Технические меры обеспечения информационной безопасности
1. Общие положения
1.1. Настоящее Приложение определяет технические и организационные меры, применяемые Правообладателем при обработке и передаче данных в рамках использования программного обеспечения «Забота 2.0» (далее также ПО «Забота 2.0»).
1.2. Меры, указанные в настоящем Приложении, обязательны к соблюдению Правообладателем в части, относящейся к его программному обеспечению и услугам сопровождения. Ответственность за обеспечение информационной безопасности внутренней инфраструктуры (серверов, сетей, рабочих мест) несёт Пользователь.
2. Защита каналов передачи данных
2.1. ПО «Забота 2.0» осуществляет взаимодействие с внешними API исключительно через протокол HTTPS.
2.2. Передача данных по незашифрованным HTTP-каналам не поддерживается.
2.3. При использовании локального размещения и/или VPN-подключений ответственность за их настройку и сопровождение несёт Пользователь (или его служба ИБ). ПО «Забота 2.0» совместимо с VPN-соединениями.
3. Аутентификация и управление доступом
3.1. Доступ к API сторонних систем (МИС) осуществляется по учётным данным, предоставленным самой системой или Пользователем. Правообладатель не управляет политикой сложности паролей и не формирует ключи доступа.
3.2. В ПО «Забота 2.0» пароли к внутренним сервисам и СУБД хранятся в зашифрованном виде.
3.3. Для выполнения работ по настройке и сопровождению ПО «Забота 2.0» Правообладателю необходим постоянный технический доступ к серверу/рабочей станции Пользователя. Такой доступ обеспечивает оперативное реагирование и своевременное закрытие заявок.
При предоставлении временных или разовых доступов Правообладатель не может гарантировать соблюдение сроков реагирования, так как подключение будет зависеть от действий сотрудников Пользователя.
Подключение к инфраструктуре Пользователя осуществляется следующими способами:
– через RDP-соединение с использованием выделенного доверенного IP-адреса или домена (например, support.zabota.space / 109.71.8.22);
– через установку программного обеспечения удалённого доступа «Ассистент.РФ» с предоставлением отдельной учётной записи (в случае серверов или рабочих станций, поддерживающих многопользовательскую работу).
Доступ предоставляется только сотрудникам Правообладателя, задействованным в решении конкретных заявок. Все сотрудники Правообладателя подписывают соглашения о неразглашении (NDA) и соблюдают внутренние регламенты информационной безопасности.
3.4. Ограничение доступа к API по IP-адресам реализуется на стороне Пользователя либо поставщика API и Правообладателем не контролируется.
4. Логирование и аудит
4.1. В ПО «Забота 2.0» реализован базовый механизм журналирования интеграционных операций (запрос, статус, время).
4.2. Логи работы ПО «Забота 2.0» хранятся на серверах Пользователя. Правообладатель не выполняет их копирование или резервное хранение на своих ресурсах. В случае сбоев оборудования или утраты данных на стороне Пользователя (например, повреждения диска) восстановление логов Правообладателем не обеспечивается без отдельной доработки продукта или внедрения средств резервного копирования силами Пользователя.
4.3. По запросу Пользователя возможна выгрузка доступных логов в пределах реализованного функционала.
5. Шифрование и хранение данных
5.1. В облачном сегменте ПО «Забота 2.0» данные передаются и хранятся в зашифрованном виде с использованием современных криптографических алгоритмов (SHA-2, ChaCha20, Curve25519 и др., эквивалентных AES-256).
5.2. Резервные копии облачного сегмента создаются ежедневно и хранятся в сертифицированных дата-центрах Selectel (ФСТЭК, SOC 2).
5.3. При локальном размещении ПО «Забота 2.0» обеспечивает шифрование паролей и сервисных данных, а также зашифрованное взаимодействие между внутренними модулями и микросервисами Правообладателя, размещёнными в сертифицированных дата-центрах Selectel. При этом обеспечение общей информационной безопасности инфраструктуры Пользователя (защита серверов и рабочих станций от вирусов, несанкционированного доступа, сетевых атак и иных внешних угроз) является обязанностью Пользователя.
5.4. Данные не размещаются в публичных сервисах без отдельного согласия Пользователя.
