Безпека
Безпека та захист даних
⚠️ Переклад на перевірці у юриста. Цей документ — переклад оригінальної англомовної версії. Юридична перевірка для вашої юрисдикції триває. До її завершення, у разі розбіжностей, пріоритет має англомовна версія. Переглянути англомовну версію.
Останнє оновлення: 27 квітня 2026
1. Наш підхід до безпеки
VetScan обробляє вашу персональну інформацію та інформацію про здоров’я вашої собаки. Ми ставимося до обох як до чутливих даних. Ця сторінка документує, що ми робимо для захисту цих даних і як повідомити про проблеми безпеки.
2. Шифрування
- В транзиті: Усі з’єднання використовують TLS 1.3 (найновіша версія HTTPS). Сайт обслуговується виключно через HTTPS — HTTP перенаправляється автоматично.
- У спокої: Усі збережені дані шифруються в спокої з використанням AES-256, того самого стандарту шифрування, який уряд США використовує для секретних даних.
- Резервні копії бази даних: Зашифровані окремими ключами, зберігаються у географічно різних локаціях.
3. Інфраструктура
Ми покладаємося на провайдерів інфраструктури з сильними позиціями щодо безпеки:
- Хостинг: Vercel — відповідає SOC 2 Type II, сертифіковано ISO 27001, працює на глобальному CDN із захистом від DDoS
- Email: Google Workspace — SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, FedRAMP
- Domain & DNS: Namecheap with DNSSEC available; CDN traffic routed through Cloudflare
- База даних (після запуску): Провайдер, сертифікований за SOC 2 Type II; вибір вендора триває (ціль: Q2 2026)
4. Контроль доступу
- Двофакторна автентифікація обов’язкова для всіх командних акаунтів (Google Workspace, GitHub, Vercel, хостинг)
- Принцип найменших привілеїв — члени команди мають доступ лише до того, що їм потрібно для роботи
- Журнали аудиту для чутливих операцій (адміністративні дії, експорт даних, ротація ключів)
- Регулярні перевірки доступу — мінімум щоквартально, частіше під час змін у команді
5. Privacy by design
- Мінімальний збір даних — ми збираємо лише те, що потрібно для роботи сервісу
- Опція анонімного triage — базовий triage не вимагає акаунту; можна користуватись інструментом без створення запису ідентифікації
- Автовидалення неактивних акаунтів через 24 місяці
- Експорт даних на запит — ви можете запитати свої дані та забрати їх із собою
- Без сторонніх рекламних трекерів — ми не вбудовуємо Facebook Pixel, Google Ads чи подібні трекери без явної згоди (банер cookies)
6. Відповідність
- GDPR — відповідаємо; повна Угода про обробку даних (DPA) доступна за запитом для B2B-партнерів
- CCPA — відповідаємо для мешканців Каліфорнії; посилання «Do Not Sell» у футері (ми у будь-якому разі не продаємо дані)
- SOC 2 Type II — аудит триває; цільове завершення Q3 2026
- HIPAA — формально не застосовується (HIPAA охоплює медичні дані людей, не тварин); однак ми добровільно застосовуємо еквівалентні адміністративні, фізичні й технічні запобіжники
7. Програма розкриття вразливостей
Якщо ви виявили вразливість безпеки, повідомте про неї відповідально:
- Email: hello@vetscan.app із темою "Security: [короткий опис вразливості]"
- Що включити: опис вразливості, кроки відтворення та (за можливості) запропоноване виправлення
- Наші зобов’язання: підтверджуємо протягом 48 годин, тріажуємо протягом 5 робочих днів і даємо оновлення статусу принаймні кожні 14 днів до вирішення
- Вікно розкриття: ми просимо дослідників надати 90 днів до публічного розкриття; ми працюватимемо з вами над швидшим виправленням, якщо це виправдано серйозністю
- Машиночитаний контакт: ми публікуємо
security.txtзгідно з RFC 9116 - Повна політика та правила: SECURITY_POLICY.md (область дії, рубрикатор серйозності, safe harbor)
- Визнання: з вашого дозволу ми перераховуємо валідні звіти у нашому публічному журналі безпеки; bug bounty-програма в розробці
8. Реагування на інциденти
- Ми зобов’язуємося до повідомлення про витік протягом 72 годин відповідно до статті 33 GDPR
- Ми повідомлятимемо постраждалих користувачів індивідуально щодо будь-якого витоку, що стосується персональних даних
- Ми ведемо публічний журнал безпеки на цій сторінці (див. нижче)
Публічний журнал безпеки: Звітних інцидентів на цей момент немає. Журнал оновлюється протягом 30 днів від будь-якої кваліфікаційної події.
9. Сторонні обробники
Ми використовуємо обмежений набір перевірених обробників:
| Обробник | Мета | Регіон |
|---|---|---|
| Vercel | Хостинг, CDN, edge compute | Глобально (конфігуровано) |
| Google Workspace | Email, календар, документи | США/ЄС |
| Cloudflare | DNS, захист від DDoS | Глобально |
| Namecheap | Реєстратор доменів | США |
Обробники для маркетингових email і аналітики (наприклад, Kit/ConvertKit, Plausible/GA4) будуть додані до цього переліку до інтеграції.
10. Контакт
- Вразливості безпеки: hello@vetscan.app (тема: Security)
- Запити приватності та даних: privacy@vetscan.app
- Загальні питання: hello@vetscan.app