Серверлар Россиядә
Барлык мәгълүматлар РФ'тагы Selectel дата-үзәгендә саклана. Бу рус гражданнарының шәхси мәгълүматлары өчен 152-ФЗ таләбе. Бернинди мәгълүмат чит илгә китми.
Drivli автомәктәп мәгълүматларын ничек яклый
Мәктәп безгә укучыларның паспорт мәгълүматларын, инструкторларның медицина белешмәләрен һәм финанс операцияләрен ышанып тапшыра. Түбәндә — бу мәгълүматлар сызып чыкмасын һәм югалмасын өчен без нәрсә эшлибез.
Техник чаралар
Каналны шифрлау
Бөтен трафик HTTPS аша TLS 1.3 белән бара. HSTS башламы браузерга очраклы рәвештә HTTP аша тоташырга бирми. Сертификатлар Let’s Encrypt'тан, һәр 60 көнгә автояңарту белән.
Мәктәпләрне БД дәрәҗәсендә изоляцияләү
Һәр мәктәп үз Postgres-схемасында яши (schema-per-tenant). Бу шуны аңлата: бер мәктәп директоры техник яктан икенче мәктәпнең мәгълүматларын күрә алмый — сораулар `set_search_path` аша автоматик рәвештә үз схемасы белән чикләнгән.
Серсүзләр беркайчан да ачык рәвештә сакланмый
Теркәлгәндә серсүз тоз белән bcrypt аша хешлана. Хәтта Drivli хуҗасы да сезнең серсүзне белә алмый — аны бары тапшырып яңартырга гына була.
Ике факторлы аутентификация
«Иминлек» бүлегендә директор Google Authenticator / Яндекс.Ключ кебек кушымта аша 2FA'ны яндыра. Икенче факторсыз керү мөмкин түгел, серсүзне урласалар да.
Көндәлек бэкаплар
Postgres'ның тулы дампы һәр төн ясала һәм 30 көн саклана. Теләсә кайсы тенантны торгызу — берничә минут. Бэкапларның эшләвенә инану өчен торгызуны айга бер тапкыр сынап карыйбыз.
Drivli персоналының керү хокукы
Drivli хезмәткәрләре сезнең язма рөхсәтегездән башка мәктәп мәгълүматларына керми. Искәрмә — тикет буенча техник ярдәм: temporary impersonation'ны үзегез активлаштырасыз, ул автоматик рәвештә сүнә.
Гамәлләр журналы (Audit Log)
Барлык мөһим гамәлләр (керү, тариф үзгәртү, укучыны бетерү, отчёт выгрузкасы) журналга языла. Мәктәп директоры үз журналын «Аудит» бүлегендә күрә һәм кем, кайчан, нәрсә үзгәрткәнен тикшерә ала.
Публик эндпоинтларны яклау
Заявка виджеты һәм теркәлү битләре rate-limit белән якланган — спам-ботлар сезне фейк заявкалар белән күмә алмый. Шикле трафик IP буенча автоматик бана.
CSP һәм иминлек башламнары
Сайт һәм кушымта каты Content-Security-Policy бирә. Скриптларны бары trusted origins'тан гына йөкләп була. X-Frame-Options чит iframe'ка беркетүне блоклый (clickjacking'тан яклау).
Законнарга туры килү
| Закон | Нәрсә тәэмин ителә |
|---|---|
| 152-ФЗ «О персональных данных» | Рус гражданнарының мәгълүматларын РФ серверларында саклау, ПДн эшкәртү реестрын алып бару, сорау буенча мәгълүматларны бетерү мөмкинлеге. |
| Постановление Правительства № 1119 | ПДн яклавының өченче дәрәҗәсе: керү хокукларын бүлү, журналлар, көйләүне даими тикшерү. |
| Постановление Правительства № 1408 (водительләр әзерләү) | Категорияләр буенча программа сәгатьләре, йөртү исәбе журналы, инструкторлар һәм автомобильләр документлары — барысы да таләпләргә туры китереп саклана. |
| 54-ФЗ «О применении ККТ» һәм ФЗ-17 «АУСН» | Drivli абунәсе бары мәктәпнең исәп-хисап счётыннан нагдсыз гына түләнә — бу режимга ККТ кагылмый (ст. 2 ч.9 54-ФЗ + АУСН). Әгәр сезнең мәктәп укучылар өчен аерым эквайринг тоташтырса, 54-ФЗ чекларын сезнең провайдер бирә. |
Зәгыйфьлек таптыгызмы? Безгә әйтегез
Әгәр сез иминлек проблемасы таптыгыз — публик ачылганчы support@drivli.ru'га языгыз. 24 сәгать эчендә җавап бирәбез һәм ак хакерларга рәхмәт укыйбыз — бездә bug bounty программасы бар (раслаган зәгыйфьлек өчен 5 000 ₽'дан бүләк).
Мәгълүматыгызны безгә ышанып тапшырырга әзерме?
14 көн бушлай, банк картасыз. Серверлар РФ'та, 152-ФЗ.