ClientFlow
Bezpeka nasampered

Bezpeka

Безпека ваших даних — наш найвищий пріоритет. Ми впроваджуємо галузеві стандарти безпеки для захисту вашого бізнесу та інформації ваших клієнтів. Усі дані розміщуються в Німеччині в Європейському Союзі на інфраструктурі Hetzner.

Active
Monitoring
<72 год
Повідомлення про порушення
TLS 1.3
Транспортне шифрування
GDPR
Відповідність

Захист даних

Шифрування у спокої

Зашифровано

Томи бази даних шифруються у спокої на рівні інфраструктури. Чутливі облікові дані та платіжні токени додатково шифруються на рівні застосунку перед збереженням.

Шифрування під час передачі

TLS 1.3

Усі дані, що передаються між вашим браузером і нашими серверами, шифруються за допомогою TLS 1.3 із сучасними наборами шифрів.

Автентифікація OAuth 2.0

OAuth 2.0

Для безпечної автентифікації ми використовуємо галузевий OAuth 2.0 з Google, Facebook та Apple. Паролі не зберігаються.

Безпека JWT-токенів

Ротація

Токени доступу закінчуються через 1 годину. Токени оновлення ротуються під час кожного використання і можуть бути миттєво відкликані.

Безпека інфраструктури

ISO 27001 (ЦОД)

Розміщено у Hetzner у Німеччині. Центри обробки даних Hetzner сертифіковані за ISO 27001 і забезпечують фізичну безпеку корпоративного рівня та захист від DDoS на межі мережі.

Резервне копіювання бази даних

Бекапи

Резервні копії PostgreSQL створюються перед кожним розгортанням у production та кожною міграцією. Резервні копії зберігаються на захищених томах і зберігаються для швидкого відкату.

Практики безпеки

Моніторинг помилок

Помилки застосунку та невдалі спроби автентифікації реєструються та відстежуються через Sentry для раннього виявлення аномалій.

Регулярні оновлення

Залежності та системи регулярно оновлюються для усунення вразливостей безпеки та дотримання найкращих практик.

Контроль доступу

Ізоляція даних за користувачами та рольове керування доступом (RBAC) гарантують, що члени команди мають доступ лише до даних, необхідних для їхньої ролі.

Внутрішній огляд коду

Зміни коду проходять внутрішню перевірку безпеки з автоматизованими інструментами (Bandit, сканування залежностей) перед випуском.

Відповідність і сертифікати

Відповідає GDPR

  • Угоди про обробку даних
  • Право на доступ і видалення
  • Переносність даних
  • Повідомлення про порушення

PCI DSS

  • Безпечна обробка платежів через iyzico
  • Дані картки не зберігаються
  • Тонкенізовані транзакції
  • Захист від шахрайства

Реагування на інцидент

Наші зобов'язання

У малоймовірному випадку інциденту безпеки, який вплине на ваші дані, ми зобов’язуємося:

  • Повідомлення постраждалих користувачів протягом 72 годин після виявлення
  • Надання чіткої інформації про те, які дані постраждали
  • Вжиття негайних заходів для локалізації та усунення інциденту
  • Проведення ретельного аналізу після інциденту

Повідомити про вразливість

Ми цінуємо відповідальне розкриття інформації. Якщо ви виявили уразливість безпеки, будь ласка, повідомте нас за адресою contact@clientflow.center

Ми підтвердимо отримання протягом 24 годин і співпрацюватимемо з вами, щоб зрозуміти та швидко вирішити проблему.

Пов'язані документи

Політика конфіденційностіУгода про обробку данихУмови використання