Политика безопасности
Уведомление о переводе
⚠️ ВАЖНОЕ УВЕДОМЛЕНИЕ: Этот документ переведен с турецкого языка. В случае расхождений или противоречий между данным переводом и оригинальной турецкой версией, турецкая версия имеет преимущественную силу. Оригинальная турецкая версия доступна по адресу: https://evaste.co/tr/legal/security-policy
1. Введение и обязательства
1.1. Наши обязательства по безопасности
В Evaste мы считаем безопасность данных наших клиентов и пользователей нашим высшим приоритетом. Как платформа для управления конфиденциальностью данных и согласием, мы осознаём нашу ответственность быть примером в вопросах безопасности.
1.2. Принципы безопасности
Наша стратегия безопасности основана на следующих фундаментальных принципах:
(а) Глубокая защита (Defense in Depth) Мы обеспечиваем защиту через несколько уровней безопасности.
(б) Принцип наименьших привилегий (Least Privilege) Пользователям и системам предоставляются только минимально необходимые разрешения.
(в) Безопасность по замыслу (Security by Design) Безопасность интегрирована в дизайн всех систем и процессов с самого начала.
(г) Архитектура нулевого доверия (Zero Trust) Применяется принцип "Никогда не доверяй, всегда проверяй".
(д) Непрерывное улучшение Наши меры безопасности постоянно пересматриваются и обновляются.
1.3. Область применения
Настоящая политика безопасности охватывает:
• Инфраструктуру платформы Evaste • Данные клиентов • Данные сотрудников • Бизнес-процессы • Интеграции с третьими сторонами
2. Технические меры безопасности
2.1. Шифрование данных
(а) Шифрование при передаче • Протокол TLS 1.3 (минимум TLS 1.2) • HSTS (HTTP Strict Transport Security) включен • Поддержка Perfect Forward Secrecy (PFS) • Сильные наборы шифров
(б) Шифрование при хранении • Алгоритм шифрования AES-256 • Шифрование на уровне диска • Шифрование на уровне базы данных • Шифрование резервных копий
(в) Хранение паролей и конфиденциальных данных • Пароли: хеширование с bcrypt или Argon2 • API-ключи: безопасные системы хранилищ • Управление криптографическими ключами: использование HSM
2.2. Сетевая безопасность
(а) Межсетевой экран • Межсетевой экран уровня приложений (WAF) • Сетевой межсетевой экран • Блокировка всего трафика по умолчанию (deny-all)
(б) Обнаружение и предотвращение вторжений • Системы IDS/IPS • Мониторинг угроз в реальном времени • Обнаружение аномалий
(в) Защита от DDoS • Защита CDN Cloudflare или аналогичная • Анализ и фильтрация трафика • Ограничение скорости (Rate Limiting)
(г) Сегментация сети • Разделение производственной и тестовой сред • Изоляция серверов баз данных • VLAN и группы безопасности
2.3. Безопасность приложений
(а) Безопасный жизненный цикл разработки ПО (SSDLC) • Определение требований безопасности • Моделирование угроз • Безопасная проверка кода • Тестирование безопасности
(б) Защита OWASP Top 10 • Предотвращение SQL-инъекций • Защита от XSS (Cross-Site Scripting) • Защита от CSRF (Cross-Site Request Forgery) • Безопасная аутентификация • Защита конфиденциальных данных
(в) Управление зависимостями • Регулярные обновления зависимостей • Сканирование уязвимостей (Snyk, Dependabot) • Безопасные источники зависимостей
(г) Безопасность API • Аутентификация OAuth 2.0 / JWT • Ограничение скорости • Валидация входных данных • Версионирование API
2.4. Безопасность баз данных
• Параметризованные запросы (предотвращение SQL-инъекций) • Контроль доступа и авторизация • Мониторинг активности базы данных • Зашифрованные соединения • Регулярные резервные копии и тесты восстановления
2.5. Безопасность контейнеров и облака
(а) Безопасность контейнеров • Сканирование образов (vulnerability scanning) • Безопасные базовые образы • Безопасность во время выполнения • Управление секретами
(б) Облачная безопасность • Политики IAM • Изоляция ресурсов • Зашифрованное хранилище • Группы безопасности и NACL
