Serverlar Rossiyada
Barcha maʼlumotlar РФ dagi Selectel maʼlumotlar markazida saqlanadi. Bu rossiya fuqarolarining shaxsiy maʼlumotlari uchun 152-ФЗ talabi. Hech qanday maʼlumot chet elga chiqmaydi.
Drivli avtomaktab maʼlumotlarini qanday himoya qiladi
Maktab bizga oʻquvchilarning pasport maʼlumotlarini, instruktorlarning tibbiy maʼlumotnomalarini va moliyaviy operatsiyalarni ishonib topshiradi. Quyida — bu maʼlumotlar sizib chiqmasligi va yoʻqolmasligi uchun nima qilishimiz.
Texnik choralar
Kanalni shifrlash
Butun trafik HTTPS orqali TLS 1.3 bilan boradi. HSTS sarlavhasi brauzerga tasodifan HTTP orqali ulanishga yoʻl qoʻymaydi. Sertifikatlar Let’s Encrypt'dan, har 60 kunda avtomatik yangilanadi.
Maktablarni MB darajasida izolyatsiyalash
Har bir maktab oʻzining Postgres-sxemasida yashaydi (schema-per-tenant). Bu shuni anglatadiki, bir maktab direktori texnik jihatdan boshqasining maʼlumotini koʻra olmaydi — soʻrovlar `set_search_path` orqali avtomatik oʻz sxemasi bilan cheklanadi.
Parollar hech qachon ochiq koʻrinishda saqlanmaydi
Roʻyxatdan oʻtishda parol bcrypt bilan tuz qoʻshib heshlanadi. Hatto Drivli egasi ham sizning parolingizni bila olmaydi — faqat tiklash mumkin.
Ikki faktorli autentifikatsiya
«Xavfsizlik» boʻlimida direktor Google Authenticator / Яндекс.Ключ kabi ilova orqali 2FA ni yoqadi. Ikkinchi faktorsiz kirish imkonsiz, hatto parol oʻgʻirlangan boʻlsa ham.
Kunlik bekaplar
Postgres'ning toʻliq dampi har kechasi qilinadi va 30 kun saqlanadi. Istalgan tenantni tiklash — bir necha daqiqa. Bekaplar ishlashiga ishonch hosil qilish uchun tiklashni oyiga bir marta sinab koʻramiz.
Drivli xodimlarining kirishi
Drivli xodimlari sizning yozma ruxsatingizsiz maktablar maʼlumotlariga kirmaydi. Istisno — tiket boʻyicha texnik yordam: siz temporary impersonation ni oʻzingiz faollashtirasiz va u avtomatik oʻchadi.
Harakatlar jurnali (Audit Log)
Barcha muhim harakatlar (kirish, tarifni oʻzgartirish, oʻquvchini oʻchirish, hisobotni yuklash) jurnalga yoziladi. Maktab direktori oʻz jurnalini «Audit» boʻlimida koʻradi va kim, qachon, nimani oʻzgartirganini tekshirishi mumkin.
Ommaviy endpointlarni himoya qilish
Arizalar vidjeti va roʻyxatdan oʻtish sahifalari rate-limit bilan himoyalangan — spam-botlar sizni soxta arizalar bilan koʻmib tashlay olmaydi. Shubhali trafik IP boʻyicha avtomatik bloklanadi.
CSP va xavfsizlik sarlavhalari
Sayt va ilova qatʼiy Content-Security-Policy beradi. Skriptlarni faqat trusted origins dan yuklash mumkin. X-Frame-Options begona iframe'larga oʻrnatilishni bloklaydi (clickjacking dan himoya).
Qonunlarga muvofiqlik
| Qonun | Nima taʼminlanadi |
|---|---|
| 152-ФЗ «Shaxsiy maʼlumotlar toʻgʻrisida» | Rossiya fuqarolari maʼlumotlarini РФ dagi serverlarda saqlash, ПДн qayta ishlash reyestrini yuritish, soʻrov boʻyicha maʼlumotlarni oʻchirish imkoniyati. |
| Постановление Правительства № 1119 | ПДн himoyasining uchinchi darajasi: kirish huquqlarini ajratish, jurnallar, sozlamalarni muntazam tekshirish. |
| Постановление Правительства № 1408 (haydovchilarni tayyorlash) | Toifalar boʻyicha dasturiy soatlar, haydash hisobi jurnali, instruktorlar va avtomobillar hujjatlari — hammasi talablarga muvofiq saqlanadi. |
| 54-ФЗ «ККТ qoʻllash toʻgʻrisida» va ФЗ-17 «АУСН» | Drivli obunasi faqat maktabning hisob-kitob raqamidan naqd pulsiz toʻlanadi — bu rejimga ККТ tatbiq etilmaydi (ст. 2 ч.9 54-ФЗ + АУСН). Agar maktabingiz oʻquvchilar uchun alohida ekvayring ulasa, 54-ФЗ cheklarini sizning provayderingiz beradi. |
Zaiflik topdingizmi? Bizga ayting
Agar xavfsizlik muammosini aniqlagan boʻlsangiz — ommaviy oshkor qilishdan oldin support@drivli.ru ga yozing. 24 soat ichida javob beramiz va oq xakerlarga minnatdorchilik bildiramiz — bizda bug bounty dasturi bor (tasdiqlangan zaiflik uchun 5 000 ₽ dan boshlab mukofot).
Maʼlumotlarni bizga ishonib topshirishga tayyormisiz?
14 kun bepul, bank kartasisiz. Serverlar РФ da, 152-ФЗ.