6. Реагирование на инциденты безопасности
6.1. Правообладатель имеет внутреннюю процедуру реагирования на инциденты в рамках службы технической поддержки: фиксация обращений, назначение ответственных, анализ и устранение последствий.
6.2. Уведомление Пользователя о выявленных инцидентах осуществляется через согласованный канал связи — официальный рабочий чат (Telegram), используемый для взаимодействия по заявкам и информирования о статусе их выполнения. В случае недоступности Telegram уведомление может быть осуществлено по телефону, указанному в Договоре.
7. Контроль и аудит
7.1. Правообладатель готов предоставлять Пользователю документацию и материалы, подтверждающие выполнение требований настоящего Приложения, в части, относящейся к ПО «Забота 2.0» и услугам сопровождения.
7.2. Проведение технического аудита инфраструктуры и программного обеспечения Правообладателя сторонними лицами не допускается в связи с соблюдением режима NDA и коммерческой тайной.
Раздел X. Безопасность и ответственностьX.1. Определения
Конфиденциальная информация — сведения, полученные Правообладателем в рамках исполнения настоящего Договора, включая персональные данные клиентов и сотрудников Пользователя, а также иную информацию, доступ к которой предоставлен через API Пользователя или в процессе эксплуатации ПО «Забота 2.0».
Инцидент информационной безопасности — событие, повлекшее или способное повлечь несанкционированный доступ, изменение, уничтожение или распространение Конфиденциальной информации в пределах функционирования ПО «Забота 2.0» и действий сотрудников Правообладателя.
X.2. Обязательства Правообладателя в части обеспечения безопасности
X.2.1. Использовать Конфиденциальную информацию исключительно для целей исполнения настоящего Договора.
X.2.2. Применять технические и организационные меры защиты в рамках предоставляемого ПО «Забота 2.0» и регламентов сопровождения, в соответствии с действующим законодательством РФ (в т.ч. ФЗ-152) и принципами минимизации доступа.
X.2.3. Обеспечить доступ к Конфиденциальной информации только тем сотрудникам, которым он необходим для выполнения заявок Пользователя («принцип минимальных привилегий»).
X.2.4. Не передавать Конфиденциальную информацию третьим лицам без письменного согласия Пользователя, за исключением случаев, предусмотренных законодательством.
X.2.5. Обеспечивать передачу данных через защищённые протоколы (HTTPS/TLS) и хранение служебных данных в зашифрованном виде.
X.2.6. Ведение и хранение логов осуществляется средствами Пользователя. В ПО «Забота 2.0» реализовано базовое журналирование интеграционных запросов; выгрузка возможна по запросу Пользователя в пределах реализованного функционала.
X.2.7. Ограничение доступа по IP-адресам, настройка VPN и иные меры сетевой безопасности реализуются на стороне Пользователя или поставщика МИС.
X.3. Уведомление об инцидентах безопасности
X.3.1. В случае выявления инцидента информационной безопасности, связанного с работой ПО «Забота 2.0» или действиями сотрудников Правообладателя, Правообладатель обязуется:
– уведомить Пользователя в течение 24 часов с момента установления факта инцидента;
– в течение 5 (пяти) рабочих дней предоставить информацию о выявленных причинах и предпринятых мерах.
X.4. Ответственность
X.4.1. Правообладатель несёт ответственность за утрату или разглашение Конфиденциальной информации только в пределах, связанных с функционированием ПО «Забота 2.0» и действиями сотрудников Правообладателя.
X.4.2. Ответственность Правообладателя ограничивается возмещением документально подтверждённых прямых убытков Пользователя. Упущенная выгода и косвенные убытки возмещению не подлежат.
X.4.3. Пользователь вправе расторгнуть Договор в случае существенного нарушения Правообладателем обязательств, предусмотренных настоящим Разделом, при условии предварительного письменного уведомления и предоставления разумного срока для устранения нарушений.
X.5. Аудит и контроль
X.5.1. Пользователь вправе запрашивать у Правообладателя документы и материалы, подтверждающие выполнение требований настоящего Раздела, в части, относящейся к ПО «Забота 2.0» и оказанию услуг сопровождения.
X.5.2. Проведение технического аудита инфраструктуры и внутренних систем Правообладателя сторонними лицами не допускается в связи с режимом NDA и коммерческой тайной.
