Политика безопасности

Дата вступления в силу: 15/5/2018

Обзор

В QuizzClub мы очень серьезно относимся к защите данных клиентов. В настоящей Политике безопасности описываются принимаемые нами организационные и технические меры, призванные предотвратить несанкционированный доступ, использование, изменение или раскрытие данных клиента.

Служба безопасности

В нашу команду по инфраструктуре и безопасности входят люди, которые играли ведущую роль в проектировании, создании и эксплуатации высокозащищенных систем с выходом в Интернет в компаниях - от стартапов до крупных публичных компаний.

Лучшие практики

План реагирования на инциденты

  • Мы внедрили формальную процедуру для событий безопасности и обучили всех наших сотрудников нашей политике.
  • Когда инциденты безопасности обнаруживаются, о них незамедлительно уведомляются наши сотрудники, которые собираются для быстрого реагирования на инцидент.
  • После того, как инцидент устранён, мы фиксируем анализ аварийной ситуации.
  • Анализ рассматривается лично, распространяется по всей компании и включает элементы действий, которые облегчат обнаружение и предотвращение аналогичного инцидента в будущем.
  • QuizzClub незамедлительно уведомит вас в письменном виде при подтверждении нарушения безопасности услуг QuizzClub, которое может повлиять на ваши данные. Уведомление будет содержать описание нарушения и статус расследования QuizzClub.

Автоматизация процесса сборки

У нас есть функционирующая, часто используемая автоматизация, позволяющая безопасно и надежно внедрить изменения как нашего приложения, так и сайта в течение нескольких минут.

Обычно мы внедряем код десятки раз в день, поэтому у нас есть большая уверенность в том, что мы сможем быстро исправить проблему безопасности при необходимости.

Инфраструктура

  • Все наши услуги и данные размещены на предприятиях Hetzner в Германии и Финляндии, защищенных системой безопасности Het security.
  • Системы электроснабжения центра обработки данных Hetzner разработаны с учетом избыточности и удобства обслуживания без воздействия на непрерывную работу, 24 часа в сутки и 7 дней в неделю. В большинстве случаев как первичный, так и альтернативный источник питания, каждый с равной мощностью, предоставляется для критических компонентов инфраструктуры в центре обработки данных.
  • Сервисы QuizzClub созданы с учетом возможности аварийного восстановления.
  • Вся наша инфраструктура распределена по центрам обработки данных Hetzner (зоны доступности) и будет продолжать работать в случае неожиданного сбоя любого из этих центров обработки данных.
  • Все наши серверы находятся во внутренней сети, используя списки контроля доступа к сети (ACL), которые предотвращают несанкционированные запросы.
  • QuizzClub использует решение для резервного копирования хранилищ данных, которые содержат данные клиентов. Резервные архивы хранятся с использованием надежного шифрования.

Данные

  • Все данные клиентов хранятся в Германии.
  • У нас нет индивидуальных хранилищ данных для каждого клиента. Однако в коде нашего приложения существуют строгие меры защиты конфиденциальности, предназначенные для обеспечения конфиденциальности данных и предотвращения доступа одного клиента к данным другого клиента (т.е. логическое разделение). У нас есть много модульных и интеграционных тестов, чтобы обеспечить правильную работу этих средств контроля конфиденциальности. Эти тесты запускаются каждый раз, когда обновляется наша кодовая база, и даже если один тест не пройден, новый код будет отправлен в производство.
  • Каждая система Quizzclub, используемая для обработки данных о клиентах, надлежащим образом конфигурируется и обновляется с использованием коммерчески обоснованных методов в соответствии с признанными в отрасли стандартами защиты систем.
  • Quizzclub задействует определенные процессоры для обработки данных клиентов. Эти процессоры перечислены на ru.quizzclub.com/third-parties, которые могут время от времени обновляться Quizzclub.

Обмен данными

Наши конечные точки API и приложений - только TLS/SSL и имеют оценку «A» в тестах SSL Labs, что означает адекватную коммерческую безопасность. Серверы Quizzclub поддерживают обмен криптографическими ключами с эфемерными эллиптическими кривыми, подписанными RSA и ECDSA. Эти методы совершенной прямой секретности (PFS) помогают защитить трафик и минимизировать влияние взломанного ключа или криптографического прорыва.

Аутентификация

  • QuizzClub обслуживается на 100% через https.
  • В сети QuizzClub нет корпоративных ресурсов или дополнительных привилегий.

Разрешения и административный контроль

  • QuizzClub позволяет устанавливать уровни разрешений для любых сотрудников, имеющих доступ к QuizzClub.
  • Разрешения и доступ могут быть установлены для включения настроек, пользовательских данных или возможности отправлять/редактировать ручные сообщения и автоматические сообщения.

Обязанности клиента

  • Управлять собственной учетной записью в службах QuizzClub.
  • Не нарушать условия лицензионного соглашения с QuizzClub для конечных пользователей, в том числе в отношении соблюдения законов.
  • Незамедлительно уведомлять QuizzClub, если вы подозреваете возможные подозрительные действия, которые могут негативно повлиять на безопасность служб QuizzClub или вашей учетной записи.
  • Вы не можете выполнять какие-либо тесты на проникновение в систему безопасности или действия по оценке безопасности без предварительного письменного согласия QuizzClub.

Контакты

Если у вас есть какие-либо вопросы относительно этого уведомления, пожалуйста, используйте нашу форму обратной связи.