ClientFlow
Безопасность прежде всего

Безопасность

Безопасность ваших данных — наш главный приоритет. Мы применяем стандартные для отрасли меры безопасности, чтобы защитить ваш бизнес и информацию ваших клиентов. Все данные размещаются в Германии в Европейском Союзе на инфраструктуре Hetzner.

Active
Monitoring
<72ч
Уведомление о нарушении
TLS 1.3
Транспортное шифрование
GDPR
Соответствие

Защита данных

Шифрование в покое

Зашифровано

Тома базы данных шифруются в покое на уровне инфраструктуры. Конфиденциальные учётные данные и платёжные токены дополнительно шифруются на уровне приложения до сохранения.

Шифрование при передаче

TLS 1.3

Все данные, передаваемые между вашим браузером и нашими серверами, шифруются с использованием TLS 1.3 и современных наборов шифров.

Аутентификация OAuth 2.0

OAuth 2.0

Мы используем стандартный отраслевой OAuth 2.0 с Google, Facebook и Apple для безопасной аутентификации. Пароли не хранятся.

Безопасность JWT-токенов

Ротация

Токены доступа истекают через 1 час. Refresh-токены ротируются при каждом использовании и могут быть отозваны мгновенно.

Безопасность инфраструктуры

ISO 27001 (ЦОД)

Размещено в Hetzner в Германии. Центры обработки данных Hetzner сертифицированы по ISO 27001 и обеспечивают физическую безопасность корпоративного уровня и защиту от DDoS на границе сети.

Резервные копии базы данных

Бэкапы

Резервные копии PostgreSQL создаются перед каждым продакшн-развёртыванием и каждой миграцией. Резервные копии хранятся на защищённых томах и сохраняются для быстрого отката.

Практики безопасности

Мониторинг ошибок

Ошибки приложения и неудачные попытки аутентификации регистрируются и отслеживаются через Sentry для раннего выявления аномалий.

Регулярные обновления

Зависимости и системы регулярно обновляются для устранения уязвимостей безопасности и соблюдения лучших практик.

Контроль доступа

Изоляция данных по пользователям и ролевое управление доступом (RBAC) гарантируют, что члены команды получают доступ только к данным, необходимым для их роли.

Внутренний код-ревью

Изменения кода проходят внутреннюю проверку безопасности с автоматизированными инструментами (Bandit, сканирование зависимостей) перед релизом.

Соответствие и сертификации

Соответствие GDPR

  • Соглашения об обработке данных
  • Право на доступ и удаление
  • Переносимость данных
  • Уведомление о нарушении

PCI DSS

  • Безопасная обработка платежей через iyzico
  • Данные карт не хранятся
  • Токенизированные транзакции
  • Защита от мошенничества

Реагирование на инциденты

Наши обязательства

В маловероятном случае инцидента безопасности, затрагивающего ваши данные, мы обязуемся:

  • Уведомить затронутых пользователей в течение 72 часов с момента обнаружения
  • Предоставить четкую информацию о том, какие данные были затронуты
  • Немедленно принять меры по локализации и устранению инцидента
  • Провести тщательный анализ после инцидента

Сообщить об уязвимости

Мы ценим ответственное раскрытие информации. Если вы обнаружите уязвимость безопасности, сообщите нам об этом по адресу contact@clientflow.center

Мы подтвердим получение в течение 24 часов и будем работать с вами, чтобы понять и оперативно решить проблему.

Связанные документы

Политика конфиденциальностиСоглашение об обработке данныхУсловия использования