3. Организационные меры безопасности
3.1. Управление безопасностью
(а) Ответственность за безопасность • Ответственность на уровне руководства • Команда безопасности и обязанности • Межведомственная координация
(б) Политики и процедуры • Письменные политики безопасности • Регулярные обновления политик • Аудиты соответствия политикам
3.2. Управление рисками
(а) Оценка рисков • Ежегодная оценка рисков • Инвентаризация активов • Анализ угроз и уязвимостей • Планы снижения рисков
(б) Оценка воздействия на защиту данных (DPIA) • DPIA для новых проектов • Оценка деятельности по обработке высокого риска • Меры по снижению рисков
3.3. Управление инцидентами
(а) Определение инцидентов безопасности • Классификация: критический, высокий, средний, низкий • Категории инцидентов • Процедуры эскалации
(б) Процесс реагирования • Обнаружение и верификация инцидентов • Сдерживание (containment) • Устранение (eradication) • Восстановление (recovery) • Извлечённые уроки (lessons learned)
3.4. Управление изменениями
• Процедура запроса на изменение • Оценка рисков и воздействия • Процессы тестирования и утверждения • Планы отката
4. Политики контроля доступа
4.1. Аутентификация
(а) Политика паролей • Минимум 12 символов • Требуются заглавные/строчные буквы, цифры и специальные символы • Смена пароля каждые 90 дней (корпоративные аккаунты) • Запрет повторного использования последних 12 паролей • Защита от перебора (блокировка аккаунта)
(б) Многофакторная аутентификация (MFA) • Обязательная MFA для всех аккаунтов администраторов • Поддержка TOTP (Time-based One-Time Password) • Варианты верификации через SMS и email • Поддержка аппаратных ключей безопасности (FIDO2)
(в) Единый вход (SSO) • Поддержка SAML 2.0 • Поддержка OAuth 2.0 / OpenID Connect • Интеграция с корпоративными провайдерами идентификации
4.2. Авторизация
(а) Управление доступом на основе ролей (RBAC) • Предопределённые роли • Возможность создания пользовательских ролей • Принцип наименьших привилегий • Регулярные проверки разрешений
| Роль | Разрешения |
|---|---|
| Просмотр | Доступ только для чтения |
| Редактор | Чтение и редактирование |
| Администратор | Полные права администрирования |
| Суперадмин | Разрешения на уровне платформы |
4.3. Управление сессиями
• Тайм-аут сессии (30 минут неактивности) • Ограничение одновременных сессий • Безопасное завершение сессии • Защита от перехвата сессии
4.4. Мониторинг доступа
• Логирование всех попыток доступа • Мониторинг неудачных попыток входа • Обнаружение аномальных паттернов доступа • Регулярные отчёты о доступе
5. Процедуры резервного копирования
5.1. Стратегия резервного копирования
(а) Типы резервного копирования • Полное резервное копирование (еженедельно) • Инкрементное резервное копирование (ежедневно) • Резервное копирование журналов транзакций (непрерывно)
| Тип данных | Частота | Срок хранения |
|---|---|---|
| База данных | Ежедневно | 30 дней |
| Файловые системы | Ежедневно | 30 дней |
| Конфигурации | При изменении | 90 дней |
| Лог-файлы | Ежедневно | 90 дней |
5.2. Безопасность резервных копий
• Резервные копии зашифрованы AES-256 • Хранение в географически разделённых локациях • Контроль доступа к резервным копиям • Проверка целостности резервных копий (контрольная сумма)
5.3. Процедуры восстановления
• Регулярные тесты восстановления (ежемесячно) • Документированные процедуры восстановления • RTO (Recovery Time Objective): 4 часа • RPO (Recovery Point Objective): 1 час
6. Уведомление о нарушениях безопасности
6.1. Обнаружение и оценка нарушений
При обнаружении нарушения безопасности:
1. Верификация инцидента и определение масштаба 2. Идентификация затронутых систем и данных 3. Оценка уровня риска 4. Реализация мер по сдерживанию
6.2. Процесс внутреннего уведомления
| Срок | Действие |
|---|---|
| Первый час | Уведомление команды безопасности |
| Первые 4 часа | Уведомление руководства |
| Первые 24 часа | Оценка воздействия и план реагирования |
6.3. Обязательства по внешнему уведомлению
(а) Турецкий орган по защите данных (KVKK) • Уведомление в кратчайшие сроки при нарушениях персональных данных • Заполнение формы о нарушении • Отчёт о принятых мерах
(б) В рамках GDPR (правило 72 часов) • Уведомление компетентного органа по защите данных в течение 72 часов • Уведомление затронутых лиц при высоком риске • Ведение реестра нарушений
(в) Уведомление затронутых пользователей • Немедленное уведомление при высоком риске • Использование ясного и понятного языка • Рекомендации по защитным мерам
6.4. Содержание уведомления о нарушении
Уведомление содержит следующую информацию:
• Характер и масштаб нарушения • Категории затронутых данных • Количество затронутых лиц (оценка) • Возможные последствия • Принятые и рекомендуемые меры • Контактная информация
6.5. Корректирующие действия
После нарушения:
• Анализ корневых причин • Реализация корректирующих мер • Обновление политик и процедур • Обучение персонала (при необходимости) • Усиление мониторинга и аудита
7. Аудиты и тесты безопасности
7.1. Сканирование уязвимостей
(а) Автоматические сканирования • Еженедельное сканирование инфраструктуры • Ежедневное сканирование приложений • Непрерывное сканирование зависимостей
(б) Используемые инструменты • Nessus / Qualys (инфраструктура) • OWASP ZAP / Burp Suite (приложение) • Snyk / Dependabot (зависимости)
7.2. Тесты на проникновение
• Ежегодный комплексный тест на проникновение • Дополнительные тесты после крупных изменений • Проведение независимыми компаниями по безопасности • Устранение находок в течение 30 дней
7.3. Упражнения Red Team
• Ежегодная оценка Red Team • Реалистичные сценарии атак • Тесты социальной инженерии • Тесты физической безопасности
7.4. Проверка кода
• Peer review для всех изменений кода • Проверка кода с фокусом на безопасность • Статический анализ кода (SAST) • Динамическое тестирование безопасности приложений (DAST)
7.5. Управление находками
| Критичность | Срок устранения |
|---|---|
| Критическая | 24 часа |
| Высокая | 7 дней |
| Средняя | 30 дней |
| Низкая | 90 дней |
8. Обучение сотрудников
8.1. Тренинг по осведомлённости о безопасности
(а) Вводное обучение • Политики безопасности • Допустимое использование • Основы защиты данных • Сообщение об инцидентах
(б) Ежегодное обязательное обучение • Актуальные угрозы и тренды • Осведомлённость о социальной инженерии • Распознавание фишинга • Безопасные рабочие практики
8.2. Ролевое обучение
| Роль | Дополнительные темы обучения |
|---|---|
| Разработчики | Безопасное программирование, OWASP, код-ревью |
| DevOps | Облачная безопасность, безопасность контейнеров |
| Руководители | Управление рисками, соответствие |
| Поддержка | Защита данных, конфиденциальность клиентов |
8.3. Симуляционные упражнения
• Ежемесячные симуляции фишинга • Учения по инцидентам безопасности • Настольные упражнения (tabletop exercises)
9. Физическая безопасность
9.1. Безопасность дата-центра
Инфраструктура Evaste размещена в дата-центрах со следующими мерами физической безопасности:
• Охрана 24/7 • Биометрический контроль доступа • Видеонаблюдение CCTV • Системы пожаротушения • ИБП и генераторы • Мониторинг окружающей среды (температура, влажность)
9.2. Офисная безопасность
• Системы доступа по картам • Процедуры регистрации посетителей • Политика чистого стола • Безопасность устройств
10. Непрерывность бизнеса и восстановление после сбоев
10.1. План непрерывности бизнеса (BCP)
• Определение критических бизнес-функций • Альтернативные рабочие процедуры • Планы коммуникации • Регулярное тестирование плана
10.2. План восстановления после сбоев (DRP)
(а) Цели восстановления • RTO (Recovery Time Objective): 4 часа • RPO (Recovery Point Objective): 1 час
