Аудит безопасности хранения персональных данных, уровень 3

Назначен ответственный за обработку ПДн (приказ)

Разработана и утверждена политика обработки ПДн

На сайте размещена политика конфиденциальности и согласие пользователей

Ведётся реестр обработки ПДн (ФИО, дата рождения, телефон, email; цель обработки — предоставление услуг маркетплейса; срок хранения — 5 лет)

Сотрудники подписали NDA и проходят обучение по защите данных

Серверы размещены в дата-центре в РФ (Москва) с контролем доступа и видеонаблюдением

Резервные копии данных выполняются регулярно, хранятся в защищённом месте, зашифрованы (AES-256), проводится тестирование восстановления

Вход в систему осуществляется только через OAuth (Telegram/VK)

Проверка access_token выполняется на бэкенде

API ограничен по правам доступа, выдаются только необходимые данные

Передача данных осуществляется по HTTPS (TLS 1.3) с включённым HSTS

Данные шифруются в базе данных (AES-256), ключи шифрования хранятся отдельно от данных

Защита от атак по стандарту OWASP Top 10 (SQL-инъекции, XSS, CSRF)

Логирование действий администраторов

Внедрена система блокировки IP-адресов

Используется WAF

Серверы и ПО обновляются регулярно (ОС, СУБД)