beauty-passport
политика иб

Политика информационной безопасности

Определяет принципы, роли, меры защиты и порядок реагирования для сервисов beauty-passport в соответствии с законодательством РФ.

Содержание

  1. Общие положения и цели
  2. Роли и ответственность
  3. Классификация и минимизация данных
  4. Доступ и аутентификация
  5. Шифрование и хранение
  6. Журналы и мониторинг
  7. Поставщики и передачи
  8. Реагирование на инциденты
  9. Непрерывность и резервирование
  10. Актуализация политики
  11. Контакты

1. Общие положения и цели

Политика информационной безопасности (далее — Политика) устанавливает единые требования к защите информации, в том числе персональных данных пользователей, обрабатываемых сервисом beauty-passport.ru. Цель — поддержание конфиденциальности, целостности и доступности информации.

2. Роли и ответственность

  • Оператор (ИП Касьянов А.И.) — утверждает Политику, обеспечивает ресурсы и контроль выполнения.
  • Технические исполнители — внедряют и поддерживают меры защиты, ведут журналы, проводят резервное копирование.
  • Партнёры по обработке — действуют по договору и инструкциям Оператора, соблюдают режим конфиденциальности.

3. Классификация и минимизация данных

Используем принцип минимизации: собираем и храним только то, что необходимо для оказания услуг и соблюдения законодательства РФ.
  • Служебные данные (логи, идентификаторы сессии, cookie, IP);
  • Контактные данные, предоставленные пользователем (e-mail);
  • Изображения, загруженные для обработки, и результаты (JPEG/PNG/PDF) — хранятся ограниченный срок;
  • Платёжные атрибуты — хранятся у провайдера оплаты, в сервисе сохраняются только необходимые служебные статусы/идентификаторы.

4. Доступ и аутентификация

  • Доступ к средам и данным предоставляется по принципу «необходимого и достаточного» (least privilege).
  • Используются уникальные учётные записи, MFA для критичных систем, регулярная ротация секретов.
  • Административные действия журналируются; доступы пересматриваются не реже одного раза в квартал или при кадровых изменениях.

5. Шифрование и хранение

  • Передача данных — только по HTTPS (TLS).
  • Секреты и ключи — в защищённых хранилищах, с разграничением доступа.
  • Файлы пользователей — в пределах РФ или в инфраструктуре провайдера при соблюдении требований 152-ФЗ, с ограниченными сроками хранения и контролем доступа.

6. Журналы и мониторинг

  • Ведутся журналы аутентификации, основных операций, ошибок приложений и веб-сервера.
  • Журналы недоступны из публичной сети; срок хранения и доступ — регламентированы.
  • Настроены алерты по критичным событиям (ошибки 5xx, отказ в доступе, аномалии трафика).

7. Поставщики и передачи

  • Поставщики (оплаты/доставки/хостинга) привлекаются на основании договоров с условиями ИБ и конфиденциальности.
  • Кросс-граничная передача допускается только при наличии оснований в законодательстве РФ и гарантии надлежащей защиты.

8. Реагирование на инциденты

  • Определены этапы: обнаружение, классификация, локализация, устранение, восстановление, пост-анализ.
  • Назначены ответственные за регистрацию и расследование инцидентов; при необходимости уведомляются субъекты ПДн и регуляторы в установленные сроки.

9. Непрерывность и резервирование

  • Резервные копии конфигураций и критичных данных выполняются по расписанию и периодически проверяются восстановлением.
  • Есть процедуры аварийного восстановление сервисов в случае сбоев инфраструктуры.

10. Актуализация политики

Политика пересматривается при значимых изменениях в архитектуре, процессах обработки данных или законодательстве РФ, а также не реже одного раза в год.

11. Контакты

Оператор: ИП Касьянов Александр Игоревич

  • E-mail: kasyanow.ai@gmail.com
  • ИНН: 744722940100
  • ОГРН: 322774600224116
  • Адрес: 125445, г. Москва, ш. Ленинградское, д. 130, корп. 3, кв. 23

Связанные документы: Оферта, Политика конфиденциальности, Политика обработки ПДн.