http://www.w3.org/1999/xlink http://www.w3.org/1999/xlink logo_ http://www.w3.org/1999/xlink

Справка

Как защищены персональные данные членов общественного жюри конкурса физлиц?

Для того, чтобы стать членом общественного жюри конкурса на грант Губернатора Югры на развитие гражданского общества среди физических лиц, необходимо заполнить заявку, в которой необходимо подтвердить свою личность, предоставив номер телефона, копию паспорта и снилс.  Данный перечень персональных данных собирается для устранения вероятности поступления ложных анкет от фейковых пользователей. Основная цель в том, чтобы голосование за проекты прошло максимально объективно и справедливо по отношению ко всем участникам конкурса.


Сбор данных заявителей осуществляется при помощи CRM-системы «Битрикс24» — безопасного облачного сервиса, который обеспечивает необходимые условия для защиты конфиденциальной информации заявителей на нескольких уровнях.  Все данные членов общественного жюри надежно хранятся в системе, доступ к ним имеют только уполномоченные сотрудники Фонда, которые производят проверку заявок и начисление виртуального капитала.  


Проактивная защита

Система хранения данных членов общественного жюри обеспечивает максимальную защиту от самых разнообразных угроз безопасности. Проактивный фильтр (WAF — Web Application Firewal) защищает от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей WAF распознает большинство опасных угроз и блокирует вторжения.

Передача данных


Передача данных анкет в систему хранения проходят через обмен данными 256bit (с использованием сертификата SSL).  Это обеспечивает полную безопасность конфиденциальной информации и препятствует похищению логинов/паролей. Благодаря надежной защите CRM-системы, пользователи могут открывать заполнять анкету в веб- и мобильную версии сайта грантгубернатора.рф даже в незащищенной среде, подключаясь через WiFi в кафе, бизнес-центрах и так далее.

Датацентры


Сервера, на которых развернута CRM-система Фонда размещаются на арендуемых мощностях в датацентрах на территории Российской Федерации по адресам г. Москва, ул. Авиамоторная, д. 69, г. Москва, Коровинское шоссе, 41 и г. Москва, ул. 8 марта, 14. Хостинг осуществляется компаниями АО «Корп Софт» (ИНН 7743813810) и ООО «Мэйл.Ру» (ИНН 7743001840). В датацентрах установлены системы бесперебойного электроснабжения, технической безопасности, круглосуточного наблюдения и другие комплексы оборудования, которые необходимы для надежной непрерывной и, главное, очень быстрой работы «Битрикс24». Все дата-центры, в которых размещен Битрикс24, защищены по стандарту SAS 70 Type II (который включает доступ к физическим носителям информации по биометрическим данным и максимальную защиту от внешнего вторжения) и соответствуют стандарту Safe Harbor.

Бесперебойная работа 24/7

Для обеспечения бесперебойной работы сервиса используются два независимых датацентра в России. Включена автоматическая и полуавтоматическая реакция на аварийные ситуации. Ежедневно выполняется резервное копирование на нескольких уровнях с различными сценариями восстановления, а также непрерывное онлайн-резервирование в два датацентра.

Операционная система

Внешний доступ через сетевой экран открыт только для стандартного портала 443 для HTTPS протокола.  Защищенная операционная система осуществляет блокирование вредоносных систем и обеспечивает сохранность данных на портале.

Защита веб-сервера

Главная задача web-сервера – хранение информации (файл, изображения, тестовая информация и так далее). Специальное серверное окружение не позволяет записывать данные в локальную систему файлов. Для изоляции пользователей системы и безопасности данных используется специальный модуль для PHP, который не только защищает информацию, но и проводит идентификацию посетителей. 

Уровень приложения

Проактивная защита CRM-системы блокирует 100% атак через потенциальные уязвимости веб-приложения, у злоумышленников нет возможности загрузить вредоносный код через PHP. Веб-приложение соответствует стандарту безопасности WAFEC 1.0. Для доступа к системе хранения анкет используется разграничение прав пользователей и хеширование паролей стойкими алгоритмами. 

Двухэтапная авторизация

Для защиты от шпионских программ, которые могут украсть логин/пароль уполномоченных сотрудников с целью получить доступ к данным, используется двухэтапная авторизация (пароль и одноразовый код). Код сотрудник получает из приложения в мобильном телефоне (через бесплатное приложение Bitrix OTP, freeOTP, Google-аутентификатор, Authenticator для Windows Phone, а также аппаратные устройства).