Към основното съдържание

Сигурност и доверие

Последна актуализация:
Съдържание (14 секции)

Честно описание, не маркетинг

На тази страница описваме конкретните технически и организационни мерки, които прилагаме днес. Ако нещо не е в списъка — то не е внедрено. Ако нещо е в списъка — можем да го покажем в съответствие с DPA или одит.

1. Защита на данните при предаване

  • TLS 1.2+: Всички данни между браузъра и сървъра минават по криптиран канал. Заявките по HTTP автоматично се пренасочват към HTTPS.
  • HSTS: Заглавието Strict-Transport-Security е активно — браузърите не се връщат към незащитен HTTP.
  • Защитени бисквитки: Сесийните и CSRF бисквитките се задават с флаговете Secure и HttpOnly.

2. Автентикация и контрол на достъпа

  • Passkeys (WebAuthn): Поддържаме вход без парола чрез биометрия или хардуерен ключ (FIDO2). Това е препоръчаният метод.
  • Двуфакторна автентикация (2FA): Налична за всички потребители чрез мобилни приложения за еднократни кодове (TOTP).
  • Хеширане на пароли: bcrypt с минимум 10 итерации. Паролите никога не се съхраняват в открит вид.
  • Роли и разрешения: Детайлен контрол на достъпа в организациите — owner, admin, manager, member, viewer.
  • Изолация между организации: Всяка организация вижда само собствените си данни — това се налага от Laravel Policies и ограничения по organization_id на всяка заявка.
  • Сесии: Автоматично изтичане на неактивни сесии; възможност за ръчно излизане от всички устройства.

3. HTTP хедъри за сигурност в браузъра

Прилагаме строга Content Security Policy и допълнителни HTTP хедъри, за да ограничим XSS, clickjacking и атаки с подмяна на MIME типа:

  • Content-Security-Policy: с nonce за inline скриптове; блокира неочаквани домейни.
  • X-Frame-Options: SAMEORIGIN + frame-ancestors в CSP — защита срещу clickjacking.
  • X-Content-Type-Options: nosniff — не позволява на браузъра да „отгатва" типа на файла.
  • Referrer-Policy: strict-origin-when-cross-origin.
  • Permissions-Policy: ограничава достъпа до камера, микрофон, геолокация и др. до изрично разрешени функции.
  • Сигнали за CSP нарушения: записват се автоматично за разследване.

4. Мониторинг и логове

  • Sentry: Автоматично проследяване на грешки и изключения в production. Целим отговор на критични сигнали в рамките на 24 часа през работни дни.
  • Одитен дневник: Ключови действия (вход, промени в роли, изтриване на данни) се записват в отделен дневник.
  • Дневник за сигурност: Неуспешни опити за вход и подозрителни заявки се записват за разследване.
  • Нарушения на CSP: Всеки случай, в който браузърът блокира ресурс заради нашата CSP политика, се записва автоматично.
  • Срок на съхранение на дневниците: до 365 дни.

Мониторингът е автоматизиран. Не разполагаме с 24/7 оперативен център по сигурността и не твърдим, че имаме такъв.

5. Резервни копия и възстановяване

  • Автоматични резервни копия на базата данни чрез пакета spatie/laravel-backup.
  • Съхранение извън production сървъра: Резервните копия се съхраняват в отделна локация в ЕС.
  • Периодично тестване на процеса по възстановяване.
  • Не публикуваме конкретни цели за RTO/RPO, които не могат да бъдат доказани с измерване — актуалните резултати се предоставят в рамките на DPA преглед при запитване.

6. Запазване и изтриване

  • Активни акаунти: Данните се съхраняват докато акаунтът е активен.
  • Изтрити акаунти: Пълно изтриване в рамките на 30 дни.
  • Неактивни акаунти: Анонимизиране след 365 дни неактивност.
  • Логове: до 365 дни.

Пълните срокове и правните основания са описани в Политика за поверителност §9.

7. Подизпълнители и трети страни

Използваме минимален брой подпроцесори, които обработват данни от името на Actio. Пълният актуален списък с юрисдикция и правно основание за трансфер е в Политика за поверителност §6:

  • Stripe (Ирландия / ЕС) — плащания и абонаменти.
  • Sentry (САЩ, със SCCs) — мониторинг на грешки. Споделят се само стек-трейсове и технически метаданни, не съдържание на потребителски данни.
  • Plausible (Естония / ЕС) — анонимна уеб аналитика, ако е активирана.
  • Хостинг партньор в ЕС — инфраструктура и бази данни.
  • SMTP доставчик в ЕС — транзакционни имейли.

8. Инфраструктура и мрежова сигурност

  • Дата център в ