О безопасности сервиса Jinn

Мы заботимся о том, чтобы ваши данные были в безопасности при использовании сервиса Jinn. И принимаем следующие меры для повышения безопасности.

1. Безопасность и защита персональных данных

  • в Jinn обеспечивается 3 уровень защищенности персональных данных — для этого мы принимаем необходимые организационные и технические меры;
  • наша компания внесена в реестр операторов персональных данных 05.07.2024, регистрационный номер 77-24-161532
  • назначен ответственный за обработку персональных данных;
  • установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ;
  • разработаны политика конфиденциальности (приватности) и другие документы в области обработки персональных данных;
  • разработаны модель угроз и модель защиты персональных данных;
  • все данные хранятся в ЦОД АО «Селектел» и ООО «Яндекс.Облако» на территории РФ и регионально распределены.
  • файлы, загружаемые в Jinn, хранятся в S3-хранилище  ООО «Яндекс.Облако» (Yandex Cloud), где обеспечивается 1 уровень защищенности персональных данных.

2. Безопасность технической инфраструктуры

  • дата-центры ЦОД АО «Селектел» и ООО «Яндекс.Облако» соответствуют международным стандартам и имеются лицензии ФСТЭК и ФСБ и имеют соответствие 152-ФЗ «О персональных данных»;
  • физическая защита инфраструктуры организована средствами ЦОД АО «Селектел» и ООО «Яндекс.Облако», серверы которых соответствуют международным стандартам уровня TIER III;
  • чувствительные данные шифруются стандартом AES-128;
  • передача данных осуществляется по защищенному каналу с шифрованием соединения с помощью протоколов HTTPS/TLS;
  • файлы, загружаемые в Jinn, мы передаем в хранилище Yandex Cloud по защищенным каналам связи;
  • доступ администраторов к IT-инфраструктуре (выделенные серверы и облака) осуществляется через виртуальную приватную сеть используя корпоративные учетные записи с двухфакторной аутентификацией и ограничениями по ролям доступа согласно регламентам и зонам ответственности;
  • доступ к архитектуре Базы данных  (БД) только у инженеров проекта и у сотрудников отдела аналитики через виртуальную приватную сеть используя корпоративные учетные записи с двухфакторной аутентификацией и ограничениями по ролям доступа согласно регламентам и зонам ответственности;
  • все данные в реальном времени копируются на резервный сервер средствами MySQL. Файлы, хранящиеся в «Яндекс.Облако», сохраняются дополнительно в виде резервных копий в ЦОД АО «Селектел» и ООО «Яндекс.Облако». Все сервера с данными распределены — это исключает риск потери данных;
  • при использовании методов API мы ввели дополнительные организационные меры защиты: получить токен могут только пользователи с логином/паролем, у токена ограничен срок действия — его требуется обновлять каждые 15 дней.

3. Безопасность приложения (web-app)

  • вход в операционную систему на сервер приложения (web-app) и базы данных выполняется по закрытому ключу;
  • доступ пользователей осуществляется посредством веб-браузера через защищенное HTTPS-соединение (TLSv1.3) по имени пользователя и паролю. Пароль не хранится в открытом виде, применяется хеширование пароля с «солью»;
  • в Jinn реализована ролевая модель доступа — для каждой роли пользователей существует свой набор прав:
    • администратор компании:
      • администрирование всех модулей
      • управление учетными записями сотрудников
    • сотрудник компании:
      • использование модулей
    • кастомная роль
      • доступен гибкий конфигуратор прав для доступа к модулями и их данным
  • все базы данных клиентов разделены:
    • в облачном сервисе применяется логическое разделение,
    • при размещении Jinn на выделенном сервере (ЦОД АО «Селектел» и ООО «Яндекс.Облако») — физическое разделение;
  • в приложении (web-app) Jinn (https://client.app-raise.org/ru/) не подключаются никакие внешние JavaScript скрипты, которые имеют прямой доступ к персональным данным (Google Analytics, Yandex Metrika и пр.);
  • в 2023 году Jinn успешно прошел тестирование на проникновение сервисов и модулей продукта с высоким профессионализмом и в соответствии с современными стандартами безопасности в компании ООО «Системы Информационной Безопасности», получив Сертификат безопасности по успешному тестированию на проникновение;
  • возможны индивидуальные настройки безопасности:
    • размещение сервиса Jinn на выделенных серверах в дата-центрах ЦОД АО «Селектел» и ООО «Яндекс.Облако» (Private cloud) с организацией обмена информацией между инфраструктурами по IPSec-туннелю;
    • под запрос заказчика размещение Jinn на серверах клиента (on-premise),
    • Под запрос заказчика интеграция с корпоративной системой аутентификацией (SSO): LDAP/AD/ADFS, OAuth или X.509
    • поддержка корпоративной парольной политики при использовании встроенной системы аутентификации Jinn. Возможные параметры парольной политики: количество и состав символов, срок действия и запрет на повторы прошлых паролей.

Организационные меры

Все внутренние процессы Jinn, связанные с безопасностью и обработкой данных, строго регламентированы:

  • введена политика информационной безопасности;
  • разработан план устранения инцидентов;
  • разработаны документы в отношении обработки данных, в том числе: политика конфиденциальности (приватности), перечень лиц, имеющих доступ к данным, регламент по предоставлению такого доступа, перечень обрабатываемых данных;
  • ведется журнал передачи и уничтожения материальных носителей персональных данных и другой конфиденциальной информации;
  • с сотрудниками Jinn подписаны документы о порядке работы с конфиденциальной информацией, в том числе соглашения о неразглашении;
  • доступ сотрудников к рабочим инструментам осуществляется с использованием корпоративной системы аутентификации;
  • ежеквартально проводится внутренний аудит принимаемых мер обеспечения безопасности.

Мы постоянно следим за изменениями и тенденциями в области информационной безопасности, проводим регулярный аудит и принимаем меры по усовершенствованию системы безопасности в Jinn.