(б) Механизмы переключения • Активно-пассивная репликация базы данных • Географически распределённая инфраструктура • Автоматическое переключение • Балансировка нагрузки
10.3. Тесты и учения
• Ежегодный тест DR • Симуляции переключения • Тесты восстановления из резервных копий
11. Безопасность третьих сторон
11.1. Оценка поставщиков
При выборе поставщиков услуг третьих сторон:
• Сертификаты безопасности (SOC 2, ISO 27001) • Соответствие требованиям конфиденциальности (GDPR, KVKK) • Проверка политик безопасности • Проверка рекомендаций
11.2. Договорные требования
Договоры с третьими сторонами включают:
• Соглашение об обработке данных (DPA) • Обязательства по конфиденциальности • Стандарты безопасности • Обязательства по уведомлению о нарушениях • Права на аудит
11.3. Непрерывный мониторинг
• Регулярные оценки безопасности • Отслеживание продления сертификатов • Мониторинг уведомлений об инцидентах
12. Соответствие и сертификации
12.1. Рамки соответствия
Evaste соответствует следующим нормативным актам:
(а) Защита данных • KVKK Закон № 6698 (Турция) • GDPR (Европейский союз) • CCPA (Калифорния, США)
(б) Информационная безопасность • ISO 27001 (система управления информационной безопасностью) • SOC 2 Type II (поставщики инфраструктуры)
12.2. Сертификации и аудиты
| Сертификация/Аудит | Область | Частота |
|---|---|---|
| ISO 27001 | Управление информационной безопасностью | Ежегодно |
| SOC 2 Type II | Контроли безопасности | Ежегодно |
| Тест на проникновение | Приложение и инфраструктура | Ежегодно |
| Сканирование уязвимостей | Все системы | Непрерывно |
12.3. Отчёты о соответствии
По запросу нашим клиентам могут быть предоставлены следующие документы:
• Краткое изложение отчёта SOC 2 Type II • Краткое изложение теста на проникновение • Заявление о соответствии требованиям безопасности
13. Контактная информация
13.1. Команда безопасности
Для вопросов и сообщений по безопасности:
Email: security@evaste.co Экстренная связь: +90 532 494 42 64
13.2. Сообщение об уязвимостях
Если вы обнаружили уязвимость:
Email: security@evaste.co Тема: "Security Vulnerability Report"
Просим действовать в соответствии с принципом ответственного раскрытия (responsible disclosure). Достоверные сообщения об уязвимостях вознаграждаются.
13.3. Общий контакт
Evaste (Group Taiga) Адрес: Левент, Стамбул, Турция Email: info@evaste.co Веб: https://evaste.co
Настоящая Политика безопасности вступила в силу 12 января 2026 года.
Мы постоянно пересматриваем и улучшаем наши процессы безопасности. Изменения политики будут опубликованы с обновлением даты "Последнее обновление".
Политика безопасности
Уведомление о переводе
⚠️ ВАЖНОЕ УВЕДОМЛЕНИЕ: Этот документ переведен с турецкого языка. В случае расхождений или противоречий между данным переводом и оригинальной турецкой версией, турецкая версия имеет преимущественную силу. Оригинальная турецкая версия доступна по адресу: https://evaste.co/tr/legal/security-policy
1. Введение и обязательства
1.1. Наши обязательства по безопасности
В Evaste мы считаем безопасность данных наших клиентов и пользователей нашим высшим приоритетом. Как платформа для управления конфиденциальностью данных и согласием, мы осознаём нашу ответственность быть примером в вопросах безопасности.
1.2. Принципы безопасности
Наша стратегия безопасности основана на следующих фундаментальных принципах:
(а) Глубокая защита (Defense in Depth) Мы обеспечиваем защиту через несколько уровней безопасности.
(б) Принцип наименьших привилегий (Least Privilege) Пользователям и системам предоставляются только минимально необходимые разрешения.
(в) Безопасность по замыслу (Security by Design) Безопасность интегрирована в дизайн всех систем и процессов с самого начала.
(г) Архитектура нулевого доверия (Zero Trust) Применяется принцип "Никогда не доверяй, всегда проверяй".
(д) Непрерывное улучшение Наши меры безопасности постоянно пересматриваются и обновляются.
1.3. Область применения
Настоящая политика безопасности охватывает:
• Инфраструктуру платформы Evaste • Данные клиентов • Данные сотрудников • Бизнес-процессы • Интеграции с третьими сторонами
2. Технические меры безопасности
2.1. Шифрование данных
(а) Шифрование при передаче • Протокол TLS 1.3 (минимум TLS 1.2) • HSTS (HTTP Strict Transport Security) включен • Поддержка Perfect Forward Secrecy (PFS) • Сильные наборы шифров
(б) Шифрование при хранении • Алгоритм шифрования AES-256 • Шифрование на уровне диска • Шифрование на уровне базы данных • Шифрование резервных копий
(в) Хранение паролей и конфиденциальных данных • Пароли: хеширование с bcrypt или Argon2 • API-ключи: безопасные системы хранилищ • Управление криптографическими ключами: использование HSM
2.2. Сетевая безопасность
(а) Межсетевой экран • Межсетевой экран уровня приложений (WAF) • Сетевой межсетевой экран • Блокировка всего трафика по умолчанию (deny-all)
(б) Обнаружение и предотвращение вторжений • Системы IDS/IPS • Мониторинг угроз в реальном времени • Обнаружение аномалий
(в) Защита от DDoS • Защита CDN Cloudflare или аналогичная • Анализ и фильтрация трафика • Ограничение скорости (Rate Limiting)
(г) Сегментация сети • Разделение производственной и тестовой сред • Изоляция серверов баз данных • VLAN и группы безопасности
2.3. Безопасность приложений
(а) Безопасный жизненный цикл разработки ПО (SSDLC) • Определение требований безопасности • Моделирование угроз • Безопасная проверка кода • Тестирование безопасности
(б) Защита OWASP Top 10 • Предотвращение SQL-инъекций • Защита от XSS (Cross-Site Scripting) • Защита от CSRF (Cross-Site Request Forgery) • Безопасная аутентификация • Защита конфиденциальных данных
(в) Управление зависимостями • Регулярные обновления зависимостей • Сканирование уязвимостей (Snyk, Dependabot) • Безопасные источники зависимостей
(г) Безопасность API • Аутентификация OAuth 2.0 / JWT • Ограничение скорости • Валидация входных данных • Версионирование API
2.4. Безопасность баз данных
• Параметризованные запросы (предотвращение SQL-инъекций) • Контроль доступа и авторизация • Мониторинг активности базы данных • Зашифрованные соединения • Регулярные резервные копии и тесты восстановления
2.5. Безопасность контейнеров и облака
(а) Безопасность контейнеров • Сканирование образов (vulnerability scanning) • Безопасные базовые образы • Безопасность во время выполнения • Управление секретами
(б) Облачная безопасность • Политики IAM • Изоляция ресурсов • Зашифрованное хранилище • Группы безопасности и NACL
3. Организационные меры безопасности
3.1. Управление безопасностью
(а) Ответственность за безопасность • Ответственность на уровне руководства • Команда безопасности и обязанности • Межведомственная координация
(б) Политики и процедуры • Письменные политики безопасности • Регулярные обновления политик • Аудиты соответствия политикам
3.2. Управление рисками
(а) Оценка рисков • Ежегодная оценка рисков • Инвентаризация активов • Анализ угроз и уязвимостей • Планы снижения рисков
(б) Оценка воздействия на защиту данных (DPIA) • DPIA для новых проектов • Оценка деятельности по обработке высокого риска • Меры по снижению рисков
3.3. Управление инцидентами
(а) Определение инцидентов безопасности • Классификация: критический, высокий, средний, низкий • Категории инцидентов • Процедуры эскалации
(б) Процесс реагирования • Обнаружение и верификация инцидентов • Сдерживание (containment) • Устранение (eradication) • Восстановление (recovery) • Извлечённые уроки (lessons learned)
3.4. Управление изменениями
• Процедура запроса на изменение • Оценка рисков и воздействия • Процессы тестирования и утверждения • Планы отката
4. Политики контроля доступа
4.1. Аутентификация
(а) Политика паролей • Минимум 12 символов • Требуются заглавные/строчные буквы, цифры и специальные символы • Смена пароля каждые 90 дней (корпоративные аккаунты) • Запрет повторного использования последних 12 паролей • Защита от перебора (блокировка аккаунта)
(б) Многофакторная аутентификация (MFA) • Обязательная MFA для всех аккаунтов администраторов • Поддержка TOTP (Time-based One-Time Password) • Варианты верификации через SMS и email • Поддержка аппаратных ключей безопасности (FIDO2)
