуу тиркеме аркылуу 2FA'ны иштетет. Экинчи факторсуз, сырсөз уурдалса дагы, кирүү мүмкүн эмес.
Толук Postgres дампы ар бир түнү жасалат жана 30 күн сакталат. Каалаган тенантты калыбына келтирүү — бир нече мүнөт. Бэкаптардын иштешине ынануу үчүн калыбына келтирүүнү айына бир жолу текшеребиз.
Drivli кызматкерлери сиздин жазуу жүзүндөгү уруксатыңызсыз мектептердин маалыматтарына кирбейт. Өзгөчө — тикет боюнча техникалык жардам: temporary impersonation'ду өзүңүз активдештиресиз, ал автоматтык түрдө өчүрүлөт.
Бардык маанилүү аракеттер (кирүү, тарифти өзгөртүү, окуучуну өчүрүү, отчётту жүктөө) журналга жазылат. Мектеп директору өз журналын «Аудит» бөлүмүндө көрөт жана ким, качан, эмнени өзгөрткөнүн текшере алат.
Арыз виджети жана каттоо барактары rate-limit менен корголгон — спам-боттор сизди жасалма арыздар менен басып кала албайт. Шектүү трафик автоматтык түрдө IP боюнча банга түшөт.
Сайт жана тиркеме катаал Content-Security-Policy берет. Скрипттерди trusted origins'тен гана жүктөөгө болот. X-Frame-Options башка iframe'ге кыстарууну бөгөттөйт (clickjacking'тен коргоо).
| Мыйзам | Эмне камсыздалат |
|---|---|
| 152-ФЗ «О персональных данных» | Орус жарандарынын маалыматтарын РФтеги серверлерде сактоо, ПДн иштетүү реестрин жүргүзүү, суроо-талап боюнча маалыматтарды өчүрүү мүмкүнчүлүгү. |
| Постановление Правительства № 1119 | ПДндын үчүнчү деңгээлдеги коргоосу: кирүү укуктарын бөлүштүрүү, журналдар, тууралоону дайыма текшерүү. |
| Постановление Правительства № 1408 (айдоочуларды даярдоо) | Категориялар боюнча программалык сааттар, айдоо журналы, инструкторлордун жана автомобилдердин документтери — баары талаптарга ылайык сакталат. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Drivli жазылуусу мектептин эсептешүү эсебинен накталай эмес гана төлөнөт — бул режимге ККТ жайылтылбайт (ст. 2 ч.9 54-ФЗ + АУСН). Эгер сиздин мектебиңиз окуучулар үчүн өзүнчө эквайринг кошсо, 54-ФЗ чектерин сиздин провайдериңиз берет. |
Эгер сиз коопсуздук маселесин тапсаңыз — жалпыга ачыкка чыгарганга чейин support@drivli.ru дарегине жазыңыз. 24 сааттын ичинде жооп беребиз жана ак хакерлерге ыраазычылык билдиребиз — бизде bug bounty программасы бар (тастыкталган алсыздык үчүн 5 000 ₽дан баштап сыйлык).
14 күн бекер, банк картасыз. РФтеги серверлер, 152-ФЗ.
Биз кызматты кантип жакшыртууну түшүнүү үчүн веб-аналитика максатында cookie жана Яндекс.Метриканы колдонобуз. Аналитика сиздин макулдугуңуздан кийин гана күйгүзүлөт. Кеңири — Купуялык саясатында.