БЕЗОПАСНОСТЬ И НАДЕЖНОСТЬ

Безопасность данных наших клиентов является приоритетом для ООО «Новые Технологии» (ООО «НТ»). На этой странице мы подробно описываем технические и организационные меры, которые мы применяем для защиты персональных данных и обеспечения надежности сервиса VoxBox.

1. СООТВЕТСТВИЕ ЗАКОНОДАТЕЛЬСТВУ

1.1. Федеральный закон № 152-ФЗ «О персональных данных»

Мы выстраиваем сервис и документацию так, чтобы корпоративные клиенты могли согласовать использование VoxBox с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с учётом изменений, включая поправки от 01.09.2025). Как именно требования закона применяются к вашей организации, фиксируется в вашем внутреннем комплаенсе — на основе договора, политик и актуального описания продукта.

Основные ориентиры в стандартной поставке:

Локализация обработки в типовой облачной схеме — на территории РФ (детали — в договоре и политике)
Правовые, организационные и технические меры защиты ПДн — в объёме, описанном в документации и договорной модели
Материалы и процессы для взаимодействия с клиентом по вопросам ПДн
Документация по обработке и распределение ролей — по модели договора с клиентом

1.2. Постановление Правительства РФ № 1119

Мы применяем меры защиты персональных данных в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. ЛОКАЛИЗАЦИЯ ДАННЫХ

2.1. Хранение данных на территории РФ

В соответствии с ч. 5 ст. 18 Федерального закона № 152-ФЗ (для типовой облачной модели):

В стандартной облачной схеме обработка персональных данных граждан РФ выполняется с использованием баз данных, расположенных на территории Российской Федерации. При on-premise и иных схемах границы периметра и локализации фиксируются в договоре и техническом задании.

Ориентиры в типовой облачной поставке:

🏢 Серверы приложения — в дата-центрах на территории РФ
💾 Резервные копии в стандартной схеме — на территории РФ
🚫 Трансграничная передача ПДн в такой модели не используется; исключения (если появятся) — только с оформлением по закону и договору
🔒 Привлечённые обработчики — на территории РФ и по договору с клиентом

2.2. Сертифицированные дата-центры

Мы используем дата-центры уровня Tier III, расположенные в Москве и Московской области, соответствующие международным стандартам: - ISO/IEC 27001 (Системы управления информационной безопасностью) - ISO/IEC 27018 (Защита персональных данных в облачных вычислениях) - PCI DSS (для обработки платежных данных)

3. ТЕХНИЧЕСКИЕ МЕРЫ БЕЗОПАСНОСТИ

3.1. Шифрование данных

3.1.1. Шифрование при передаче

Протокол: TLS 1.3 (Transport Layer Security)

Все данные, передаваемые между вашим браузером и нашими серверами, шифруются
Используются только современные криптографические алгоритмы
Сайт доступен исключительно по протоколу HTTPS
Сертификаты SSL/TLS регулярно обновляются

Защита от атак:

Perfect Forward Secrecy (PFS) – уникальный ключ для каждой сессии
HSTS (HTTP Strict Transport Security) – принудительное использование HTTPS
Защита от атак типа man-in-the-middle

3.1.2. Шифрование при хранении

Для чувствительных атрибутов и отдельных сущностей применяется шифрование на уровне приложения (в т.ч. алгоритмы класса AES-256).

