О безопасности сервиса Jinn

Мы заботимся о том, чтобы ваши данные были в безопасности при использовании сервиса Jinn. И принимаем следующие меры для повышения безопасности.

1. Безопасность и защита персональных данных

• в Jinn обеспечивается 3 уровень защищенности персональных данных — для этого мы принимаем необходимые организационные и технические меры;
• наша компания внесена в реестр операторов персональных данных 05.07.2024, регистрационный номер 77-24-161532
• назначен ответственный за обработку персональных данных;
• установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ;
• разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных;
• разработаны модель угроз и модель защиты персональных данных;
• все данные хранятся в ЦОД АО «Селектел» и ООО «Яндекс.Облако» на территории РФ и регионально распределены.
• файлы, загружаемые в Jinn, хранятся в S3-хранилище  ООО «Яндекс.Облако» (Yandex Cloud), где обеспечивается 1 уровень защищенности персональных данных.

2. Безопасность технической инфраструктуры

• дата-центры ЦОД АО «Селектел» и ООО «Яндекс.Облако» соответствуют международным стандартам и имеются лицензии ФСТЭК и ФСБ и имеют соответствие 152-ФЗ «О персональных данных»;
• физическая защита инфраструктуры организована средствами ЦОД АО «Селектел» и ООО «Яндекс.Облако», серверы которых соответствуют международным стандартам уровня TIER III;
• чувствительные данные шифруются стандартом AES-128;
• передача данных осуществляется по защищенному каналу с шифрованием соединения с помощью протоколов HTTPS/TLS;
• файлы, загружаемые в Jinn, мы передаем в хранилище Yandex Cloud по защищенным каналам связи;
• доступ администраторов к IT-инфраструктуре (выделенные серверы и облака) осуществляется через виртуальную приватную сеть используя корпоративные учетные записи с двухфакторной аутентификацией и ограничениями по ролям доступа согласно регламентам и зонам ответственности;
• доступ к архитектуре Базы данных  (БД) только у инженеров проекта и у сотрудников отдела аналитики через виртуальную приватную сеть используя корпоративные учетные записи с двухфакторной аутентификацией и ограничениями по ролям доступа согласно регламентам и зонам ответственности;
• все данные в реальном времени копируются на резервный сервер средствами MySQL. Файлы, хранящиеся в «Яндекс.Облако», сохраняются дополнительно в виде резервных копий в ЦОД АО «Селектел» и ООО «Яндекс.Облако». Все сервера с данными распределены — это исключает риск потери данных;
• при использовании методов API мы ввели дополнительные организационные меры защиты: получить токен могут только пользователи с логином/паролем, у токена ограничен срок действия — его требуется обновлять каждые 15 дней.

3. Безопасность приложения (web-app)

• вход в операционную систему на сервер приложения (web-app) и базы данных выполняется по закрытому ключу;
• доступ пользователей осуществляется посредством веб-браузера через защищенное HTTPS-соединение (TLSv1.3) по имени пользователя и паролю. Пароль не хранится в открытом виде, применяется хеширование пароля с «солью»;
• в Jinn реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:
  • администратор компании:
    • администрирование всех модулей
    • управление учетными записями сотрудников
  • сотрудник компании:
    • использование модулей
  • кастомная роль
    • доступен гибкий конфигуратор прав для доступа к модулями и их данным
• все базы данных клиентов разделены:
  • в облачном сервисе применяется логическое разделение,
  • при размещении Jinn на выделенном сервере (ЦОД АО «Селектел» и ООО «Яндекс.Облако») — физическое разделение;
• в приложении (web-app) Jinn (https://client.app-raise.org/ru/) не подключаются никакие внешние JavaScript скрипты, которые имеют прямой доступ к персональным данным (Google Analytics, Yandex Metrika и пр.);
• в 2023 года Jinn успешно прошел тестирование на проникновение сервисов и модулей продукта с высоким профессионализмом и в соответствии с современными стандартами безопасности в компании ООО «Системы Информационной Безопасности», получив Сертификат безопасности по успешному тестированию на проникновение;
• возможны индивидуальные настройки безопасности:
  • размещение сервиса Jinn на выделенных серверах в дата-центрах ЦОД АО «Селектел» и ООО «Яндекс.Облако» (Private cloud) с организацией обмена информацией между инфраструктурами по IPSec-туннелю;
  • под запрос заказчика размещение Jinn на серверах клиента (on-premise),
  • Под запрос заказчика интеграция с корпоративной системой аутентификацией (SSO): LDAP/AD/ADFS, OAuth или X.509
  • поддержка корпоративной парольной политики при использовании встроенной системы аутентификации Jinn. Возможные параметры парольной политики: количество и состав символов, срок действия и запрет на повторы прошлых паролей.

Организационные меры

Все внутренние процессы Jinn, связанные с безопасностью и обработкой данных, строго регламентированы:

• введена политика информационной безопасности;
• разработан план устранения инцидентов;
• разработаны документы в отношении обработки данных, в том числе: политика конфиденциальности (приватности), перечень лиц, имеющих доступ к данным, регламент по предоставлению такого доступа, перечень обрабатываемых данных;
• ведется журнал передачи и уничтожения материальных носителей персональных данных и другой конфиденциальной информации;
• с сотрудниками Jinn подписаны документы о порядке работы с конфиденциальной информацией, в том числе соглашения о неразглашении;
• доступ сотрудников к рабочим инструментам осуществляется с использованием корпоративной системы аутентификации;
• ежеквартально проводится внутренний аудит принимаемых мер обеспечения безопасности.

Мы постоянно следим за изменениями и тенденциями в области информационной безопасности, проводим регулярный аудит и принимаем меры по усовершенствованию системы безопасности в Jinn.