ЭТОЧАТБОТ
Мессенджеры
Telegram Макс Instagram* ВКонтакте
ИИ-агенты Тарифы
Сервис
О нас Контакты Юридическая информация
Ресурсы
База знаний Блог
Попробовать Войти

Юридическая информация· Меры безопасности персональных данных

Документы сервиса

Меры безопасности персональных данных

Технические и организационные меры защиты данных в сервисе «ЭТОЧАТБОТ».

Редакция от 29 апреля 2026 г.

Кратко

Документ описывает реализованные меры защиты персональных данных в соответствии со ст. 19 Федерального закона № 152-ФЗ, Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах» и Приказом ФСТЭК России от 18.02.2013 № 21.

1. Уровень защищённости

В информационной системе персональных данных (ИСПДн) сервиса «ЭТОЧАТБОТ» обрабатываются ПД, отнесённые к категориям «иные ПД» и «общедоступные ПД». С учётом критериев Постановления № 1119 (актуальные угрозы 3 типа, иные категории ПД, более 100 000 субъектов) применяется третий уровень защищённости (УЗ-3).

2. Технические меры

2.1. Шифрование

  • HTTPS/TLS 1.2+ для всех соединений; HSTS с предзагруженной политикой.
  • Хеширование паролей пользователей по алгоритму bcrypt (cost factor ≥ 12).
  • Шифрование чувствительных полей (токены ботов, ключи API мессенджеров) на уровне приложения с использованием алгоритмов, разрешённых ФСБ России.
  • Шифрованные резервные копии БД с ограниченным сроком хранения.

2.2. Контроль доступа

  • Принцип минимально необходимых привилегий (least privilege).
  • Индивидуальные учётные записи сотрудников; запрет на использование общих логинов.
  • Многофакторная аутентификация для административных учётных записей.
  • Журналирование всех действий с ПД, доступ к БД — только через bastion-host с записью SSH-сессий.
  • Регулярный пересмотр прав доступа (offboarding в течение 24 часов после ухода сотрудника).

2.3. Защита периметра и сетей

  • Межсетевой экран на границе сети.
  • Сегментация сетей: production, staging, office — физически изолированы.
  • Запрет доступа к production-БД с общедоступного интернета.
  • Защита от DDoS-атак на уровне инфраструктурного провайдера.
  • Регулярные обновления системного и прикладного ПО, отслеживание уязвимостей (CVE).

2.4. Аудит и мониторинг

  • Централизованное логирование событий безопасности.
  • Автоматические оповещения о подозрительной активности (множественные неуспешные попытки входа, аномальный трафик).
  • Регулярные проверки целостности резервных копий.
  • Внутренние аудиты не реже 1 раза в год.

2.5. Защита от вредоносного ПО

  • Ограниченные допустимые типы загружаемых файлов; запрет на исполняемые расширения (.exe, .bat, .sh, .php и т. п.) в вложениях.
  • Жёсткие лимиты на размер загружаемых файлов.
  • Антивирусная защита рабочих станций администраторов.

3. Организационные меры

  • Назначен ответственный за организацию обработки ПД (ст. 22.1 152-ФЗ): Индивидуальный предприниматель Киселев Д. Ю. (контакт — info@etochat.bot).
  • Утверждены внутренние документы: положение об обработке ПД, инструкции для сотрудников, политика парольной защиты, регламент реагирования на инциденты.
  • Обязательство о неразглашении (NDA) для всех сотрудников и подрядчиков, имеющих доступ к ПД.
  • Обучение сотрудников основам информационной безопасности и 152-ФЗ при найме, далее — ежегодный refresher.
  • Процедура удаления данных при увольнении сотрудника или прекращении работы подрядчика.

4. Реагирование на инциденты

В случае выявления нарушения, повлёкшего неправомерную или случайную передачу ПД (утечку), Оператор:

  1. Незамедлительно проводит расследование, локализует инцидент, устраняет уязвимость.
  2. В течение 24 часов с момента выявления уведомляет Роскомнадзор о факте инцидента (ч. 3.1 ст. 21 152-ФЗ).
  3. В течение 72 часов с момента выявления направляет в Роскомнадзор результаты внутреннего расследования.
  4. Уведомляет затронутых субъектов ПД о факте инцидента и принятых мерах.
  5. Документирует инцидент во внутреннем журнале, проводит post-mortem и вносит изменения в процессы.

5. Локализация данных

Серверная инфраструктура сервиса размещается в дата-центрах на территории Российской Федерации, что соответствует требованию ч. 5 ст. 18 152-ФЗ о локализации первичного сбора и последующего хранения ПД граждан РФ.

6. Сертификации и соответствие

  • Оператор зарегистрирован в Реестре операторов ПД Роскомнадзора под номером 16-25-027399.
  • Сервис строится в соответствии с требованиями ст. 19 152-ФЗ и Приказа ФСТЭК России № 21.
  • Принципы безопасной разработки (Secure SDLC): код-ревью, статический анализ, ручное тестирование.

7. Бэкапы и непрерывность

  • Ежедневные шифрованные резервные копии БД и файловых хранилищ.
  • Срок хранения резервных копий — до 30 календарных дней.
  • Регулярные тренировки восстановления (DR drills) с замером RTO/RPO.
  • Целевая доступность сервиса — 99,9 %/мес. (см. Публичную оферту, раздел «Доступность»).

8. Сообщить об уязвимости

Если вы обнаружили уязвимость или подозрительное поведение, пожалуйста, сообщите нам — info@etochat.bot с темой «Безопасность». Действует политика ответственного раскрытия (responsible disclosure):

  • Не используйте найденную уязвимость для нанесения вреда.
  • Не публикуйте детали до её устранения.
  • Дайте нам разумный срок (90 дней) для исправления.

Мы благодарим исследователей и по договорённости можем выплатить вознаграждение (bug bounty) или указать имя в Hall of Fame.

9. Связанные документы