Подход к обеспечению безопасности
Мы применяем многоуровневые технические и организационные меры для защиты данных и обеспечения надёжной работы платформы учёта и анализа эпизодов. Ниже — ключевые элементы нашей политики безопасности и практик.
Общее
Безопасность — непрерывный процесс. Мы сочетаем современные технологии шифрования, принципы минимально необходимого доступа и формализованные процессы для сотрудников и подрядчиков, чтобы минимизировать риски несанкционированного доступа и утечек.
Технические меры
- Шифрование каналов: TLS 1.2+ для всех клиентских подключений и API.
- Шифрование данных: конфиденциальные пользовательские поля (персональные данные, медицинские записи) шифруются на уровне поля в БД или в файловом хранилище.
- Хранение секретов: управление секретами через безопасный хранилищe (vault / KMS), недоступное из публичной сети.
- Многофакторная аутентификация (MFA) — поддержка для аккаунтов с правами доступа и для админ-панели.
- Защита API: лимитирование запросов, контроль CORS, проверка токенов и аудита.
- Журналирование и целостность логов (audit logs) — все критичные операции логируются с невозможностью silent-изменения.
Организационные меры
- Политики доступа: принцип наименьших прав, ролевой доступ и регулярные ревью прав.
- Обязательные NDA и процедуры безопасности для сотрудников и подрядчиков.
- Регулярное обучение сотрудников по безопасности и обработке персональных данных.
- Контроль версий и защищённый CI/CD: проверки зависимостей, статический анализ и ограничение доступа к прод-окружению.
Реагирование на инциденты
У нас документирован план реагирования на инциденты: обнаружение, оценка, локализация, устранение и пост-инцидентный анализ. В случае утечки персональных данных мы следуем требованиям законодательства и уведомляем соответствующие органы и затронутых пользователей в сроки, предписанные нормами.
Сообщать об инцидентах и уязвимостях: support@epyra.ru.
Локализация и хранение данных
При обработке персональных данных граждан РФ мы соблюдаем требования локализации и хранения.
Управление доступом и шифрование
- Разделение привилегий: отдельные аккаунты для сервисов, операторов и разработчиков.
- Ключи шифрования регулярно ротацируются, доступ к KMS ограничен.
- Резервные копии шифруются и хранятся в изолированных хранилищах с документированной политикой доступа.
Аудиты и соответствие
Периодические внутренние и/или внешние аудиты безопасности, тестирование на проникновение и проверка соответствия регуляторным требованиям (включая требования по персональным данным и возможные требования медицинского законодательства при смене функционального позиционирования).
Рекомендации пользователям
- Используйте уникальные пароли и при возможности включайте MFA.
- Ограничьте доступ к экспорту и делитесь данными с врачами только если полностью доверяете получателю.
- При обнаружении подозрительной активности — сообщите в службу безопасности.
Юридические и организационные вопросы: support@epyra.ru
Связаться с нами