Политика информационной безопасности
1. Общие положения
1.1. Настоящий документ описывает организационные и технические меры, применяемые в SaaS-сервисе QUBIX CRM (далее - "Сервис") для защиты данных пользователей и обеспечения безопасной работы Сервиса. 1.2. Администратор Сервиса (далее - "Администратор"): ИП Попов Марк Антонович, ИНН 741115189398, ОГРНИП 323745600048337, email: hello@qubix-crm.ru. 1.3. Документ носит информационный характер и дополняет Пользовательское соглашение, Публичную оферту, Политику обработки персональных данных и DPA (поручение на обработку). В случае противоречий приоритет имеют: - Публичная оферта (оплата/возвраты); - Пользовательское соглашение (условия использования); - Политика обработки персональных данных и DPA (в части обработки ПД). 1.4. Термины: Данные - информация, размещаемая/создаваемая пользователем в Сервисе (включая файлы и документы). Персональные данные (ПД) - данные, относящиеся к определяемому физическому лицу. Портал - рабочее пространство пользователя в Сервисе. Инцидент безопасности - событие, которое может привести к несанкционированному доступу, утечке, изменению или утрате данных. 1.5. Абсолютная защищенность в сети Интернет не может быть гарантирована. Администратор применяет разумные и соразмерные меры для снижения рисков несанкционированного доступа, утечки и потери данных.
2. Принципы защиты
2.1. Минимально необходимый доступ (least privilege): доступ к данным предоставляется только в объеме, необходимом для работы Сервиса и поддержки пользователей. 2.2. Разграничение ролей и ответственности: доступ пользователей внутри Портала определяется ролями/правами; доступ сотрудников/подрядчиков Администратора предоставляется только при наличии производственной необходимости. 2.3. Минимизация и целевое использование: данные используются для предоставления функционала, обеспечения безопасности и исполнения обязательств, в соответствии с документами Сервиса и законодательством РФ.
3. Передача данных и безопасность соединения
3.1. Доступ к Сервису осуществляется по защищенному протоколу HTTPS. 3.2. Где применимо, Администратор использует меры, направленные на принудительное использование защищенного соединения (в том числе редирект с HTTP на HTTPS) и защиту передачи данных между устройством пользователя и Сервисом.
4. Аутентификация и управление доступом
4.1. Для доступа к Аккаунту используются механизмы аутентификации (логин/пароль), а также дополнительные методы защиты при наличии в Сервисе соответствующего функционала. 4.2. Может поддерживаться 2FA (одноразовые коды) и/или современные способы входа (например, passkeys) - в зависимости от доступного функционала и настроек пользователя. 4.3. Внутри Портала применяется разграничение прав доступа (роли и разрешения), которое определяет видимость данных и доступные действия. 4.4. Пользователь обязан обеспечивать безопасность учетных данных, в частности: - использовать надежные пароли; - не передавать доступ третьим лицам; - по возможности включать 2FA; - своевременно отзывать доступ сотрудников/подрядчиков при прекращении полномочий.
5. Защита учетных данных и сессий
5.1. Пароли и иные учетные данные обрабатываются таким образом, чтобы снизить риск компрометации; пароли не хранятся в открытом виде. 5.2. Для снижения рисков несанкционированного доступа Администратор применяет технические меры защиты сессий и авторизации (например, ограничения по срокам жизни сессии/токенов, флаги безопасности cookies и иные меры, применимые к архитектуре Сервиса). 5.3. Администратор вправе применять дополнительные проверки и ограничения (например, при подозрительной активности) в целях защиты пользователей и Сервиса.
6. Логирование и мониторинг
6.1. В Сервисе может фиксироваться информация о событиях безопасности и действиях пользователей (например, успешные входы, попытки доступа, изменения настроек) в объеме, необходимом для: - обеспечения безопасности; - расследования инцидентов; - предотвращения злоупотреблений; - соблюдения требований законодательства РФ. 6.2. Доступ к журналам и данным мониторинга ограничен и предоставляется только уполномоченным лицам.
7. Защита инфраструктуры
7.1. Администратор применяет меры защиты инфраструктуры и данных, включая (при наличии и применимости): - ограничение доступа к базам данных и средам исполнения; - сетевые ограничения/сегментацию (где применимо); - контроль доступа на уровне приложения и Портала; - обновление компонентов и устранение критичных уязвимостей по мере выявления. 7.2. Доступ сотрудников/подрядчиков к данным предоставляется только при необходимости и в пределах их функций, с учетом принципов минимально необходимого доступа.
8. Резервное копирование и восстановление
8.1. Механизмы резервного копирования и восстановления могут применяться для обеспечения устойчивости и работоспособности Сервиса. Конкретные технические реализации могут изменяться. 8.2. Удаление данных по запросу пользователя или при удалении Портала означает удаление данных из рабочей базы Сервиса. Технические резервные копии (если используются) могут перезаписываться в рамках технологического цикла. До перезаписи такие копии не используются для операционной обработки данных.
9. Локализация и трансграничная передача
9.1. Обработка и хранение персональных данных осуществляется с использованием баз данных, расположенных на территории Российской Федерации, если иное прямо не указано в документах Сервиса и/или не требуется по закону. 9.2. Трансграничная передача персональных данных не осуществляется, если иное не предусмотрено законодательством РФ или не будет прямо указано в документах Сервиса.
10. Привлечение технических сервисов (субпроцессоры)
10.1. Для функционирования Сервиса Администратор может привлекать технические сервисы и подрядчиков (субпроцессоров), которым может предоставляться доступ к данным в объеме, необходимом для оказания услуг (например, отправка уведомлений, проверка реквизитов, прием платежей). 10.2. Ключевые категории таких сервисов: - SMTP-инфраструктура доставки email; - сервисы проверки/автозаполнения реквизитов (например, DaData); - платежная организация/банк (например, Банк Точка) - для проведения оплаты. При этом Администратор не получает и не хранит полные данные банковских карт. 10.3. Привлечение субпроцессоров осуществляется при условии соблюдения ими требований конфиденциальности и защиты данных в пределах их роли.
11. Инциденты безопасности и уведомления
11.1. При выявлении существенного инцидента безопасности Администратор предпринимает разумные меры по его локализации и снижению негативных последствий. 11.2. Уведомление пользователей об инциденте может осуществляться через email и/или интерфейс Сервиса в разумный срок, если это необходимо для защиты пользователей, соблюдения закона или минимизации рисков.
12. Сообщения об уязвимостях
12.1. Если вы обнаружили потенциальную уязвимость или подозреваете инцидент безопасности, сообщите: hello@qubix-crm.ru. 12.2. В обращении рекомендуется указать описание, шаги воспроизведения (если применимо), скриншоты/логи (если есть). 12.3. Администратор приветствует ответственное раскрытие уязвимостей. Просьба не совершать действий, приводящих к нарушению работоспособности Сервиса, доступу к данным третьих лиц или их изменению/удалению.
13. Изменение документа
13.1. Администратор вправе обновлять настоящий документ. Актуальная версия доступна по адресу: https://qubix-crm.ru/security
