← Назад к юридической информации

Политика информационной безопасности

Редакция от «__» ___________ 2026 г.

Настоящий документ описывает политику информационной безопасности, применяемую ИП Заиров Жахонгир Азамат угли (ОГРНИП 325508100149841, ИНН 772422853847, далее — «Оператор») при предоставлении услуг через мобильное приложение «Musofir», а также процедуру безопасной передачи конфиденциальной информации Плательщиков по каналам связи.

Настоящая Политика дополняет Политику обработки персональных данных, описывает технические и организационные меры, реализованные Оператором, и соответствует требованиям Постановления Правительства РФ № 1119, приказов ФСТЭК России и ФСБ России в области защиты информации.

1. Общие принципы безопасности

• Обеспечение конфиденциальности, целостности и доступности информации пользователей.
• Минимизация объёма собираемых данных — Оператор запрашивает только те сведения, которые необходимы для оказания услуг.
• Регулярный аудит и обновление мер безопасности в соответствии с актуальными угрозами.
• Соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных применимых нормативных актов.
• Применение модели угроз и нарушителя, разработанной по методике ФСТЭК России 2021 г.

2. Безопасная передача конфиденциальной информации

2.1. Шифрование соединений

Все соединения между мобильным приложением, веб-браузером пользователя и серверами Оператора защищены протоколом TLS версий 1.2 и 1.3. Используется SSL-сертификат, выданный удостоверяющим центром Let's Encrypt с автоматическим обновлением. Незащищённые HTTP-соединения автоматически перенаправляются на HTTPS. Дополнительно применяется заголовок Strict-Transport-Security (HSTS), требующий от браузера использовать HTTPS для всех будущих обращений.

2.2. Обработка платёжных данных

Оператор не хранит и не обрабатывает данные банковских карт Плательщиков (номер карты, срок действия, CVV/CVC). Все платёжные операции осуществляются через платёжный шлюз АО «Т-Банк» (tbank.ru), который соответствует стандарту PCI DSS (Payment Card Industry Data Security Standard).

Процесс оплаты происходит следующим образом:

1. Пользователь нажимает кнопку оплаты в Приложении.
2. Приложение перенаправляет пользователя на защищённую платёжную страницу Т-Банка.
3. Пользователь вводит данные карты непосредственно на странице Т-Банка.
4. Т-Банк обрабатывает платёж и уведомляет сервер Оператора только о результате (успех/отказ) и идентификаторе транзакции.

Таким образом, данные карты никогда не передаются через серверы Оператора.

2.3. Заголовки безопасности

Веб-сервер Оператора использует следующие заголовки безопасности HTTP:

• Strict-Transport-Security (HSTS) — принудительное использование HTTPS;
• X-Content-Type-Options: nosniff — защита от подмены типа содержимого;
• X-Frame-Options: DENY — защита от встраивания страниц во фреймы (clickjacking);
• Referrer-Policy: strict-origin-when-cross-origin — контроль передачи заголовка Referer;
• Content-Security-Policy — ограничение источников загружаемого контента.

3. Защита серверной инфраструктуры

• Серверы размещены в дата-центре провайдера ООО «Таймвеб» (Timeweb Cloud, г. Москва) на территории Российской Федерации, что обеспечивает соблюдение требования о локализации (ч. 5 ст. 18 152-ФЗ).
• Все сервисы изолированы в Docker-контейнерах с минимально необходимыми привилегиями.
• Внутренние сервисы (база данных, кеш, объектное хранилище) доступны только из внутренней сети и не имеют публичных портов.
• Регулярное обновление программного обеспечения и зависимостей; мониторинг публичных уязвимостей (CVE).
• Резервное копирование базы данных ежедневно с шифрованием AES-256 и хранением на отдельном сервере в Российской Федерации.
• Сегментация сети: API-балансировщик и публичные сервисы — в DMZ-зоне; БД и объектное хранилище — во внутренней сети без публичных интерфейсов.

4. Аутентификация и контроль доступа

• Аутентификация пользователей осуществляется через аккаунт Google, Apple ID или email с паролем.
• Пароли пользователей хранятся в виде хешей, рассчитанных с помощью алгоритма bcrypt.
• Сессии защищены с использованием JWT-токенов с ограниченным сроком действия и возможностью отзыва при выходе.
• Доступ к административным панелям ограничен ролевой моделью (RBAC) — каждый сотрудник имеет доступ только к необходимым функциям.
• Каждый просмотр карточки клиента сотрудником фиксируется в журнале доступа со сроком хранения 3 года.
• Реализована защита от подбора пароля: ограничение количества попыток входа с блокировкой при превышении.

5. Защита от атак

• Rate limiting (ограничение частоты запросов) — защита от DDoS-атак и перебора паролей.
• Валидация входных данных — защита от SQL-инъекций, XSS и других атак через пользовательский ввод; параметризованные запросы к БД.
• CORS-политика — ограничение списка доменов, которым разрешено обращаться к API.
• SameSite cookies и проверка Origin/Referer — защита от CSRF.
• Server-side encryption (SSE) объектного хранилища — для резервных копий, записей консультаций и приложенных документов.

6. Защита биометрических данных

Аудио- и видеозаписи юридических консультаций относятся к биометрическим персональным данным и подлежат повышенной защите:

• запись производится только при наличии активного письменного согласия пользователя;
• хранилище записей зашифровано на стороне сервера (SSE);
• доступ к записям предоставляется только Оператору и юристу-участнику соответствующей консультации;
• каждое скачивание записи сотрудником регистрируется в журнале доступа;
• срок хранения записей — 5 лет, после чего они автоматически удаляются.

7. Реагирование на инциденты

В случае обнаружения инцидента информационной безопасности Оператор:

1. незамедлительно принимает меры по локализации и устранению инцидента;
2. в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте безопасности персональных данных в соответствии с частью 3.1 статьи 21 152-ФЗ;
3. в течение 72 часов направляет в Роскомнадзор сведения о результатах внутреннего расследования;
4. уведомляет затронутых пользователей в разумный срок;
5. проводит анализ причин инцидента и принимает меры по предотвращению повторения.

8. Контактная информация

По вопросам информационной безопасности обращайтесь: