Останнє оновлення:
Ця сторінка описує технічні та організаційні заходи (TOMs), які ми застосовуємо для захисту ваших даних.
1. Огляд і принципи
- Безпека за замовчуванням і мінімізація даних.
- Принцип найменших привілеїв і сегментація середовищ.
- Прозорість: публікуємо субпроцесорів і DPA.
2. Шифрування
- У транзиті: TLS для всіх з’єднань (HTTPS, сучасні шифросути).
- При зберіганні: шифрування на рівні платформи для сховищ і бекапів, де застосовно.
- Керування ключами: централізоване, з обмеженням доступу й аудиту.
3. Керування доступами та автентифікація
- Ролі та права з принципом найменших привілеїв (RBAC).
- 2FA для облікових записів адміністраторів; можливість увімкнути 2FA для клієнтів.
- Сесії з обмеженим строком дії, захист від фіксації сесій, перевидача токенів.
4. Сегментація та ізоляція даних
- Політики RLS/ACL у БД.
- Логічна ізоляція даних орендарів (multi‑tenant) з перевірками доступу на рівні запиту.
- Окремі середовища: production / staging / development.
5. Інфраструктура й мережа
- Хостинг/БД/Auth/Storage на Supabase у регіоні
eu-central-1. - CDN/DNS/WAF через Cloudflare; захист від L7‑атак і rate limiting.
- Сегментація мережі, обмеження інгрес/еґрес, мінімальні відкриті порти.
6. Безпека застосунку
- Профілактика XSS/CSRF/SQLi: фреймворк‑санітизація, підготовлені запити, CSRF‑токени.
- Безпечні заголовки (CSP, HSTS, X‑Frame‑Options, X‑Content‑Type‑Options).
- Валідація вводу та обмеження розміру/типів файлів для завантажень.
7. Залежності та секрети
- Керування секретами у сховищі постачальника з ротацією доступів.
- Автоматичний моніторинг CVE у залежностях, оновлення за графіком.
- Код‑рев’ю, контроль змін (CI/CD), підпис артефактів, immutable деплой.
8. Резервне копіювання та відновлення
- Регулярні бекапи БД з перевіркою відновлення.
- Ціль RPO/RTO визначається вимогами сервісу; доступ до бекапів обмежений.
- Тестові відновлення проводяться періодично.
9. Журналювання й моніторинг
- Журнали доступів, системні події, аудит адміністративних дій.
- Алерти за підозрілою активністю, дашборди стану.
- Зберігання логів зазвичай до 90 днів (або довше для розслідувань).
10. Управління вразливостями і тестування
- Періодичні скани вразливостей інфраструктури та застосунку.
- Unit/Integration/E2E‑тести критичних шляхів.
- Опційні незалежні пентести для випусків з високим впливом.
11. Реагування на інциденти
- Формалізована процедура реагування: ідентифікація → стримування → усунення → відновлення → пост‑морте́м.
- Повідомлення зацікавлених сторін без невиправданих затримок, якщо інцидент вплинув на конфіденційність/цілісність/доступність даних.
- Канал для повідомлень: sec@cowculator.app.
12. Ретенція й видалення
- Дані акаунта: поки акаунт активний + 30 днів для технічного завершення процесів.
- Логи: зазвичай 90 днів (за потреби довше для інцидент‑аналізу).
- Заявки у калькуляторах: за налаштуваннями клієнта або 365 днів за замовчуванням.
13. Субпроцесори та передавання
Наш актуальний перелік субпроцесорів доступний на сторінці /subprocessors. Для міжнародних передавань застосовуємо відповідні гарантії (зокрема, SCC), деталі описані у DPA і Політиці конфіденційності.
14. Пристрої та персонал
- Корпоративні пристрої з повнодисковим шифруванням та екрануванням доступів.
- Обов’язкове 2FA для критичних сервісів; регулярний перегляд доступів.
- Навчання з безпеки та фішингові симуляції для команди.
15. Відповідальне розкриття
Ми вітаємо звіти про потенційні вразливості. Будь ласка, повідомляйте на sec@cowculator.app з достатніми технічними деталями для відтворення. Ми підтвердимо отримання, оцінимо вплив і дамо відповідь щодо термінів виправлення.
16. Контакти та ресурси
- Приватність: privacy@cowculator.app
- Безпека/інциденти: sec@cowculator.app
- Юридичні питання: legal@cowculator.app