(в) Единый вход (SSO) • Поддержка SAML 2.0 • Поддержка OAuth 2.0 / OpenID Connect • Интеграция с корпоративными провайдерами идентификации
4.2. Авторизация
(а) Управление доступом на основе ролей (RBAC) • Предопределённые роли • Возможность создания пользовательских ролей • Принцип наименьших привилегий • Регулярные проверки разрешений
| Роль | Разрешения |
|---|---|
| Просмотр | Доступ только для чтения |
| Редактор | Чтение и редактирование |
| Администратор | Полные права администрирования |
| Суперадмин | Разрешения на уровне платформы |
4.3. Управление сессиями
• Тайм-аут сессии (30 минут неактивности) • Ограничение одновременных сессий • Безопасное завершение сессии • Защита от перехвата сессии
4.4. Мониторинг доступа
• Логирование всех попыток доступа • Мониторинг неудачных попыток входа • Обнаружение аномальных паттернов доступа • Регулярные отчёты о доступе
5. Процедуры резервного копирования
5.1. Стратегия резервного копирования
(а) Типы резервного копирования • Полное резервное копирование (еженедельно) • Инкрементное резервное копирование (ежедневно) • Резервное копирование журналов транзакций (непрерывно)
| Тип данных | Частота | Срок хранения |
|---|---|---|
| База данных | Ежедневно | 30 дней |
| Файловые системы | Ежедневно | 30 дней |
| Конфигурации | При изменении | 90 дней |
| Лог-файлы | Ежедневно | 90 дней |
5.2. Безопасность резервных копий
• Резервные копии зашифрованы AES-256 • Хранение в географически разделённых локациях • Контроль доступа к резервным копиям • Проверка целостности резервных копий (контрольная сумма)
5.3. Процедуры восстановления
• Регулярные тесты восстановления (ежемесячно) • Документированные процедуры восстановления • RTO (Recovery Time Objective): 4 часа • RPO (Recovery Point Objective): 1 час
6. Уведомление о нарушениях безопасности
6.1. Обнаружение и оценка нарушений
При обнаружении нарушения безопасности:
1. Верификация инцидента и определение масштаба 2. Идентификация затронутых систем и данных 3. Оценка уровня риска 4. Реализация мер по сдерживанию
6.2. Процесс внутреннего уведомления
| Срок | Действие |
|---|---|
| Первый час | Уведомление команды безопасности |
| Первые 4 часа | Уведомление руководства |
| Первые 24 часа | Оценка воздействия и план реагирования |
6.3. Обязательства по внешнему уведомлению
(а) Турецкий орган по защите данных (KVKK) • Уведомление в кратчайшие сроки при нарушениях персональных данных • Заполнение формы о нарушении • Отчёт о принятых мерах
(б) В рамках GDPR (правило 72 часов) • Уведомление компетентного органа по защите данных в течение 72 часов • Уведомление затронутых лиц при высоком риске • Ведение реестра нарушений
(в) Уведомление затронутых пользователей • Немедленное уведомление при высоком риске • Использование ясного и понятного языка • Рекомендации по защитным мерам
6.4. Содержание уведомления о нарушении
Уведомление содержит следующую информацию:
• Характер и масштаб нарушения • Категории затронутых данных • Количество затронутых лиц (оценка) • Возможные последствия • Принятые и рекомендуемые меры • Контактная информация
6.5. Корректирующие действия
После нарушения:
• Анализ корневых причин • Реализация корректирующих мер • Обновление политик и процедур • Обучение персонала (при необходимости) • Усиление мониторинга и аудита
7. Аудиты и тесты безопасности
7.1. Сканирование уязвимостей
(а) Автоматические сканирования • Еженедельное сканирование инфраструктуры • Ежедневное сканирование приложений • Непрерывное сканирование зависимостей
(б) Используемые инструменты • Nessus / Qualys (инфраструктура) • OWASP ZAP / Burp Suite (приложение) • Snyk / Dependabot (зависимости)
7.2. Тесты на проникновение
• Ежегодный комплексный тест на проникновение • Дополнительные тесты после крупных изменений • Проведение независимыми компаниями по безопасности • Устранение находок в течение 30 дней
7.3. Упражнения Red Team
• Ежегодная оценка Red Team • Реалистичные сценарии атак • Тесты социальной инженерии • Тесты физической безопасности
7.4. Проверка кода
• Peer review для всех изменений кода • Проверка кода с фокусом на безопасность • Статический анализ кода (SAST) • Динамическое тестирование безопасности приложений (DAST)
7.5. Управление находками
| Критичность | Срок устранения |
|---|---|
| Критическая | 24 часа |
| Высокая | 7 дней |
