Политика безопасности

Последнее обновление: 9 мая 2025 г.

Настоящая Политика безопасности описывает меры, процедуры и принципы, которые trustedbrokers применяет для защиты данных пользователей, обеспечения целостности платформы и поддержания безопасной среды для всех участников сервиса. Используя наш сервис, вы подтверждаете, что ознакомились с настоящей политикой и принимаете её условия.

trustedbrokers придаёт первостепенное значение безопасности информации и принимает комплексные меры для защиты данных клиентов, партнёров и сотрудников. Настоящая политика распространяется на все системы, сервисы, приложения и процессы, находящиеся под управлением или контролем trustedbrokers.

Мы постоянно совершенствуем механизмы защиты в соответствии с актуальными отраслевыми стандартами и лучшими практиками в области информационной безопасности.

Мы собираем только те данные, которые необходимы для предоставления услуг. Все персональные данные хранятся в зашифрованном виде на защищённых серверах с ограниченным доступом. Доступ к данным предоставляется исключительно авторизованному персоналу в рамках служебной необходимости.

Передача данных между пользователем и платформой осуществляется с использованием протокола TLS (Transport Layer Security) версии 1.2 и выше. Хранимые данные шифруются с применением современных криптографических алгоритмов. Ключи шифрования управляются в соответствии с установленными процедурами ротации и защиты.

Резервное копирование данных производится на регулярной основе. Резервные копии также шифруются и хранятся в географически распределённых защищённых хранилищах. Процедуры восстановления данных регулярно проверяются и тестируются.

Доступ к платформе требует прохождения процедуры аутентификации. Мы рекомендуем всем пользователям использовать надёжные уникальные пароли и включать многофакторную аутентификацию (MFA) для дополнительной защиты учётных записей. Системы аутентификации соответствуют современным стандартам безопасности.

Доступ сотрудников к системам предоставляется по принципу минимально необходимых привилегий. Права доступа регулярно пересматриваются и актуализируются. При изменении должностных обязанностей или прекращении трудовых отношений права доступа незамедлительно пересматриваются или отзываются.

Административный доступ к критическим системам защищён дополнительными уровнями аутентификации. Все административные действия фиксируются в защищённых журналах аудита. Сессии с повышенными привилегиями ограничены по времени и отслеживаются.

Инфраструктура платформы защищена межсетевыми экранами, системами обнаружения и предотвращения вторжений (IDS/IPS). Сетевой трафик постоянно мониторируется для выявления аномальной активности. Сегментация сети используется для изоляции критических компонентов системы.

Серверное оборудование размещается в сертифицированных центрах обработки данных с круглосуточной физической охраной, системами контроля доступа и видеонаблюдением. Доступ в серверные помещения предоставляется только авторизованному персоналу.

Все компоненты инфраструктуры регулярно обновляются для устранения известных уязвимостей. Критические обновления безопасности применяются в приоритетном порядке. Управление уязвимостями осуществляется в соответствии с установленными процедурами оценки рисков.

Системы безопасности работают в режиме непрерывного мониторинга. Автоматизированные инструменты анализируют активность на предмет подозрительного поведения, несанкционированного доступа и потенциальных угроз. При обнаружении аномалий команда безопасности незамедлительно получает уведомления.

Все значимые действия в системе фиксируются в защищённых журналах аудита. Журналы хранятся в течение установленного срока и защищены от несанкционированного изменения или удаления. Регулярные проверки журналов проводятся для выявления потенциальных инцидентов безопасности.

Периодически проводятся тесты на проникновение и оценки уязвимостей с привлечением независимых специалистов. Результаты тестирования используются для совершенствования защитных механизмов. Обнаруженные уязвимости устраняются в соответствии с их уровнем критичности.

trustedbrokers располагает задокументированными процедурами реагирования на инциденты информационной безопасности. В случае выявления инцидента предпринимаются немедленные меры по его локализации, расследованию и устранению последствий. Все инциденты фиксируются и анализируются для предотвращения повторного возникновения.

В случае инцидента, который может повлиять на данные пользователей, мы обязуемся своевременно уведомить затронутых лиц в соответствии с применимыми требованиями. Уведомления будут содержать информацию о характере инцидента, возможных последствиях и принятых мерах.

После устранения инцидента проводится детальный анализ его причин и последствий. На основании результатов анализа разрабатываются и внедряются дополнительные защитные меры. Документация по инциденту сохраняется для последующего использования в целях улучшения политик безопасности.

Разработка программного обеспечения ведётся в соответствии с принципами безопасного программирования. Безопасность учитывается на всех этапах жизненного цикла разработки: от проектирования до развёртывания. Код проходит проверку на наличие уязвимостей до выпуска в производственную среду.

Использование сторонних библиотек и компонентов контролируется и регулярно проверяется на наличие известных уязвимостей. Обновления зависимостей выполняются своевременно при обнаружении уязвимостей безопасности.

Все сотрудники trustedbrokers проходят обучение по вопросам информационной безопасности. Обучение охватывает распознавание фишинговых атак, правила работы с конфиденциальными данными, политики допустимого использования систем и процедуры сообщения об инцидентах. Знания персонала в области безопасности регулярно обновляются.

Пользователи платформы несут ответственность за соблюдение следующих требований безопасности:

• Использование надёжных уникальных паролей для защиты учётных записей
• Неразглашение учётных данных третьим лицам
• Своевременное сообщение о подозрительной активности или предполагаемых нарушениях безопасности
• Использование актуальных версий программного обеспечения и браузеров
• Соблюдение правил допустимого использования платформы
• Незамедлительное уведомление в случае утери или компрометации учётных данных

При использовании сторонних сервисов и интеграций мы проводим оценку их соответствия требованиям безопасности. Передача данных третьим сторонам осуществляется только при наличии необходимых соглашений о защите данных. Мы не несём ответственности за политики и практики безопасности независимых сторонних сервисов, на которые могут вести ссылки на нашей платформе.

Если вы обнаружили уязвимость в наших системах, просим незамедлительно сообщить нам об этом по следующим контактным данным:

Мы просим не публиковать информацию об уязвимостях до их устранения. Все сообщения об уязвимостях будут рассмотрены в кратчайшие сроки.

Данные хранятся в течение срока, необходимого для предоставления услуг и выполнения законных обязательств. По истечении установленного срока хранения данные безопасно удаляются с использованием методов, исключающих возможность их восстановления. Пользователи вправе запросить удаление своих данных в соответствии с применимыми правилами платформы.

trustedbrokers располагает планами обеспечения непрерывности деятельности и восстановления после аварий. Критические системы защищены механизмами резервирования и аварийного переключения. Регулярное тестирование процедур восстановления обеспечивает готовность к нештатным ситуациям.

Настоящая политика может периодически обновляться для отражения изменений в практиках безопасности, технологиях или требованиях. При внесении существенных изменений пользователи будут уведомлены через платформу или по электронной почте. Продолжение использования сервиса после опубликования изменений означает согласие с обновлённой политикой. Рекомендуем регулярно проверять актуальность настоящей политики.

По всем вопросам, связанным с безопасностью платформы, вы можете обратиться к нам: