Политика информационной безопасности
Последнее обновление: 17 ноября 2025 г.
Компания Devgoconsortiumai обязуется защищать информацию наших клиентов и поддерживать высочайшие стандарты информационной безопасности. Настоящая Политика информационной безопасности описывает наш подход к защите данных, конфиденциальности и целостности информационных систем.
1. Общие положения
Настоящая Политика применяется ко всем информационным активам, системам и данным, находящимся под контролем Devgoconsortiumai. Мы используем комплексный подход к безопасности, охватывающий технические, организационные и процедурные меры защиты.
Наша цель — обеспечить:
Конфиденциальность: Защиту информации от несанкционированного доступа и раскрытия.
Целостность: Обеспечение точности и полноты данных, защиту от несанкционированных изменений.
Доступность: Гарантию доступа к информации и системам для авторизованных пользователей в необходимое время.
2. Защита данных клиентов
2.1 Шифрование данных
Мы применяем современные методы шифрования для защиты данных клиентов:
Шифрование при передаче: Все данные, передаваемые между пользователями и нашими серверами, защищены протоколом TLS 1.2 или выше с использованием надежных криптографических алгоритмов.
Шифрование при хранении: Конфиденциальные данные клиентов шифруются при хранении с использованием стандартов шифрования промышленного уровня.
Управление ключами: Криптографические ключи хранятся отдельно от зашифрованных данных и защищены дополнительными уровнями безопасности.
2.2 Классификация данных
Мы классифицируем данные по уровням конфиденциальности для применения соответствующих мер защиты:
| Уровень | Описание | Примеры |
|---|---|---|
| Критический | Данные, требующие максимальной защиты | Финансовые данные, платежная информация, учетные данные |
| Конфиденциальный | Информация, требующая защиты от несанкционированного доступа | Персональные данные клиентов, бизнес-информация |
| Внутренний | Информация для внутреннего использования | Внутренние документы, политики компании |
| Публичный | Информация для общего доступа | Маркетинговые материалы, публичные объявления |
2.3 Хранение и обработка данных
Данные клиентов хранятся в защищенных центрах обработки данных с многоуровневой системой безопасности. Доступ к данным строго контролируется и предоставляется только авторизованному персоналу на основе принципа минимальных привилегий.
Мы регулярно создаем резервные копии данных для обеспечения восстановления в случае сбоев. Резервные копии хранятся в зашифрованном виде и защищены теми же мерами безопасности, что и основные данные.
3. Контроль доступа
3.1 Аутентификация пользователей
Мы применяем надежные механизмы аутентификации для защиты учетных записей:
Безопасные пароли: Требуем использования сложных паролей, соответствующих современным стандартам безопасности.
Многофакторная аутентификация: Предлагаем возможность включения многофакторной аутентификации для дополнительного уровня защиты учетной записи.
Блокировка учетных записей: Автоматическая блокировка учетных записей после нескольких неудачных попыток входа для предотвращения несанкционированного доступа.
3.2 Управление правами доступа
Доступ к системам и данным предоставляется на основе принципа наименьших привилегий. Каждый сотрудник получает только те права доступа, которые необходимы для выполнения его служебных обязанностей.
Мы регулярно проверяем и обновляем права доступа, немедленно отзываем доступ при изменении должностных обязанностей или прекращении трудовых отношений.
3.3 Мониторинг доступа
Все действия пользователей в системе регистрируются и контролируются. Мы ведем журналы доступа, которые регулярно анализируются для выявления подозрительной активности или нарушений политики безопасности.
4. Безопасность инфраструктуры
4.1 Защита сети
Наша сетевая инфраструктура защищена многоуровневой системой безопасности:
Межсетевые экраны: Использование современных межсетевых экранов для фильтрации сетевого трафика и блокировки несанкционированного доступа.
Сегментация сети: Разделение сети на изолированные сегменты для ограничения распространения потенциальных угроз.
Системы обнаружения вторжений: Развертывание систем мониторинга для выявления и предотвращения попыток несанкционированного доступа.
Защита от DDoS-атак: Применение технологий защиты от распределенных атак типа отказ в обслуживании.
4.2 Безопасность серверов и приложений
Все серверы и приложения регулярно обновляются с установкой последних исправлений безопасности. Мы проводим регулярное сканирование уязвимостей и тестирование на проникновение для выявления и устранения потенциальных слабых мест.
Серверы размещены в защищенных центрах обработки данных с физическим контролем доступа, системами видеонаблюдения, климат-контролем и резервным электропитанием.
4.3 Разработка безопасного программного обеспечения
Мы следуем принципам безопасной разработки программного обеспечения на всех этапах жизненного цикла:
Проверка кода: Все изменения кода проходят обязательную проверку на наличие уязвимостей безопасности.
Тестирование безопасности: Регулярное проведение автоматизированного и ручного тестирования безопасности приложений.
Безопасные библиотеки: Использование проверенных библиотек и компонентов, регулярное обновление зависимостей.
5. Защита от угроз
5.1 Антивирусная защита
На всех рабочих станциях и серверах установлены современные антивирусные решения с автоматическим обновлением сигнатур. Проводится регулярное сканирование всех файлов и систем на наличие вредоносного программного обеспечения.
5.2 Защита электронной почты
Мы применяем многоуровневую защиту электронной почты:
Фильтрация спама: Автоматическая фильтрация нежелательной корреспонденции.
Защита от фишинга: Обнаружение и блокировка попыток фишинговых атак.
Сканирование вложений: Проверка всех вложений на наличие вредоносного кода перед доставкой получателю.
5.3 Управление уязвимостями
Мы поддерживаем активную программу управления уязвимостями, включающую регулярное сканирование систем, оценку рисков и приоритизацию устранения обнаруженных проблем.
Критические уязвимости устраняются в экстренном порядке, остальные — в соответствии с оценкой риска и планом обновлений.
6. Реагирование на инциденты
6.1 План реагирования на инциденты безопасности
У нас разработан и регулярно тестируется план реагирования на инциденты безопасности, включающий:
Обнаружение: Системы мониторинга и оповещения для своевременного выявления инцидентов.
Анализ: Процедуры оценки серьезности инцидента и определения затронутых систем.
Сдерживание: Немедленные действия по ограничению распространения инцидента.
Устранение: Меры по ликвидации причины инцидента и восстановлению нормальной работы.
Восстановление: Процедуры возврата систем к нормальной работе с минимальным временем простоя.
6.2 Уведомление об инцидентах
В случае инцидента безопасности, который может затронуть данные клиентов, мы обязуемся своевременно уведомить затронутых пользователей и предоставить информацию о характере инцидента, предпринятых мерах и рекомендациях по защите.
6.3 Анализ после инцидента
После каждого значимого инцидента безопасности проводится детальный анализ для выявления коренных причин, оценки эффективности реагирования и внедрения улучшений в процессы и системы безопасности.
7. Непрерывность бизнеса и восстановление
7.1 План обеспечения непрерывности
Мы поддерживаем план обеспечения непрерывности бизнеса для минимизации влияния сбоев на предоставление услуг. План включает процедуры восстановления критических систем и данных в случае аварий, стихийных бедствий или других чрезвычайных ситуаций.
7.2 Резервное копирование
Регулярное создание резервных копий всех критических данных с хранением в географически распределенных локациях. Резервные копии проходят регулярное тестирование для подтверждения возможности успешного восстановления.
7.3 Отказоустойчивость
Критические системы спроектированы с учетом отказоустойчивости и включают резервные компоненты для обеспечения непрерывности работы в случае сбоя отдельных элементов.
8. Безопасность персонала
8.1 Проверка персонала
Все сотрудники, имеющие доступ к конфиденциальной информации, проходят проверку при приеме на работу в соответствии с применимым законодательством.
8.2 Обучение и осведомленность
Мы проводим регулярное обучение сотрудников вопросам информационной безопасности, включая:
Базовую подготовку: Все новые сотрудники проходят обучение основам информационной безопасности.
Специализированное обучение: Сотрудники, работающие с критическими системами, получают дополнительную подготовку.
Регулярные напоминания: Периодические тренинги и информационные рассылки для поддержания высокого уровня осведомленности.
8.3 Соглашения о конфиденциальности
Все сотрудники и подрядчики подписывают соглашения о конфиденциальности, обязывающие их защищать информацию компании и клиентов.
9. Безопасность третьих сторон
9.1 Оценка поставщиков
Перед началом сотрудничества все поставщики и партнеры, имеющие доступ к нашим системам или данным клиентов, проходят оценку безопасности. Мы проверяем их политики безопасности, сертификаты и практики защиты данных.