1. Общие положения
1.1. Настоящее Приложение определяет технические и организационные меры, применяемые Правообладателем при обработке и передаче данных в рамках использования программного обеспечения «Забота 2.0» (далее также ПО «Забота 2.0»).
1.2. Меры, указанные в настоящем Приложении, обязательны к соблюдению Правообладателем в части, относящейся к его программному обеспечению и услугам сопровождения. Ответственность за обеспечение информационной безопасности внутренней инфраструктуры (серверов, сетей, рабочих мест) несёт Пользователь.
2. Защита каналов передачи данных
2.1. ПО «Забота 2.0» осуществляет взаимодействие с внешними API исключительно через протокол HTTPS.
2.2. Передача данных по незашифрованным HTTP-каналам не поддерживается.
2.3. При использовании локального размещения и/или VPN-подключений ответственность за их настройку и сопровождение несёт Пользователь (или его служба ИБ). ПО «Забота 2.0» совместимо с VPN-соединениями.
3. Аутентификация и управление доступом
3.1. Доступ к API сторонних систем (МИС) осуществляется по учётным данным, предоставленным самой системой или Пользователем. Правообладатель не управляет политикой сложности паролей и не формирует ключи доступа.
3.2. В ПО «Забота 2.0» пароли к внутренним сервисам и СУБД хранятся в зашифрованном виде.
3.3. Для выполнения работ по настройке и сопровождению ПО «Забота 2.0» Правообладателю необходим постоянный технический доступ к серверу/рабочей станции Пользователя. Такой доступ обеспечивает оперативное реагирование и своевременное закрытие заявок.
При предоставлении временных или разовых доступов Правообладатель не может гарантировать соблюдение сроков реагирования, так как подключение будет зависеть от действий сотрудников Пользователя.
Подключение к инфраструктуре Пользователя осуществляется следующими способами:
– через RDP-соединение с использованием выделенного доверенного IP-адреса или домена (например, support.zabota.space / 109.71.8.22);
– через установку программного обеспечения удалённого доступа «Ассистент.РФ» с предоставлением отдельной учётной записи (в случае серверов или рабочих станций, поддерживающих многопользовательскую работу).
Доступ предоставляется только сотрудникам Правообладателя, задействованным в решении конкретных заявок. Все сотрудники Правообладателя подписывают соглашения о неразглашении (NDA) и соблюдают внутренние регламенты информационной безопасности.
3.4. Ограничение доступа к API по IP-адресам реализуется на стороне Пользователя либо поставщика API и Правообладателем не контролируется.
4. Логирование и аудит
4.1. В ПО «Забота 2.0» реализован базовый механизм журналирования интеграционных операций (запрос, статус, время).
4.2. Логи работы ПО «Забота 2.0» хранятся на серверах Пользователя. Правообладатель не выполняет их копирование или резервное хранение на своих ресурсах. В случае сбоев оборудования или утраты данных на стороне Пользователя (например, повреждения диска) восстановление логов Правообладателем не обеспечивается без отдельной доработки продукта или внедрения средств резервного копирования силами Пользователя.
4.3. По запросу Пользователя возможна выгрузка доступных логов в пределах реализованного функционала.
5. Шифрование и хранение данных
5.1. В облачном сегменте ПО «Забота 2.0» данные передаются и хранятся в зашифрованном виде с использованием современных криптографических алгоритмов (SHA-2, ChaCha20, Curve25519 и др., эквивалентных AES-256).
5.2. Резервные копии облачного сегмента создаются ежедневно и хранятся в сертифицированных дата-центрах Selectel (ФСТЭК, SOC 2).
5.3. При локальном размещении ПО «Забота 2.0» обеспечивает шифрование паролей и сервисных данных, а также зашифрованное взаимодействие между внутренними модулями и микросервисами Правообладателя, размещёнными в сертифицированных дата-центрах Selectel. При этом обеспечение общей информационной безопасности инфраструктуры Пользователя (защита серверов и рабочих станций от вирусов, несанкционированного доступа, сетевых атак и иных внешних угроз) является обязанностью Пользователя.
5.4. Данные не размещаются в публичных сервисах без отдельного согласия Пользователя.
6. Реагирование на инциденты безопасности
6.1. Правообладатель имеет внутреннюю процедуру реагирования на инциденты в рамках службы технической поддержки: фиксация обращений, назначение ответственных, анализ и устранение последствий.
6.2. Уведомление Пользователя о выявленных инцидентах осуществляется через согласованный канал связи — официальный рабочий чат (Telegram), используемый для взаимодействия по заявкам и информирования о статусе их выполнения. В случае недоступности Telegram уведомление может быть осуществлено по телефону, указанному в Договоре.
7. Контроль и аудит
7.1. Правообладатель готов предоставлять Пользователю документацию и материалы, подтверждающие выполнение требований настоящего Приложения, в части, относящейся к ПО «Забота 2.0» и услугам сопровождения.
7.2. Проведение технического аудита инфраструктуры и программного обеспечения Правообладателя сторонними лицами не допускается в связи с соблюдением режима NDA и коммерческой тайной.
Раздел X. Безопасность и ответственностьX.1. Определения
Конфиденциальная информация — сведения, полученные Правообладателем в рамках исполнения настоящего Договора, включая персональные данные клиентов и сотрудников Пользователя, а также иную информацию, доступ к которой предоставлен через API Пользователя или в процессе эксплуатации ПО «Забота 2.0».
Инцидент информационной безопасности — событие, повлекшее или способное повлечь несанкционированный доступ, изменение, уничтожение или распространение Конфиденциальной информации в пределах функционирования ПО «Забота 2.0» и действий сотрудников Правообладателя.
X.2. Обязательства Правообладателя в части обеспечения безопасности
X.2.1. Использовать Конфиденциальную информацию исключительно для целей исполнения настоящего Договора.
X.2.2. Применять технические и организационные меры защиты в рамках предоставляемого ПО «Забота 2.0» и регламентов сопровождения, в соответствии с действующим законодательством РФ (в т.ч. ФЗ-152) и принципами минимизации доступа.
X.2.3. Обеспечить доступ к Конфиденциальной информации только тем сотрудникам, которым он необходим для выполнения заявок Пользователя («принцип минимальных привилегий»).
X.2.4. Не передавать Конфиденциальную информацию третьим лицам без письменного согласия Пользователя, за исключением случаев, предусмотренных законодательством.
X.2.5. Обеспечивать передачу данных через защищённые протоколы (HTTPS/TLS) и хранение служебных данных в зашифрованном виде.
X.2.6. Ведение и хранение логов осуществляется средствами Пользователя. В ПО «Забота 2.0» реализовано базовое журналирование интеграционных запросов; выгрузка возможна по запросу Пользователя в пределах реализованного функционала.
X.2.7. Ограничение доступа по IP-адресам, настройка VPN и иные меры сетевой безопасности реализуются на стороне Пользователя или поставщика МИС.
X.3. Уведомление об инцидентах безопасности
X.3.1. В случае выявления инцидента информационной безопасности, связанного с работой ПО «Забота 2.0» или действиями сотрудников Правообладателя, Правообладатель обязуется:
– уведомить Пользователя в течение 24 часов с момента установления факта инцидента;
– в течение 5 (пяти) рабочих дней предоставить информацию о выявленных причинах и предпринятых мерах.
X.4. Ответственность
X.4.1. Правообладатель несёт ответственность за утрату или разглашение Конфиденциальной информации только в пределах, связанных с функционированием ПО «Забота 2.0» и действиями сотрудников Правообладателя.
X.4.2. Ответственность Правообладателя ограничивается возмещением документально подтверждённых прямых убытков Пользователя. Упущенная выгода и косвенные убытки возмещению не подлежат.
X.4.3. Пользователь вправе расторгнуть Договор в случае существенного нарушения Правообладателем обязательств, предусмотренных настоящим Разделом, при условии предварительного письменного уведомления и предоставления разумного срока для устранения нарушений.
X.5. Аудит и контроль
X.5.1. Пользователь вправе запрашивать у Правообладателя документы и материалы, подтверждающие выполнение требований настоящего Раздела, в части, относящейся к ПО «Забота 2.0» и оказанию услуг сопровождения.
X.5.2. Проведение технического аудита инфраструктуры и внутренних систем Правообладателя сторонними лицами не допускается в связи с режимом NDA и коммерческой тайной.
ООО «Медицина»
ИНН: 7721479230
ИНН: 7721479230
Является оператором персональных данных
под регистрационным номером: 77-17-005444
под регистрационным номером: 77-17-005444