Серверҳо дар Россия
Ҳамаи маълумотҳо дар маркази додаҳои Selectel дар РФ нигоҳ дошта мешаванд. Ин талаботи 152-ФЗ барои маълумоти шахсии шаҳрвандони рус аст. Ҳеҷ маълумот ба хориҷа намеравад.
Drivli чӣ тавр маълумоти мактаби ронандагиро ҳифз мекунад
Мактаб ба мо маълумоти шиносномавии хонандагон, маълумотномаҳои тиббии устодон ва амалиётҳои молиявиро бовар мекунад. Дар поён — он чизе ки мо мекунем, то ин маълумотҳо нарезанд ва нопадид нашаванд.
Чораҳои техникӣ
Рамзгузории канал
Тамоми трафик тавассути HTTPS бо TLS 1.3 меравад. Сарлавҳаи HSTS ба браузер имкон намедиҳад, ки тасодуфан тавассути HTTP пайваст шавад. Сертификатҳо аз Let’s Encrypt бо навсозии худкор дар ҳар 60 рӯз.
Ҷудокунии мактабҳо дар сатҳи БД
Ҳар мактаб дар схемаи Postgres-и худ зиндагӣ мекунад (schema-per-tenant). Ин маънои онро дорад, ки директори як мактаб аз ҷиҳати техникӣ маълумоти дигареро дида наметавонад — дархостҳо ба таври худкор тавассути `set_search_path` бо схемаи худ маҳдуд карда мешаванд.
Паролҳо ҳеҷ гоҳ дар шакли кушода нигоҳ дошта намешаванд
Ҳангоми бақайдгирӣ парол тавассути bcrypt бо намак хеш карда мешавад. Ҳатто соҳиби Drivli пароли шуморо фаҳмида наметавонад — танҳо барқарор карда метавонад.
Аутентификатсияи дуомила
Дар бахши «Бехатарӣ» директор 2FA-ро тавассути барномае мисли Google Authenticator / Яндекс.Ключ фаъол мекунад. Бе омили дуюм воридшавӣ ғайриимкон аст, ҳатто агар паролро дузданд.
Бэкапҳои ҳаррӯза
Дампи пурраи Postgres ҳар шаб сохта мешавад ва 30 рӯз нигоҳ дошта мешавад. Барқарорсозии ҳар тенант — якчанд дақиқа. Барқарорсозиро моҳе як маротиба озмоиш мекунем, то боварӣ ҳосил кунем, ки бэкапҳо кор мекунанд.
Дастрасии кормандони Drivli
Кормандони Drivli бе иҷозати хаттии шумо ба маълумоти мактабҳо ворид намешаванд. Истисно — кӯмаки техникӣ аз рӯи тикет: шумо худ temporary impersonation-ро фаъол мекунед ва он ба таври худкор хомӯш мешавад.
Журнали амалҳо (Audit Log)
Ҳамаи амалҳои муҳим (воридшавӣ, тағйири тариф, нест кардани хонанда, боркунии ҳисобот) ба журнал навишта мешаванд. Директори мактаб журнали худро дар бахши «Аудит» мебинад ва месанҷад, ки кӣ ва кай чиро тағйир додааст.
Ҳифзи эндпоинтҳои оммавӣ
Виҷети дархостҳо ва саҳифаҳои бақайдгирӣ бо rate-limit ҳифз шудаанд — бот-спамҳо шуморо бо дархостҳои бардурӯғ пур карда наметавонанд. Трафики шубҳанок ба таври худкор аз рӯи IP баста мешавад.
CSP ва сарлавҳаҳои бехатарӣ
Сайт ва барнома Content-Security-Policy-и қатъиро медиҳанд. Скриптҳоро танҳо аз trusted origins бор кардан мумкин аст. X-Frame-Options ҷойгиркуниро дар iframe-и бегона мебандад (ҳифз аз clickjacking).
Мутобиқат ба қонунҳо
| Қонун | Чӣ таъмин мешавад |
|---|---|
| 152-ФЗ «О персональных данных» | Нигоҳдории маълумоти шаҳрвандони рус дар серверҳо дар РФ, пешбурди реестри коркарди ПДн, имконияти нест кардани маълумот аз рӯи дархост. |
| Постановление Правительства № 1119 | Сатҳи сеюми ҳифзи ПДн: ҷудокунии ҳуқуқҳои дастрасӣ, журналҳо, санҷишҳои мунтазами танзимот. |
| Постановление Правительства № 1408 (подготовка водителей) | Соатҳои барномавӣ аз рӯи категорияҳо, журнали баҳисобгирии ронандагӣ, ҳуҷҷатҳои устодон ва мошинҳо — ҳама мувофиқи талабот нигоҳ дошта мешаванд. |
| 54-ФЗ «О применении ККТ» и ФЗ-17 «АУСН» | Обунаи Drivli танҳо бо роҳи ғайринақдӣ аз ҳисоби ҳисоббаробаркунии мактаб пардохт мешавад — ба ин режим ККТ татбиқ намешавад (ст. 2 ч.9 54-ФЗ + АУСН). Агар мактаби шумо алоҳида эквайрингро барои хонандагон пайваст кунад, чекҳои 54-ФЗ-ро провайдери шумо медиҳад. |
Осебпазириро ёфтед? Ба мо гӯед
Агар шумо мушкилии бехатариро ошкор кардед — то ошкоркунии оммавӣ ба support@drivli.ru нависед. Дар давоми 24 соат ҷавоб медиҳем ва ба ҳакерҳои сафед миннатдорӣ мекунем — мо барномаи bug bounty дорем (мукофот аз 5 000 ₽ барои осебпазирии тасдиқшуда).
Омодаед, ки маълумотро ба мо бовар кунед?
14 рӯз ройгон, бе корти бонкӣ. Серверҳо дар РФ, 152-ФЗ.