Серверы в России
Все данные хранятся в дата-центре Selectel в РФ. Это требование 152-ФЗ для персональных данных российских граждан. Никакие данные не уходят за границу.
Как Drivli защищает данные автошколы
Школа доверяет нам паспортные данные учеников, медицинские справки инструкторов и финансовые операции. Ниже — что мы делаем, чтобы эти данные не утекли и не пропали.
Технические меры
Шифрование канала
Весь трафик идёт по HTTPS с TLS 1.3. Заголовок HSTS не даёт браузеру случайно подключиться по HTTP. Сертификаты от Let’s Encrypt с автообновлением раз в 60 дней.
Изоляция школ на уровне БД
Каждая школа живёт в своей Postgres-схеме (schema-per-tenant). Это значит, что директор одной школы технически не может увидеть данные другой — запросы автоматически ограничены своей схемой через `set_search_path`.
Пароли никогда не хранятся в открытом виде
При регистрации пароль хешируется через bcrypt с солью. Даже владелец Drivli не может узнать ваш пароль — только сбросить.
Двухфакторная аутентификация
В разделе «Безопасность» директор включает 2FA через приложение типа Google Authenticator / Яндекс.Ключ. Без второго фактора вход невозможен, даже если пароль украли.
Ежедневные бэкапы
Полный дамп Postgres делается каждую ночь и хранится 30 дней. Восстановление любого тенанта — несколько минут. Тестируем восстановление раз в месяц, чтобы убедиться, что бэкапы рабочие.
Доступ персонала Drivli
Сотрудники Drivli не заходят в данные школ без вашего письменного разрешения. Исключение — техническая помощь по тикету: вы сами активируете temporary impersonation, и он отключается автоматически.
Журнал действий (Audit Log)
Все важные действия (вход, изменение тарифа, удаление ученика, выгрузка отчёта) пишутся в журнал. Директор школы видит свой журнал в разделе «Аудит» и может проверить, кто и когда что менял.
Защита публичных эндпоинтов
Виджет заявок и страницы регистрации защищены rate-limit'ом — спам-боты не могут засыпать вас фейковыми заявками. Подозрительный трафик банится автоматически по IP.
CSP и заголовки безопасности
Сайт и приложение отдают строгий Content-Security-Policy. Скрипты можно загружать только с trusted origins. X-Frame-Options блокирует встраивание в чужие iframe (защита от clickjacking).
Соответствие законам
| Закон | Что обеспечивается |
|---|---|
| 152-ФЗ «О персональных данных» | Хранение данных российских граждан на серверах в РФ, ведение реестра обработки ПДн, возможность удалить данные по запросу. |
| Постановление Правительства № 1119 | Третий уровень защиты ПДн: разделение прав доступа, журналы, регулярные проверки настройки. |
| Постановление Правительства № 1408 (подготовка водителей) | Программные часы по категориям, журнал учёта вождения, документы инструкторов и автомобилей — всё хранится в соответствии с требованиями. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Подписка Drivli оплачивается только безналом с расчётного счёта школы — на этот режим ККТ не распространяется (ст. 2 ч.9 54-ФЗ + АУСН). Если ваша школа отдельно подключает эквайринг для учеников, чеки 54-ФЗ выдаёт ваш провайдер. |
Нашли уязвимость? Скажите нам
Если вы обнаружили проблему безопасности — напишите на support@drivli.ru до публичного раскрытия. Отвечаем в течение 24 часов и благодарим белых хакеров — у нас есть программа bug bounty (вознаграждение от 5 000 ₽ за подтверждённую уязвимость).
Готовы доверить нам данные?
14 дней бесплатно, без банковской карты. Серверы в РФ, 152-ФЗ.