drivli.
Попробовать бесплатно
🔒 Безопасность

Как Drivli защищает данные автошколы

Школа доверяет нам паспортные данные учеников, медицинские справки инструкторов и финансовые операции. Ниже — что мы делаем, чтобы эти данные не утекли и не пропали.

Технические меры

Серверы в России

Все данные хранятся в дата-центре Selectel в РФ. Это требование 152-ФЗ для персональных данных российских граждан. Никакие данные не уходят за границу.

Шифрование канала

Весь трафик идёт по HTTPS с TLS 1.3. Заголовок HSTS не даёт браузеру случайно подключиться по HTTP. Сертификаты от Let’s Encrypt с автообновлением раз в 60 дней.

Изоляция школ на уровне БД

Каждая школа живёт в своей Postgres-схеме (schema-per-tenant). Это значит, что директор одной школы технически не может увидеть данные другой — запросы автоматически ограничены своей схемой через `set_search_path`.

Пароли никогда не хранятся в открытом виде

При регистрации пароль хешируется через bcrypt с солью. Даже владелец Drivli не может узнать ваш пароль — только сбросить.

Двухфакторная аутентификация

В разделе «Безопасность» директор включает 2FA через приложение типа Google Authenticator / Яндекс.Ключ. Без второго фактора вход невозможен, даже если пароль украли.

Ежедневные бэкапы

Полный дамп Postgres делается каждую ночь и хранится 30 дней. Восстановление любого тенанта — несколько минут. Тестируем восстановление раз в месяц, чтобы убедиться, что бэкапы рабочие.

Доступ персонала Drivli

Сотрудники Drivli не заходят в данные школ без вашего письменного разрешения. Исключение — техническая помощь по тикету: вы сами активируете temporary impersonation, и он отключается автоматически.

Журнал действий (Audit Log)

Все важные действия (вход, изменение тарифа, удаление ученика, выгрузка отчёта) пишутся в журнал. Директор школы видит свой журнал в разделе «Аудит» и может проверить, кто и когда что менял.

Защита публичных эндпоинтов

Виджет заявок и страницы регистрации защищены rate-limit'ом — спам-боты не могут засыпать вас фейковыми заявками. Подозрительный трафик банится автоматически по IP.

CSP и заголовки безопасности

Сайт и приложение отдают строгий Content-Security-Policy. Скрипты можно загружать только с trusted origins. X-Frame-Options блокирует встраивание в чужие iframe (защита от clickjacking).

Соответствие законам

ЗаконЧто обеспечивается
152-ФЗ «О персональных данных»Хранение данных российских граждан на серверах в РФ, ведение реестра обработки ПДн, возможность удалить данные по запросу.
Постановление Правительства № 1119Третий уровень защиты ПДн: разделение прав доступа, журналы, регулярные проверки настройки.
Постановление Правительства № 1408 (подготовка водителей)Программные часы по категориям, журнал учёта вождения, документы инструкторов и автомобилей — всё хранится в соответствии с требованиями.
54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН»Подписка Drivli оплачивается только безналом с расчётного счёта школы — на этот режим ККТ не распространяется (ст. 2 ч.9 54-ФЗ + АУСН). Если ваша школа отдельно подключает эквайринг для учеников, чеки 54-ФЗ выдаёт ваш провайдер.

Нашли уязвимость? Скажите нам

Если вы обнаружили проблему безопасности — напишите на support@drivli.ru до публичного раскрытия. Отвечаем в течение 24 часов и благодарим белых хакеров — у нас есть программа bug bounty (вознаграждение от 5 000 ₽ за подтверждённую уязвимость).

Готовы доверить нам данные?

14 дней бесплатно, без банковской карты. Серверы в РФ, 152-ФЗ.