Serverlar Rossiyada
Barcha maʼlumotlar РФ dagi Selectel maʼlumotlar markazida saqlanadi. Bu rossiya fuqarolarining shaxsiy maʼlumotlari uchun 152-ФЗ talabi. Hech qanday maʼlumot chet elga chiqmaydi.
Maktab bizga oʻquvchilarning pasport maʼlumotlarini, instruktorlarning tibbiy maʼlumotnomalarini va moliyaviy operatsiyalarni ishonib topshiradi. Quyida — bu maʼlumotlar sizib chiqmasligi va yoʻqolmasligi uchun nima qilishimiz.
Barcha maʼlumotlar РФ dagi Selectel maʼlumotlar markazida saqlanadi. Bu rossiya fuqarolarining shaxsiy maʼlumotlari uchun 152-ФЗ talabi. Hech qanday maʼlumot chet elga chiqmaydi.
Butun trafik HTTPS orqali TLS 1.3 bilan boradi. HSTS sarlavhasi brauzerga tasodifan HTTP orqali ulanishga yoʻl qoʻymaydi. Sertifikatlar Let’s Encrypt'dan, har 60 kunda avtomatik yangilanadi.
Har bir maktab oʻzining Postgres-sxemasida yashaydi (schema-per-tenant). Bu shuni anglatadiki, bir maktab direktori texnik jihatdan boshqasining maʼlumotini koʻra olmaydi — soʻrovlar `set_search_path` orqali avtomatik oʻz sxemasi bilan cheklanadi.
Roʻyxatdan oʻtishda parol bcrypt bilan tuz qoʻshib heshlanadi. Hatto Drivli egasi ham sizning parolingizni bila olmaydi — faqat tiklash mumkin.
«Xavfsizlik» boʻlimida direktor Google Authenticator / Яндекс.Ключ kabi ilova orqali 2FA ni yoqadi. Ikkinchi faktorsiz kirish imkonsiz, hatto parol oʻgʻirlangan boʻlsa ham.
Postgres'ning toʻliq dampi har kechasi qilinadi va 30 kun saqlanadi. Istalgan tenantni tiklash — bir necha daqiqa. Bekaplar ishlashiga ishonch hosil qilish uchun tiklashni oyiga bir marta sinab koʻramiz.
Drivli xodimlari sizning yozma ruxsatingizsiz maktablar maʼlumotlariga kirmaydi. Istisno — tiket boʻyicha texnik yordam: siz temporary impersonation ni oʻzingiz faollashtirasiz va u avtomatik oʻchadi.
Barcha muhim harakatlar (kirish, tarifni oʻzgartirish, oʻquvchini oʻchirish, hisobotni yuklash) jurnalga yoziladi. Maktab direktori oʻz jurnalini «Audit» boʻlimida koʻradi va kim, qachon, nimani oʻzgartirganini tekshirishi mumkin.
Arizalar vidjeti va roʻyxatdan oʻtish sahifalari rate-limit bilan himoyalangan — spam-botlar sizni soxta arizalar bilan koʻmib tashlay olmaydi. Shubhali trafik IP boʻyicha avtomatik bloklanadi.
Sayt va ilova qatʼiy Content-Security-Policy beradi. Skriptlarni faqat trusted origins dan yuklash mumkin. X-Frame-Options begona iframe'larga oʻrnatilishni bloklaydi (clickjacking dan himoya).
| Qonun | Nima taʼminlanadi |
|---|---|
| 152-ФЗ «Shaxsiy maʼlumotlar toʻgʻrisida» | Rossiya fuqarolari maʼlumotlarini РФ dagi serverlarda saqlash, ПДн qayta ishlash reyestrini yuritish, soʻrov boʻyicha maʼlumotlarni oʻchirish imkoniyati. |
| Постановление Правительства № 1119 | ПДн himoyasining uchinchi darajasi: kirish huquqlarini ajratish, jurnallar, sozlamalarni muntazam tekshirish. |
| Постановление Правительства № 1408 (haydovchilarni tayyorlash) | Toifalar boʻyicha dasturiy soatlar, haydash hisobi jurnali, instruktorlar va avtomobillar hujjatlari — hammasi talablarga muvofiq saqlanadi. |
| 54-ФЗ «ККТ qoʻllash toʻgʻrisida» va ФЗ-17 «АУСН» | Drivli obunasi faqat maktabning hisob-kitob raqamidan naqd pulsiz toʻlanadi — bu rejimga ККТ tatbiq etilmaydi (ст. 2 ч.9 54-ФЗ + АУСН). Agar maktabingiz oʻquvchilar uchun alohida ekvayring ulasa, 54-ФЗ cheklarini sizning provayderingiz beradi. |
Agar xavfsizlik muammosini aniqlagan boʻlsangiz — ommaviy oshkor qilishdan oldin support@drivli.ru ga yozing. 24 soat ichida javob beramiz va oq xakerlarga minnatdorchilik bildiramiz — bizda bug bounty dasturi bor (tasdiqlangan zaiflik uchun 5 000 ₽ dan boshlab mukofot).
14 kun bepul, bank kartasisiz. Serverlar РФ da, 152-ФЗ.
Biz xizmatni qanday yaxshilashni tushunish uchun veb-tahlil maqsadida cookie va Яндекс.Метрика-dan foydalanamiz. Tahlil faqat sizning roziligingizdan keyin yoqiladi. Batafsil — Maxfiylik siyosatida.