9.2 Договорные обязательства
Все договоры с третьими сторонами включают положения о безопасности данных, обязательства по соблюдению наших стандартов безопасности и право проведения аудита соблюдения требований.
9.3 Мониторинг третьих сторон
Мы регулярно проверяем соблюдение поставщиками требований безопасности и оцениваем риски, связанные с их деятельностью.
10. Соответствие и аудит
10.1 Соблюдение стандартов
Мы стремимся соответствовать общепризнанным стандартам и лучшим практикам информационной безопасности. Наши процессы и системы регулярно проверяются на соответствие требованиям безопасности.
10.2 Внутренний аудит
Регулярно проводятся внутренние аудиты систем безопасности для проверки соблюдения политик, выявления областей для улучшения и подтверждения эффективности контролей безопасности.
10.3 Внешняя оценка
Периодически привлекаются независимые эксперты для проведения оценки безопасности, тестирования на проникновение и аудита соответствия стандартам.
11. Физическая безопасность
11.1 Защита помещений
Офисные помещения и центры обработки данных защищены системами контроля доступа, видеонаблюдением и охраной. Доступ в помещения с критическим оборудованием строго ограничен и регистрируется.
11.2 Защита оборудования
Все оборудование, содержащее конфиденциальные данные, физически защищено от несанкционированного доступа. При списании оборудования проводится безопасное уничтожение данных в соответствии с установленными процедурами.
11.3 Чистые рабочие столы и экраны
Мы применяем политику чистых рабочих столов, требующую от сотрудников надежно хранить конфиденциальные материалы, когда они не используются, и блокировать экраны компьютеров при отсутствии.
12. Конфиденциальность и защита данных
12.1 Принципы обработки данных
Мы обрабатываем данные клиентов в соответствии с принципами минимизации данных, ограничения целей и прозрачности. Подробная информация о наших практиках обработки данных содержится в нашей Политике конфиденциальности.
12.2 Права субъектов данных
Мы уважаем права пользователей в отношении их персональных данных и предоставляем механизмы для осуществления этих прав, включая доступ, исправление, удаление и перенос данных.
12.3 Хранение данных
Данные хранятся только в течение периода, необходимого для достижения целей обработки или выполнения юридических обязательств. По истечении срока хранения данные безопасно удаляются.
13. Безопасная разработка и развертывание
13.1 Жизненный цикл разработки
Безопасность интегрирована во все этапы жизненного цикла разработки программного обеспечения — от проектирования до развертывания и эксплуатации.
13.2 Управление изменениями
Все изменения в системах проходят через формальный процесс управления изменениями, включающий оценку влияния на безопасность, тестирование и утверждение перед внедрением в производственную среду.
13.3 Разделение сред
Мы поддерживаем отдельные среды для разработки, тестирования и производства. Производственные данные не используются в непроизводственных средах без соответствующей защиты.
14. Мониторинг и регистрация
14.1 Ведение журналов
Все критические системы ведут детальные журналы событий безопасности, включая попытки доступа, изменения конфигурации и административные действия. Журналы защищены от несанкционированного изменения и удаления.
14.2 Анализ журналов
Журналы регулярно анализируются автоматизированными системами и специалистами по безопасности для выявления подозрительной активности, аномалий и потенциальных инцидентов безопасности.
14.3 Хранение журналов
Журналы безопасности хранятся в течение установленного периода для поддержки расследования инцидентов, аудита и выполнения юридических требований.
15. Обновление политики
Настоящая Политика информационной безопасности регулярно пересматривается и обновляется для отражения изменений в угрозах, технологиях, бизнес-процессах и нормативных требованиях.
Мы уведомляем пользователей о существенных изменениях в политике безопасности и публикуем обновленную версию на нашем веб-сайте с указанием даты последнего обновления.
16. Контактная информация
Если у вас есть вопросы о нашей Политике информационной безопасности или вы хотите сообщить о проблеме безопасности, пожалуйста, свяжитесь с нами:
Адрес: 913 N Flood Ave, Norman, OK 73069, United States
Телефон: +1 216 367 2406
Электронная почта: [email protected]
Мы серьезно относимся ко всем сообщениям о проблемах безопасности и обязуемся своевременно реагировать на них.
Компания Devgoconsortiumai оставляет за собой право изменять настоящую Политику информационной безопасности в любое время. Продолжение использования наших услуг после внесения изменений означает согласие с обновленной политикой.