Пароли хранятся в виде хеша с использованием bcrypt (не восстанавливаются из хеша)
Резервные копии шифруются по согласованной схеме развёртывания
Ключи шифрования разносятся с данными согласно эксплуатационной модели

3.2. Защита от несанкционированного доступа

3.2.1. Аутентификация и авторизация

Многофакторная идентификация:

Обязательная аутентификация по email и паролю
Двухфакторная аутентификация (2FA) для административного доступа
Возможность использования SSO (Single Sign-On) для некоторых тарифов

Требования к паролям:

Минимальная длина: 8 символов
Обязательное использование букв, цифр и специальных символов
Принудительная смена паролей при подозрении на компрометацию

3.2.2. Ролевая модель доступа (RBAC)

Принцип минимальных привилегий: - Каждый пользователь имеет доступ только к тем данным, которые необходимы для выполнения его задач - Разграничение прав доступа по ролям: Администратор, Менеджер, Пользователь - Возможность гибкой настройки прав доступа для каждого пользователя - Автоматическое завершение сессии при длительном бездействии (30 минут)

3.3. Защита сетевой инфраструктуры

3.3.1. Межсетевые экраны (Firewall)

Многоуровневая система фильтрации трафика
Блокировка подозрительных IP-адресов
Whitelist доверенных источников для административного доступа
Регулярное обновление правил фильтрации

3.3.2. Защита от DDoS-атак

Системы обнаружения и предотвращения DDoS-атак
Распределенная архитектура для поглощения атак
Автоматическое масштабирование ресурсов при высокой нагрузке
Партнерство с ведущими провайдерами защиты от DDoS

3.3.3. Системы обнаружения вторжений (IDS/IPS)

Постоянный мониторинг сетевой активности
Автоматическое обнаружение аномалий и подозрительного поведения
Немедленная блокировка источников атак
Алерты для команды безопасности при критических событиях

3.4. Безопасность приложений

3.4.1. Защита от веб-уязвимостей

Мы защищаем от уязвимостей OWASP Top 10: - SQL Injection – параметризованные запросы, ORM - XSS (Cross-Site Scripting) – экранирование вывода, Content Security Policy - CSRF (Cross-Site Request Forgery) – токены CSRF для всех форм - Broken Authentication – надежные механизмы аутентификации - Security Misconfiguration – регулярные аудиты конфигурации - И другие...

3.4.2. Регулярные обновления

Автоматическое обновление зависимостей и библиотек
Оперативная установка патчей безопасности
Мониторинг уязвимостей через системы CVE (Common Vulnerabilities and Exposures)
Еженедельное сканирование на известные уязвимости

3.5. Резервное копирование и восстановление

3.5.1. Политика резервного копирования

Периодичность: - Полное резервное копирование – ежедневно (в 03:00 МСК) - Инкрементальное резервное копирование – каждые 6 часов - Копии логов транзакций – непрерывно

Хранение копий: - Последние 30 ежедневных копий - Еженедельные копии за последние 3 месяца - Ежемесячные копии за последний год - Все резервные копии хранятся в зашифрованном виде - Географическая избыточность – копии в двух дата-центрах

3.5.2. Процедуры восстановления

Регулярное тестирование процедур восстановления (ежемесячно)
RTO (Recovery Time Objective): до 4 часов
RPO (Recovery Point Objective): до 15 минут
Документированные инструкции по восстановлению для различных сценариев

3.6. Антивирусная защита

Использование сертифицированных антивирусных решений
Автоматическое обновление антивирусных баз

3.7. Журналирование и аудит

3.7.1. Ведение журналов (Audit Logs)

Что логируется:

Все операции доступа к персональным данным (кто, когда, какие действия)
Попытки входа в систему (успешные и неуспешные)
Изменения прав доступа пользователей
Изменения критичных настроек системы
Передача данных третьим лицам

Характеристики логов:

Хранение журналов: не менее 6 месяцев
Защита логов от изменения и удаления
Регулярный анализ логов на предмет подозрительной активности
Возможность предоставления логов для расследования инцидентов

3.7.2. Мониторинг безопасности

Системы SIEM (Security Information and Event Management)
Алерты в реальном времени при критических событиях безопасности
Дежурная смена безопасности 24/7
Ежемесячные отчеты по безопасности для внутреннего аудита

4. ОРГАНИЗАЦИОННЫЕ МЕРЫ БЕЗОПАСНОСТИ

4.1. Назначение ответственных лиц

Ответственный за обработку персональных данных:

Селецкий Артур Борисович, Генеральный директор ООО «Новые Технологии» (ООО «НТ»)

Обязанности:

Организация обработки персональных данных в соответствии с требованиями 152-ФЗ
Контроль за соблюдением требований законодательства о персональных данных
Взаимодействие с Роскомнадзором
Рассмотрение запросов субъектов персональных данных

4.2. Разграничение доступа к данным

4.2.1. Принцип минимизации доступа

Доступ к персональным данным предоставляется только сотрудникам, которым это необходимо для выполнения трудовых обязанностей
Ведется учет лиц, допущенных к обработке персональных данных
Регулярный пересмотр прав доступа (ежеквартально)
Отзыв доступа при увольнении сотрудника

4.3. Обучение сотрудников

Программа обучения по защите персональных данных:

Вводный курс для всех новых сотрудников
Ежегодное обновление знаний для существующих сотрудников
Тестирование знаний после обучения
Симуляции фишинговых атак для повышения бдительности

Темы обучения:

Требования 152-ФЗ и ответственность за нарушения
Правила обработки персональных данных
Меры защиты информации
Реагирование на инциденты безопасности
Социальная инженерия и фишинг

4.4. Обязательства о неразглашении

Все сотрудники подписывают соглашения о конфиденциальности (NDA)
Обязательство о неразглашении действует и после увольнения
Ответственность за нарушение конфиденциальности предусмотрена трудовым договором

4.5. Политики и регламенты

Внутренние документы: - Политика информационной безопасности - Регламент обработки персональных данных - Инструкции по работе с персональными данными для каждой роли - План реагирования на инциденты безопасности - Политика управления паролями - Регламент проведения аудита безопасности

5. РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

5.1. Процедура реагирования на инциденты безопасности

В случае обнаружения инцидента (утечка, несанкционированный доступ, уничтожение данных):

Этап 1: Обнаружение и оценка (0-2 часа)

Фиксация факта инцидента
Оценка масштаба инцидента
Классификация по уровню критичности

Этап 2: Сдерживание (2-4 часа)

Немедленное прекращение распространения данных
Блокировка источника инцидента
Изоляция скомпрометированных систем

Этап 3: Уведомление (до 24 часов)

Роскомнадзор: уведомление в течение 24 часов с момента обнаружения (требование ч. 3.1 ст. 21 ФЗ-152)
Субъекты персональных данных: уведомление, если инцидент затрагивает их права и свободы
Руководство компании: немедленное информирование

Этап 4: Расследование (4-72 часа)

Выявление причин инцидента
Определение объема скомпрометированных данных
Идентификация затронутых субъектов

Этап 5: Устранение последствий (72 часа - 30 дней)

Восстановление систем из резервных копий
Устранение уязвимостей
Принятие дополнительных мер защиты

Этап 6: Пост-анализ (30-60 дней)

Подготовка отчета об инциденте
Разработка мер по предотвращению повторения
Обновление политик и процедур

5.2. Контактная информация для сообщений об инцидентах

Если вы обнаружили уязвимость или инцидент безопасности:

Email: security@ru.voxbox.io

Мы гарантируем конфиденциальность сообщений и не применяем меры против исследователей безопасности, действующих добросовестно.

6. НАДЕЖНОСТЬ СЕРВИСА

6.1. SLA (Service Level Agreement)

Гарантированный уровень доступности: 99.9% (uptime)
Плановые технические работы: по ночам (03:00-06:00 МСК), с предварительным уведомлением за 3 дня
Аварийные работы: в любое время без уведомления (в случае критичных проблем безопасности)

6.2. Отказоустойчивость

Архитектура высокой доступности: - Балансировка нагрузки между несколькими серверами - Автоматическое переключение на резервные серверы при отказе - Отсутствие единой точки отказа (no single point of failure) - Географическая избыточность (два дата-центра в РФ)

Резервные каналы связи: - Подключение к нескольким интернет-провайдерам - Автоматическое переключение при проблемах с одним провайдером

