Политика безопасности
Дата вступления в силу: 15/5/2018
Обзор
В QuizzClub мы очень серьезно относимся к защите данных клиентов. В настоящей Политике безопасности описываются принимаемые нами организационные и технические меры, призванные предотвратить несанкционированный доступ, использование, изменение или раскрытие данных клиента.
Служба безопасности
В нашу команду по инфраструктуре и безопасности входят люди, которые играли ведущую роль в проектировании, создании и эксплуатации высокозащищенных систем с выходом в Интернет в компаниях - от стартапов до крупных публичных компаний.
Лучшие практики
План реагирования на инциденты
- Мы внедрили формальную процедуру для событий безопасности и обучили всех наших сотрудников нашей политике.
- Когда инциденты безопасности обнаруживаются, о них незамедлительно уведомляются наши сотрудники, которые собираются для быстрого реагирования на инцидент.
- После того, как инцидент устранён, мы фиксируем анализ аварийной ситуации.
- Анализ рассматривается лично, распространяется по всей компании и включает элементы действий, которые облегчат обнаружение и предотвращение аналогичного инцидента в будущем.
- QuizzClub незамедлительно уведомит вас в письменном виде при подтверждении нарушения безопасности услуг QuizzClub, которое может повлиять на ваши данные. Уведомление будет содержать описание нарушения и статус расследования QuizzClub.
Автоматизация процесса сборки
У нас есть функционирующая, часто используемая автоматизация, позволяющая безопасно и надежно внедрить изменения как нашего приложения, так и сайта в течение нескольких минут.
Обычно мы внедряем код десятки раз в день, поэтому у нас есть большая уверенность в том, что мы сможем быстро исправить проблему безопасности при необходимости.
Инфраструктура
- Все наши услуги и данные размещены на предприятиях Hetzner в Германии и Финляндии, защищенных системой безопасности Het security.
- Системы электроснабжения центра обработки данных Hetzner разработаны с учетом избыточности и удобства обслуживания без воздействия на непрерывную работу, 24 часа в сутки и 7 дней в неделю. В большинстве случаев как первичный, так и альтернативный источник питания, каждый с равной мощностью, предоставляется для критических компонентов инфраструктуры в центре обработки данных.
- Сервисы QuizzClub созданы с учетом возможности аварийного восстановления.
- Вся наша инфраструктура распределена по центрам обработки данных Hetzner (зоны доступности) и будет продолжать работать в случае неожиданного сбоя любого из этих центров обработки данных.
- Все наши серверы находятся во внутренней сети, используя списки контроля доступа к сети (ACL), которые предотвращают несанкционированные запросы.
- QuizzClub использует решение для резервного копирования хранилищ данных, которые содержат данные клиентов. Резервные архивы хранятся с использованием надежного шифрования.
Данные
- Все данные клиентов хранятся в Германии.
- У нас нет индивидуальных хранилищ данных для каждого клиента. Однако в коде нашего приложения существуют строгие меры защиты конфиденциальности, предназначенные для обеспечения конфиденциальности данных и предотвращения доступа одного клиента к данным другого клиента (т.е. логическое разделение). У нас есть много модульных и интеграционных тестов, чтобы обеспечить правильную работу этих средств контроля конфиденциальности. Эти тесты запускаются каждый раз, когда обновляется наша кодовая база, и даже если один тест не пройден, новый код будет отправлен в производство.
- Каждая система Quizzclub, используемая для обработки данных о клиентах, надлежащим образом конфигурируется и обновляется с использованием коммерчески обоснованных методов в соответствии с признанными в отрасли стандартами защиты систем.
- Quizzclub задействует определенные процессоры для обработки данных клиентов. Эти процессоры перечислены на ru.quizzclub.com/third-parties, которые могут время от времени обновляться Quizzclub.
Обмен данными
Наши конечные точки API и приложений - только TLS/SSL и имеют оценку «A» в тестах SSL Labs, что означает адекватную коммерческую безопасность. Серверы Quizzclub поддерживают обмен криптографическими ключами с эфемерными эллиптическими кривыми, подписанными RSA и ECDSA. Эти методы совершенной прямой секретности (PFS) помогают защитить трафик и минимизировать влияние взломанного ключа или криптографического прорыва.
Аутентификация
- QuizzClub обслуживается на 100% через https.
- В сети QuizzClub нет корпоративных ресурсов или дополнительных привилегий.
Разрешения и административный контроль
- QuizzClub позволяет устанавливать уровни разрешений для любых сотрудников, имеющих доступ к QuizzClub.
- Разрешения и доступ могут быть установлены для включения настроек, пользовательских данных или возможности отправлять/редактировать ручные сообщения и автоматические сообщения.
Обязанности клиента
- Управлять собственной учетной записью в службах QuizzClub.
- Не нарушать условия лицензионного соглашения с QuizzClub для конечных пользователей, в том числе в отношении соблюдения законов.
- Незамедлительно уведомлять QuizzClub, если вы подозреваете возможные подозрительные действия, которые могут негативно повлиять на безопасность служб QuizzClub или вашей учетной записи.
-
Вы не можете выполнять какие-либо тесты на проникновение в систему безопасности или действия по оценке безопасности без предварительного письменного согласия QuizzClub.
Контакты
Если у вас есть какие-либо вопросы относительно этого уведомления, пожалуйста, используйте нашу форму обратной связи.