Безопасность в Carrot quest

Регламент при возникновении проблемы
  • Наш сервис обладает высокой степенью защиты, а сотрудники обучены решать те или иные вопросы, связанные с возникновением сбоев в защите
  • Если замечена угроза безопасности в том или ином случае, разделу или странице присваивается высший уровень приоритета и задача решается в максимально короткие сроки.
  • Когда сбой в нашей защите устранен, мы анализируем проблему и делаем так, чтобы проблема больше не повторилась
Инфраструктура
  • Вся инфраструктура Carrot quest расположена исключительно в облаке. Мы не использзуем физическое аппаратное обеспечение
  • Большая часть инфраструктуры находится в облаке Selectel и расположена в Москве и Санкт-Петербурге. Некоторые подсистемы размещены в Amazon Web Services в нескольких регионах и зонах доступности.
  • Все наши сервера находятся в приватном облаке (Virtual Private Cloud), у которого есть система проверки лиц, имеющих доступ к данным, что предотвращают от проникновения в нашу внутреннюю сеть лиц, не обладающих на это правами.
База данных
  • Вся собранная информация хранится в РФ.
  • Пользовательская информация хранится в мультитенантном хранилище данных, мы не обладаем индивидуальными хранилищами для каждого пользователя. Однако, мы разработали строгие правила гарантии сохранения приватности для нашего кода и блокируем доступ к данным одного пользователя другими пользователями. Мы уверены в этом, так как проводим тесты на обеспечение безопасности. Каждый раз при обновлении системы мы запускаем эти проверки. При сбое мы откатываем обновление и тщательно изучаем причину.
Передача данных
  • Все данные, попадающие в наш сервис или идущие из него, шифруются с помощью 256-битного шифра.
  • Наши сервера обладают сертификатами с оценками "A" на тестах SSL Labs, что означает высокое качество шифрования.
Аутентификация
  • Carrot quest работает через HTTPS.
  • Мы используем двухфакторную авторизацию и строгие политики контроля паролей на всех используемых нами внешних сервисах
Доступ и права администраторов
  • Carrot quest разграничивает доступ и права сотрудников Carrot quest.
  • Доступ к функционалу сервера зависит от обязанностей и сфер компетенций, будь то настройка сервиса, биллинг, данные, собранные нашими пользователями или же доступ к автосообщениям или ручным сообщениям.
Мониторинг приложений
  • Доступ к приложениям Carrot quest постоянно проверяется.
  • Используются бастион-хосты для доступа к серверам во внутренней сети
  • Для всех действий, совершаемых с сервисом, необходима авторизация.
Соблюдение законов
  • Carrot quest работает в соответствии с законами РФ.
PCI Обязанности
  • Carrot quest соответствует требования PCI по безопасности банковских карт в интернете. Для оплаты мы используем сторонние сервисы CloudPayments и Яндекс.Кассы.