6.3. Мониторинг производительности

24/7 мониторинг: - Доступность сервиса (проверка каждые 60 секунд) - Время отклика (response time) - Загрузка серверов (CPU, RAM, Disk) - Скорость базы данных - Объем трафика

Системы мониторинга: - Prometheus + Grafana для метрик - ELK Stack (Elasticsearch, Logstash, Kibana) для логов - Алерты в Telegram при критических событиях

6.4. Масштабирование

Горизонтальное масштабирование: - Автоматическое добавление серверов при росте нагрузки - Использование контейнеризации (Docker, Kubernetes) - Микросервисная архитектура для независимого масштабирования компонентов

Планирование мощностей: - Регулярный анализ трендов нагрузки - Упреждающее добавление ресурсов перед пиковыми периодами - Запас мощности 30% для обработки всплесков

7. СЕРТИФИКАТЫ И СТАНДАРТЫ

7.1. Текущие сертификаты

В процессе получения: - ISO/IEC 27001:2013 (Системы управления информационной безопасностью) - ISO/IEC 27018:2019 (Защита персональных данных в облачных вычислениях)

7.2. Соответствие стандартам

Мы следуем лучшим практикам: - NIST Cybersecurity Framework - CIS Controls (Center for Internet Security) - OWASP (Open Web Application Security Project) - SANS Top 25 Most Dangerous Software Weaknesses

8. ПАРТНЕРЫ И ОБРАБОТЧИКИ ДАННЫХ

8.1. Требования к обработчикам

Все наши партнеры и обработчики персональных данных обязаны: - ✅ Обеспечивать уровень защиты не ниже, чем у нас - ✅ Хранить данные на территории РФ - ✅ Заключать договоры на обработку персональных данных (DPA) - ✅ Проходить регулярный аудит безопасности - ✅ Уведомлять нас о любых инцидентах безопасности

8.2. Список основных обработчиков

Полный список обработчиков доступен в Политике обработки персональных данных.

8.3. Персональные данные в сценариях с языковыми моделями (сервис VoxBox)

Раздел для корпоративных клиентов, ИБ и юристов. Пошаговая схема обработки — на странице сайта «Обработка данных»; юридические роли, обработчики и меры — в политике обработки ПД и приложениях к договору с вашей организацией.

Типовой анализ разговора с кандидатом. По умолчанию перед отправкой текста в контур анализа с языковой моделью система автоматически заменяет на плейсхолдеры персональные данные кандидата (ФИО, телефон, e-mail). В запрос к модели уходит обезличенный текст. Состав заменяемых сущностей зафиксирован в описании продукта и договоре.
Дополнительные функции (в т.ч. чек-листы). По умолчанию система не передает в модели данные сотрудников. Для работы расширенных функций в контекст запроса может передаваться дополнительная информация (например, имя рекрутера). Состав этих данных и сценарии их использования мы фиксируем при внедрении и закрепляем в договорной документации.
Где выполняются запросы к моделям. По умолчанию обработка запросов к языковым моделям выполняется на инфраструктуре ООО «НТ». Привлечение внешних поставщиков зависит от выбранной конфигурации продукта. Если используются внешние поставщики, они включаются в цепочку обработки на условиях договора и с соблюдением требований локализации. Все потоки данных, роли операторов и обработчиков фиксируются в политике обработки ПД и приложениях к вашему договору.

9. КОНТАКТЫ ПО ВОПРОСАМ БЕЗОПАСНОСТИ

9.1. Вопросы по защите персональных данных

Email: pd@ru.voxbox.io
Форма на сайте: https://ru.voxbox.io (чат в боте поддержки)
Почта: 143913, Московская область, г. Балашиха, мкр. Авиаторов, ул. Летная, д. 1, кв. 331, ООО «НТ»

Ответственный: Селецкий Артур Борисович, Генеральный директор

9.2. Сообщения об уязвимостях