Безопасность
Безопасность и защита данных
⚠️ Перевод проходит юридическую проверку. Этот документ — перевод оригинальной англоязычной версии. Юридическая проверка для вашей юрисдикции в процессе. До её завершения, в случае расхождений, приоритет имеет англоязычная версия. Открыть англоязычную версию.
Последнее обновление: 27 апреля 2026
1. Наш подход к безопасности
VetScan обрабатывает вашу персональную информацию и информацию о здоровье вашей собаки. Мы относимся к обеим как к чувствительным данным. Эта страница документирует, что мы делаем для защиты этих данных и как сообщить о проблемах безопасности.
2. Шифрование
- В транзите: Все соединения используют TLS 1.3 (новейшая версия HTTPS). Сайт обслуживается исключительно через HTTPS — HTTP перенаправляется автоматически.
- В покое: Все хранимые данные шифруются в покое с использованием AES-256, того же стандарта шифрования, который правительство США использует для секретных данных.
- Резервные копии базы данных: Зашифрованы отдельными ключами, хранятся в географически разных локациях.
3. Инфраструктура
Мы полагаемся на провайдеров инфраструктуры с сильными позициями по безопасности:
- Хостинг: Vercel — соответствует SOC 2 Type II, сертифицирован ISO 27001, работает на глобальном CDN с защитой от DDoS
- Email: Google Workspace — SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, FedRAMP
- Domain & DNS: Namecheap with DNSSEC available; CDN traffic routed through Cloudflare
- База данных (после запуска): Провайдер, сертифицированный по SOC 2 Type II; выбор вендора в процессе (цель: Q2 2026)
4. Контроль доступа
- Двухфакторная аутентификация обязательна для всех командных аккаунтов (Google Workspace, GitHub, Vercel, хостинг)
- Принцип наименьших привилегий — члены команды имеют доступ только к тому, что им нужно для работы
- Журналы аудита для чувствительных операций (административные действия, экспорт данных, ротация ключей)
- Регулярные ревью доступа — минимум ежеквартально, чаще во время изменений в команде
5. Privacy by design
- Минимальный сбор данных — мы собираем только то, что нужно для работы сервиса
- Опция анонимного triage — базовый triage не требует аккаунта; можно пользоваться инструментом без создания записи идентификации
- Автоудаление неактивных аккаунтов через 24 месяца
- Экспорт данных по запросу — вы можете запросить свои данные и забрать их с собой
- Без сторонних рекламных трекеров — мы не встраиваем Facebook Pixel, Google Ads или подобные трекеры без явного согласия (баннер cookies)
6. Соответствие
- GDPR — соответствуем; полное Соглашение об обработке данных (DPA) доступно по запросу для B2B-партнёров
- CCPA — соответствуем для жителей Калифорнии; ссылка «Do Not Sell» в футере (мы в любом случае не продаём данные)
- SOC 2 Type II — аудит идёт; целевое завершение Q3 2026
- HIPAA — формально не применяется (HIPAA охватывает медицинские данные людей, не животных); однако мы добровольно применяем эквивалентные административные, физические и технические защитные меры
7. Программа раскрытия уязвимостей
Если вы обнаружили уязвимость безопасности, сообщите о ней ответственно:
- Email: hello@vetscan.app с темой "Security: [краткое описание уязвимости]"
- Что включить: описание уязвимости, шаги воспроизведения и (по возможности) предложенное исправление
- Наши обязательства: подтверждаем в течение 48 часов, триажим в течение 5 рабочих дней и даём обновление статуса минимум каждые 14 дней до решения
- Окно раскрытия: мы просим исследователей предоставить 90 дней до публичного раскрытия; мы будем работать с вами над более быстрым исправлением, если это оправдано серьёзностью
- Машиночитаемый контакт: мы публикуем
security.txtсогласно RFC 9116 - Полная политика и правила: SECURITY_POLICY.md (область действия, рубрикатор серьёзности, safe harbor)
- Признание: с вашего разрешения мы перечисляем валидные отчёты в нашем публичном журнале безопасности; bug bounty-программа в разработке
8. Реагирование на инциденты
- Мы обязуемся к уведомлению об утечке в течение 72 часов в соответствии со статьёй 33 GDPR
- Мы будем уведомлять пострадавших пользователей индивидуально о любой утечке, касающейся персональных данных
- Мы ведём публичный журнал безопасности на этой странице (см. ниже)
Публичный журнал безопасности: Отчётных инцидентов на данный момент нет. Журнал обновляется в течение 30 дней от любого квалифицирующего события.
9. Сторонние обработчики
Мы используем ограниченный набор проверенных обработчиков:
| Обработчик | Цель | Регион |
|---|---|---|
| Vercel | Хостинг, CDN, edge compute | Глобально (конфигурируемо) |
| Google Workspace | Email, календарь, документы | США/ЕС |
| Cloudflare | DNS, защита от DDoS | Глобально |
| Namecheap | Регистратор доменов | США |
Обработчики для маркетинговых email и аналитики (например, Kit/ConvertKit, Plausible/GA4) будут добавлены в этот список до интеграции.
10. Контакт
- Уязвимости безопасности: hello@vetscan.app (тема: Security)
- Запросы приватности и данных: privacy@vetscan.app
- Общие вопросы: hello@vetscan.app