Безопасность и compliance

1. Политика безопасности

Vertys применяет многоуровневую систему защиты данных на всех этапах — от сбора до хранения и обработки. Мы соблюдаем следующие принципы:

Шифрование данных при передаче (TLS 1.3) и хранении (AES-256);
Изоляция данных клиентов — каждый клиент работает в собственном пространстве;
Двухфакторная аутентификация (2FA) для доступа сотрудников к инфраструктуре;
Логирование всех операций доступа к данным с хранением логов не менее 12 месяцев;
Регулярное резервное копирование (не реже 1 раза в сутки) с географическим разносом;
Пентесты и сканирование уязвимостей — не реже 1 раза в квартал;
Все серверы размещены на территории РФ (провайдеры уровня Tier III).

2. Соответствие 152-ФЗ «О персональных данных»

Обработка персональных данных в Vertys осуществляется в строгом соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Мы реализовали следующие меры:

Определены категории обрабатываемых персональных данных и цели обработки — зафиксированы в Политике конфиденциальности;
Разработаны и утверждены локальные акты по обработке и защите ПДн;
Проведена классификация информационных систем персональных данных (ИСПДн) по уровням защищённости;
Реализованы организационные и технические меры защиты в соответствии с Постановлением Правительства РФ N 1119;
Подано уведомление в Роскомнадзор об обработке персональных данных. Номер уведомления РКН: ожидается;
Ведётся журнал учёта обращений субъектов ПДн с фиксацией сроков и результатов рассмотрения;
При трансграничной передаче данных обеспечивается адекватный уровень защиты в соответствии с требованиями Роскомнадзора.

Полный текст Политики конфиденциальности доступен по ссылке: vertys.ru/privacy

3. Соглашение об уровне обслуживания (SLA)

Vertys гарантирует следующие показатели доступности и качества услуг:

Доступность платформы Mirror: не менее 99.5% в месяц (за исключением плановых регламентных работ с предварительным уведомлением за 48 часов);
Время реакции на инцидент: первая реакция в течение 1 часа с момента фиксации обращения (в рабочее время: Пн–Пт, 09:00–19:00 МСК);
Время восстановления: не более 4 часов для критических инцидентов, не более 24 часов для некритических;
Актуальность данных дашбордов: данные Mirror обновляются ежедневно; для тарифа Mirror Growth — каждые 4 часа;
Срок ответа на запрос аналитика: не более 4 рабочих часов (тарифы Mirror Core и Growth), не более 8 рабочих часов (тариф Mirror Start);
Компенсация за нарушение SLA: при недоступности платформы более 48 часов подряд — перерасчёт стоимости периода на следующий месяц.

Детальные условия SLA фиксируются в договоре при подключении тарифов Mirror.

4. Контакты для обращений по вопросам обработки данных

По всем вопросам, связанным с обработкой персональных данных, безопасностью и реализацией прав субъектов ПДн, вы можете обратиться:

Email: dpo@vertys.ru
Общие вопросы: support@vertys.ru
Сайт: vertys.ru

Формальное назначение Data Protection Officer (DPO) находится в процессе. Срок ответа на обращения — до 10 рабочих дней в соответствии с 152-ФЗ. При срочных запросах, касающихся безопасности, укажите в теме письма «СРОЧНО: БЕЗОПАСНОСТЬ» — ответ будет направлен в течение 24 часов.

5. Информация о хостинге и инфраструктуре

Инфраструктура Vertys размещается на территории Российской Федерации. Ниже приведены сведения о хостинг-провайдерах и конфигурации:

Хостинг-провайдер: уточняется (информация будет добавлена после финализации договора);
Уровень дата-центра: Tier III;
Географическое расположение серверов: Российская Федерация;
Шифрование дисков: LUKS (в процессе внедрения);
Резервное копирование: ежедневное, с географическим разносом.

6. Порядок действий при инцидентах

В случае возникновения инцидента информационной безопасности Vertys действует по следующему регламенту:

Обнаружение и фиксация. Инцидент фиксируется автоматически системами мониторинга или вручную сотрудником/клиентом через обращение в поддержку.
Классификация. Инциденту присваивается уровень критичности:
- Critical — утечка данных клиентов, полная недоступность платформы;
- High — частичная недоступность, нарушение целостности данных;
- Medium — некритичный сбой, затронувший часть пользователей;
- Low — косметический дефект, не влияющий на данные и доступность.
Локализация. В течение 30 минут для Critical/High инцидентов принимаются меры по изоляции проблемы (отключение скомпрометированного компонента, блокировка учётной записи).
Устранение. Выполняется восстановление работоспособности, применяются исправления. Сроки — согласно SLA (раздел 3).
Уведомление клиентов. При инцидентах уровня Critical или High клиенты уведомляются в течение 2 часов с момента обнаружения. Уведомление содержит: описание, затронутые системы, ожидаемое время восстановления.
Post-mortem анализ. В течение 5 рабочих дней после устранения Critical/High инцидента проводится разбор причин, публикуется отчёт и принимаются меры по предотвращению повторения.
Уведомление регулятора. При инцидентах, подпадающих под требования 152-ФЗ (утечка ПДн), уведомление в Роскомнадзор направляется в течение 24 часов, в соответствии со ст. 19 152-ФЗ.

