Юридическая информация — Toqen

Безопасность и ответственное раскрытие

Мы внедряем надлежащие технические и организационные меры для защиты персональных данных и обеспечения безопасности сервиса и приветствуем ответственное сообщение об уязвимостях.

TL;DR

  • Защищённая передача данных и шифрование при необходимости.
  • Строгий контроль доступа, разделение сред и мониторинг.
  • Ответственное раскрытие с принципом safe harbor для добросовестных исследований.

Меры безопасности

Мы поддерживаем программу безопасности, направленную на защиту конфиденциальности, целостности и доступности сервиса Toqen и персональных данных, обрабатываемых в связи с ним. Меры выбираются и поддерживаются на основе риск-ориентированного подхода с учётом уровня развития технологий, затрат на внедрение, а также характера, объёма, контекста и целей обработки и рисков для субъектов данных.

  • Шифрование данных при передаче с использованием актуальных стандартов TLS; шифрование данных в состоянии покоя при необходимости и при поддержке соответствующей инфраструктуры.
  • Контроль доступа по принципу наименьших привилегий, включая ограниченный административный доступ и, при необходимости, разделение обязанностей.
  • Логическое разделение сред разработки, тестирования и продакшена с мерами по снижению риска несанкционированного доступа и раскрытия данных.
  • Технические и организационные меры для выявления и предотвращения злоупотреблений и атак, такие как ограничение частоты запросов, защита от ботов и защита от повторных атак, где применимо.
  • Мониторинг, логирование и оповещения для поддержки операций безопасности, обнаружения инцидентов и диагностики, при этом доступ к логам ограничен авторизованным персоналом и сервисными процессами.
  • Практики безопасной разработки программного обеспечения, включая код-ревью и автоматизированное тестирование, направленные на выявление проблем безопасности и надёжности.
  • Защита данных участия Launch Partner и связанных административных данных в защищённых системах с доступом, ограниченным авторизованным персоналом и сервисными процессами.

Мы регулярно пересматриваем и, при необходимости, обновляем технические и организационные меры в соответствии с изменяющимися рисками и развитием сервиса.

По соображениям безопасности мы не раскрываем публично чувствительные детали конкретных контролей, конфигураций или механизмов обнаружения.

GDPR и принципы защиты данных ЕС

Сервис разработан с учётом принципов защиты данных ЕС, включая минимизацию данных, ограничение целей обработки, целостность, конфиденциальность и ограничение сроков хранения.

Там, где это технически возможно и оправдано выбранной функциональностью, сервис спроектирован таким образом, чтобы снижать ненужное долгосрочное хранение персональных данных и по умолчанию не полагаться на идентификационно-ориентированные профили.

Дополнительная информация об обработке персональных данных, включая хранение, трансграничные передачи и права субъектов данных, содержится в Политике конфиденциальности. В случаях, когда Toqen обрабатывает персональные данные от имени партнёра, такие отношения регулируются Data Processing Addendum (DPA) и применимыми соглашениями о защите данных.

В целях обеспечения безопасности обработки внедряются надлежащие технические и организационные меры в соответствии со статьёй 32 GDPR.

Ответственное раскрытие

Если вы считаете, что обнаружили уязвимость безопасности, затрагивающую Toqen, пожалуйста, сообщите об этом на hi@toqen.app и предоставьте достаточные сведения для воспроизведения и анализа проблемы.

Мы рассматриваем сообщения, направленные добросовестно в рамках ответственного раскрытия, и стремимся подтвердить обоснованные сообщения в разумные сроки. Мы можем запросить дополнительную информацию или координацию для снижения рисков для пользователей и партнёров.

Safe harbor: мы не будем инициировать юридические действия против лиц, осуществляющих исследования безопасности добросовестно, при условии что они (i) соблюдают применимое законодательство, (ii) избегают нарушений конфиденциальности, уничтожения данных и нарушения работы сервиса, (iii) не получают, не собирают, не хранят, не используют и не раскрывают данные сверх необходимого для демонстрации уязвимости, (iv) своевременно сообщают нам об уязвимости и предоставляют разумный срок для её устранения и (v) не раскрывают публично уязвимость или детали эксплойта до устранения проблемы либо до согласования графика координированного раскрытия.

Инфраструктурные и сервисные провайдеры

Мы используем проверенных инфраструктурных и сервисных провайдеров для эксплуатации и защиты сервиса. В случаях, когда такие провайдеры обрабатывают персональные данные, они действуют как обработчики или субобработчики на основании соответствующих договорных условий, включая обязательства по защите данных и безопасности, в соответствии с применимым законодательством.

Контроли безопасности реализуются посредством многоуровневых технических и организационных мер. Хотя мы не раскрываем чувствительные детали реализации, мы стремимся излагать практики безопасности ясно, точно и без введения в заблуждение.