| Средняя | 30 дней |
| Низкая | 90 дней |
8. Обучение сотрудников
8.1. Тренинг по осведомлённости о безопасности
(а) Вводное обучение • Политики безопасности • Допустимое использование • Основы защиты данных • Сообщение об инцидентах
(б) Ежегодное обязательное обучение • Актуальные угрозы и тренды • Осведомлённость о социальной инженерии • Распознавание фишинга • Безопасные рабочие практики
8.2. Ролевое обучение
| Роль | Дополнительные темы обучения |
|---|---|
| Разработчики | Безопасное программирование, OWASP, код-ревью |
| DevOps | Облачная безопасность, безопасность контейнеров |
| Руководители | Управление рисками, соответствие |
| Поддержка | Защита данных, конфиденциальность клиентов |
8.3. Симуляционные упражнения
• Ежемесячные симуляции фишинга • Учения по инцидентам безопасности • Настольные упражнения (tabletop exercises)
9. Физическая безопасность
9.1. Безопасность дата-центра
Инфраструктура Evaste размещена в дата-центрах со следующими мерами физической безопасности:
• Охрана 24/7 • Биометрический контроль доступа • Видеонаблюдение CCTV • Системы пожаротушения • ИБП и генераторы • Мониторинг окружающей среды (температура, влажность)
9.2. Офисная безопасность
• Системы доступа по картам • Процедуры регистрации посетителей • Политика чистого стола • Безопасность устройств
10. Непрерывность бизнеса и восстановление после сбоев
10.1. План непрерывности бизнеса (BCP)
• Определение критических бизнес-функций • Альтернативные рабочие процедуры • Планы коммуникации • Регулярное тестирование плана
10.2. План восстановления после сбоев (DRP)
(а) Цели восстановления • RTO (Recovery Time Objective): 4 часа • RPO (Recovery Point Objective): 1 час
(б) Механизмы переключения • Активно-пассивная репликация базы данных • Географически распределённая инфраструктура • Автоматическое переключение • Балансировка нагрузки
10.3. Тесты и учения
• Ежегодный тест DR • Симуляции переключения • Тесты восстановления из резервных копий
11. Безопасность третьих сторон
11.1. Оценка поставщиков
При выборе поставщиков услуг третьих сторон:
• Сертификаты безопасности (SOC 2, ISO 27001) • Соответствие требованиям конфиденциальности (GDPR, KVKK) • Проверка политик безопасности • Проверка рекомендаций
11.2. Договорные требования
Договоры с третьими сторонами включают:
• Соглашение об обработке данных (DPA) • Обязательства по конфиденциальности • Стандарты безопасности • Обязательства по уведомлению о нарушениях • Права на аудит
11.3. Непрерывный мониторинг
• Регулярные оценки безопасности • Отслеживание продления сертификатов • Мониторинг уведомлений об инцидентах
12. Соответствие и сертификации
12.1. Рамки соответствия
Evaste соответствует следующим нормативным актам:
(а) Защита данных • KVKK Закон № 6698 (Турция) • GDPR (Европейский союз) • CCPA (Калифорния, США)
(б) Информационная безопасность • ISO 27001 (система управления информационной безопасностью) • SOC 2 Type II (поставщики инфраструктуры)
12.2. Сертификации и аудиты
| Сертификация/Аудит | Область | Частота |
|---|---|---|
| ISO 27001 | Управление информационной безопасностью | Ежегодно |
| SOC 2 Type II | Контроли безопасности | Ежегодно |
| Тест на проникновение | Приложение и инфраструктура | Ежегодно |
| Сканирование уязвимостей | Все системы | Непрерывно |
12.3. Отчёты о соответствии
По запросу нашим клиентам могут быть предоставлены следующие документы:
• Краткое изложение отчёта SOC 2 Type II • Краткое изложение теста на проникновение • Заявление о соответствии требованиям безопасности
13. Контактная информация
13.1. Команда безопасности
Для вопросов и сообщений по безопасности:
Email: security@evaste.co Экстренная связь: +90 532 494 42 64
13.2. Сообщение об уязвимостях
Если вы обнаружили уязвимость:
Email: security@evaste.co Тема: "Security Vulnerability Report"
Просим действовать в соответствии с принципом ответственного раскрытия (responsible disclosure). Достоверные сообщения об уязвимостях вознаграждаются.
13.3. Общий контакт
Evaste (Group Taiga) Адрес: Левент, Стамбул, Турция Email: info@evaste.co Веб: https://evaste.co
Настоящая Политика безопасности вступила в силу 12 января 2026 года.
Мы постоянно пересматриваем и улучшаем наши процессы безопасности. Изменения политики будут опубликованы с обновлением даты "Последнее обновление".