Безопасность

Настоящий раздел описывает организационные и технические меры, применяемые для защиты данных, сервисов и инфраструктуры AnviLink.

Меры безопасности могут различаться в зависимости от конкретного сервиса, его назначения, используемой инфраструктуры и характера обрабатываемых данных.

Сервисы

Сайт AnviLink

Адрес: anvilink.ru

Сайт AnviLink используется для предоставления информации о сервисах, публикации юридических документов, контактной информации и иных материалов.

Для защиты сайта применяются меры по обеспечению конфиденциальности, целостности и доступности информации, включая защиту каналов передачи данных и мониторинг работоспособности.

AnviLink Docs

Адрес: docs.anvilink.ru

Портал документации предназначен для публикации технической, пользовательской и юридической документации сервисов AnviLink.

Для обеспечения безопасности используются механизмы контроля доступа к административным функциям, защита соединений и мониторинг технического состояния платформы.

AnviLink Flow

Адрес: webhook.anvilink.ru

AnviLink Flow обеспечивает автоматизированный обмен данными между информационными системами посредством вебхуков, API и интеграций.

Особое внимание уделяется защите данных, передаваемых между системами, контролю доступа к интеграциям, журналированию событий и обеспечению устойчивости инфраструктуры.

AnviLink Support

Адрес: apps.anvilink.ru/anvilink_support

AnviLink Support предназначен для обработки обращений пользователей, организации онлайн-коммуникаций и взаимодействия через виджеты поддержки.

Для обеспечения безопасности сервиса применяются меры по защите сообщений, ограничению доступа к данным обращений и мониторингу действий пользователей и администраторов.

Подход к безопасности

Оператор применяет разумные организационные и технические меры для защиты данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Безопасность обеспечивается с учетом характера обрабатываемых данных, уровня потенциальных рисков, технических возможностей и требований применимого законодательства.

Пользователи обязуются самостоятельно соблюдать разумные меры безопасности, включая:

• использование надежных и уникальных паролей;
• обеспечение конфиденциальности учетных данных;
• ограничение доступа к своим аккаунтам;
• своевременную настройку прав доступа в подключаемых системах и интеграциях;
• использование актуального программного обеспечения;
• незамедлительное уведомление Оператора о подозрениях на компрометацию учетной записи или данных.

Технические меры защиты

В зависимости от сервиса и характера обработки данных могут применяться следующие меры:

• использование защищенных соединений с применением TLS;
• разграничение и сегментация прав доступа;
• аутентификация пользователей и администраторов;
• мониторинг состояния сервисов и инфраструктуры;
• журналирование важных системных событий;
• резервное копирование данных;
• регулярное обновление программного обеспечения;
• устранение выявленных уязвимостей;
• контроль целостности инфраструктуры и сервисов.

Конкретный перечень мер может изменяться по мере развития сервисов и изменения угроз безопасности.

Управление доступом

Доступ к административным функциям и внутренним системам предоставляется только уполномоченным лицам.

При предоставлении доступа применяются следующие принципы:

• минимально необходимый уровень доступа;
• ограничение доступа по служебной необходимости;
• периодический пересмотр прав доступа;
• использование механизмов аутентификации и авторизации.

Действия администраторов и значимые системные события могут фиксироваться в журналах безопасности для обеспечения расследования инцидентов, предотвращения злоупотреблений и повышения надежности сервисов.

Резервное копирование и восстановление

Для повышения устойчивости сервисов могут использоваться механизмы резервного копирования.

Периодичность создания резервных копий, сроки их хранения и объем сохраняемых данных определяются техническими требованиями конкретного сервиса.

Наличие резервных копий не гарантирует возможность полного восстановления данных в каждом конкретном случае, однако используется как одна из мер обеспечения непрерывности работы сервисов.

Управление инцидентами безопасности

В случае выявления инцидента безопасности Оператор принимает разумные меры по:

• локализации инцидента;
• анализу причин возникновения;
• устранению последствий;
• восстановлению работоспособности сервисов;
• предотвращению повторного возникновения аналогичных событий.

Если инцидент способен затронуть интересы пользователей либо привести к рискам для данных, Оператор вправе уведомить затронутых пользователей по доступным каналам связи в разумный срок после подтверждения факта инцидента.

Сообщения об уязвимостях

Если вы обнаружили потенциальную уязвимость безопасности, ошибку конфигурации либо иной риск для сервисов AnviLink, вы можете направить описание проблемы на адрес:

office@anvilink.ru

Сообщение должно содержать максимально подробное описание обнаруженной проблемы, шаги воспроизведения и иную информацию, необходимую для проверки.

До получения письменного разрешения Оператора запрещается:

• публично раскрывать сведения об обнаруженной уязвимости;
• публиковать доказательства эксплуатации уязвимости;
• осуществлять действия, способные привести к нарушению конфиденциальности, целостности или доступности данных;
• получать доступ к данным третьих лиц;
• создавать избыточную нагрузку на инфраструктуру сервисов.

Оператор рассматривает добросовестные сообщения об уязвимостях и принимает разумные меры по их устранению.

Доступность сервисов и статус

Информация о состоянии сервисов, плановых работах и выявленных сбоях может публиковаться на странице статуса:

docs.anvilink.ru/status

Информация, размещаемая на странице статуса, носит исключительно информационный характер.

Если иное не согласовано сторонами отдельно в письменной форме, публикация данных о доступности сервисов, времени отклика, количестве инцидентов и иных показателях не является соглашением об уровне обслуживания (SLA) и не создает дополнительных обязательств Оператора.

Ограничение ответственности

Несмотря на применение разумных мер защиты, ни одна система передачи, хранения или обработки данных не может гарантировать абсолютную безопасность.

Пользователь осознает и принимает риски, связанные с использованием информационно-телекоммуникационных сетей, включая сеть Интернет, и обязуется самостоятельно принимать необходимые меры для защиты своих устройств, учетных записей и данных.