Сообщить об инциденте можно по email: dpo@vertys.ru или через Telegram-поддержку.

1. Политика безопасности

Шифрование данных при передаче (TLS 1.3) и хранении (AES-256);
Изоляция данных клиентов — каждый клиент работает в собственном пространстве;
Двухфакторная аутентификация (2FA) для доступа сотрудников к инфраструктуре;
Логирование всех операций доступа к данным с хранением логов не менее 12 месяцев;
Регулярное резервное копирование (не реже 1 раза в сутки) с географическим разносом;
Пентесты и сканирование уязвимостей — не реже 1 раза в квартал;
Все серверы размещены на территории РФ (провайдеры уровня Tier III).

2. Соответствие 152-ФЗ «О персональных данных»

Определены категории обрабатываемых персональных данных и цели обработки — зафиксированы в Политике конфиденциальности;
Разработаны и утверждены локальные акты по обработке и защите ПДн;
Проведена классификация информационных систем персональных данных (ИСПДн) по уровням защищённости;
Реализованы организационные и технические меры защиты в соответствии с Постановлением Правительства РФ N 1119;
Подано уведомление в Роскомнадзор об обработке персональных данных. Номер уведомления РКН: ожидается;
Ведётся журнал учёта обращений субъектов ПДн с фиксацией сроков и результатов рассмотрения;
При трансграничной передаче данных обеспечивается адекватный уровень защиты в соответствии с требованиями Роскомнадзора.

Полный текст Политики конфиденциальности доступен по ссылке: vertys.ru/privacy

3. Соглашение об уровне обслуживания (SLA)

Vertys гарантирует следующие показатели доступности и качества услуг:

Доступность платформы Mirror: не менее 99.5% в месяц (за исключением плановых регламентных работ с предварительным уведомлением за 48 часов);
Время реакции на инцидент: первая реакция в течение 1 часа с момента фиксации обращения (в рабочее время: Пн–Пт, 09:00–19:00 МСК);
Время восстановления: не более 4 часов для критических инцидентов, не более 24 часов для некритических;
Актуальность данных дашбордов: данные Mirror обновляются ежедневно; для тарифа Mirror Growth — каждые 4 часа;
Срок ответа на запрос аналитика: не более 4 рабочих часов (тарифы Mirror Core и Growth), не более 8 рабочих часов (тариф Mirror Start);
Компенсация за нарушение SLA: при недоступности платформы более 48 часов подряд — перерасчёт стоимости периода на следующий месяц.

Детальные условия SLA фиксируются в договоре при подключении тарифов Mirror.

4. Контакты для обращений по вопросам обработки данных

Email: dpo@vertys.ru
Общие вопросы: support@vertys.ru
Сайт: vertys.ru

5. Информация о хостинге и инфраструктуре

Хостинг-провайдер: уточняется (информация будет добавлена после финализации договора);
Уровень дата-центра: Tier III;
Географическое расположение серверов: Российская Федерация;
Шифрование дисков: LUKS (в процессе внедрения);
Резервное копирование: ежедневное, с географическим разносом.

6. Порядок действий при инцидентах

В случае возникновения инцидента информационной безопасности Vertys действует по следующему регламенту:

Обнаружение и фиксация. Инцидент фиксируется автоматически системами мониторинга или вручную сотрудником/клиентом через обращение в поддержку.
Классификация. Инциденту присваивается уровень критичности:
- Critical — утечка данных клиентов, полная недоступность платформы;
- High — частичная недоступность, нарушение целостности данных;
- Medium — некритичный сбой, затронувший часть пользователей;
- Low — косметический дефект, не влияющий на данные и доступность.
Локализация. В течение 30 минут для Critical/High инцидентов принимаются меры по изоляции проблемы (отключение скомпрометированного компонента, блокировка учётной записи).
Устранение. Выполняется восстановление работоспособности, применяются исправления. Сроки — согласно SLA (раздел 3).
Уведомление клиентов. При инцидентах уровня Critical или High клиенты уведомляются в течение 2 часов с момента обнаружения. Уведомление содержит: описание, затронутые системы, ожидаемое время восстановления.
Post-mortem анализ. В течение 5 рабочих дней после устранения Critical/High инцидента проводится разбор причин, публикуется отчёт и принимаются меры по предотвращению повторения.
Уведомление регулятора. При инцидентах, подпадающих под требования 152-ФЗ (утечка ПДн), уведомление в Роскомнадзор направляется в течение 24 часов, в соответствии со ст. 19 152-ФЗ.

Сообщить об инциденте можно по email: dpo@vertys.ru или через Telegram-поддержку.

Доверие и безопасность

1. Политика безопасности

2. Соответствие 152-ФЗ «О персональных данных»

3. Соглашение об уровне обслуживания (SLA)

4. Контакты для обращений по вопросам обработки данных

5. Информация о хостинге и инфраструктуре

6. Порядок действий при инцидентах

Доверие и безопасность

1. Политика безопасности

2. Соответствие 152-ФЗ «О персональных данных»

3. Соглашение об уровне обслуживания (SLA)

4. Контакты для обращений по вопросам обработки данных

5. Информация о хостинге и инфраструктуре

6. Порядок действий при инцидентах