B
BEKTEK

Политика безопасности

Последнее обновление: 06.12.2025

1. Общие положения

Товарищество с ограниченной ответственностью «Бектек», БИН 251140031036 (далее — «Исполнитель») придает первостепенное значение безопасности персональных данных и информации клиентов. Настоящая Политика безопасности описывает меры, применяемые для защиты данных.

Юридический адрес: Республика Казахстан, Актюбинская область, Хромтауский район, город Хромтау, Проспект Абая, дом 4, кв. 145, почтовый индекс 031100

Руководитель: БЕКМУРАТОВА АЭЛИТА АДИЛЬБЕКОВНА

Мы соблюдаем требования законодательства РК о защите персональных данных и принципы GDPR.

2. Защита персональных данных

2.1. Хранение паролей

Пароли пользователей хранятся в зашифрованном виде с использованием современного алгоритма Argon2:

  • Argon2 — победитель Password Hashing Competition (2015)
  • Устойчивость к атакам перебора и GPU-атакам
  • Пароли никогда не хранятся в открытом виде
  • Невозможность восстановления пароля (только сброс)

2.2. Аутентификация

Для аутентификации используется безопасная система JWT (JSON Web Tokens):

  • Токены подписываются секретным ключом (JWT_SECRET, минимум 32 символа)
  • Токены имеют ограниченный срок действия
  • Токены хранятся в защищенных httpOnly cookies
  • Поддержка refresh tokens для безопасного обновления сессий

2.3. Шифрование данных

Все данные передаются по защищенному соединению:

  • HTTPS/TLS 1.3: все соединения шифруются
  • SSL сертификаты: валидные сертификаты от доверенных центров
  • Шифрование в БД: чувствительные данные шифруются на уровне базы данных
  • Шифрование платежей: данные карт обрабатываются через PCI DSS сертифицированные шлюзы

3. Защита API и endpoints

3.1. Rate Limiting

Для защиты от злоупотреблений применяется ограничение частоты запросов:

  • Ограничение количества запросов с одного IP
  • Защита от DDoS атак
  • Защита от брутфорс атак на пароли
  • Использование Redis для распределенного rate limiting

3.2. Валидация данных

Все входящие данные валидируются:

  • Валидация на клиенте (UX)
  • Валидация на сервере (безопасность)
  • Использование библиотеки Zod для строгой типизации
  • Защита от SQL injection через параметризованные запросы
  • Защита от XSS через санитизацию входных данных

3.3. CORS и безопасность заголовков

Применяются строгие политики безопасности:

  • Настройка CORS для разрешенных доменов
  • Security headers (X-Frame-Options, X-Content-Type-Options, CSP)
  • Защита от clickjacking
  • Защита от MIME-sniffing

4. Защита базы данных

  • Доступ к БД только через защищенные соединения
  • Использование параметризованных запросов (защита от SQL injection)
  • Ограничение прав доступа (принцип наименьших привилегий)
  • Регулярное резервное копирование
  • Шифрование резервных копий
  • Мониторинг подозрительной активности

5. Логирование и мониторинг

5.1. Логирование

Ведется подробное логирование для безопасности:

  • Логирование всех попыток входа
  • Логирование изменений критических данных
  • Логирование платежных транзакций
  • Логирование ошибок и исключений
  • Логи хранятся в защищенном месте с ограниченным доступом

5.2. Мониторинг

Постоянный мониторинг систем:

  • Мониторинг доступности сервисов
  • Обнаружение аномальной активности
  • Алерты при подозрительных действиях
  • Интеграция с Sentry для отслеживания ошибок

6. Ограничение доступа

6.1. Принцип наименьших привилегий

Доступ к данным предоставляется только в объеме, необходимом для выполнения задач:

  • Разделение прав доступа (роли: пользователь, админ, модератор)
  • Ограничение доступа к административным функциям
  • Двухфакторная аутентификация для администраторов (при необходимости)

6.2. Защита административных панелей

Административные панели защищены дополнительными мерами:

  • Доступ только для авторизованных администраторов
  • Логирование всех административных действий
  • IP-whitelist для критических операций (опционально)

7. Защита платежей

Платежи обрабатываются через сертифицированные платежные шлюзы:

  • CloudPayments: PCI DSS Level 1 сертификация
  • Kaspi.kz: соответствие стандартам безопасности
  • Данные карт не хранятся на наших серверах
  • 3D Secure для дополнительной защиты
  • Валидация всех транзакций
  • Мониторинг подозрительных платежей

8. Обновления и патчи

Регулярное обновление систем безопасности:

  • Обновление зависимостей (npm packages)
  • Установка патчей безопасности
  • Обновление серверного ПО
  • Регулярные аудиты безопасности
  • Тестирование на уязвимости

9. Резервное копирование

Регулярное резервное копирование данных:

  • Ежедневное автоматическое резервное копирование БД
  • Хранение резервных копий в зашифрованном виде
  • Хранение копий в разных географических локациях
  • Тестирование восстановления из резервных копий
  • Срок хранения: минимум 30 дней

10. Инциденты безопасности

10.1. Процедура реагирования

При обнаружении инцидента безопасности:

  1. Немедленная изоляция затронутых систем
  2. Анализ масштаба инцидента
  3. Устранение уязвимости
  4. Восстановление данных из резервных копий (при необходимости)
  5. Уведомление затронутых пользователей (если требуется)
  6. Документирование инцидента

10.2. Уведомление пользователей

В случае утечки данных мы обязуемся уведомить затронутых пользователей в течение 72 часов после обнаружения инцидента (в соответствии с GDPR).

11. Соответствие стандартам

Мы стремимся соответствовать следующим стандартам и требованиям:

  • Законодательство РК о защите персональных данных
  • GDPR (General Data Protection Regulation)
  • Принципы безопасности OWASP
  • PCI DSS (для обработки платежей)

12. Рекомендации для пользователей

Для повышения безопасности вашего аккаунта:

  • Используйте сложные пароли (минимум 8 символов, буквы, цифры, символы)
  • Не используйте один пароль для разных сервисов
  • Не передавайте учетные данные третьим лицам
  • Выходите из аккаунта на общественных компьютерах
  • Сообщайте о подозрительной активности

13. Контакты

По вопросам безопасности обращайтесь:

Мы благодарны за сообщения об уязвимостях и рассматриваем их в приоритетном порядке.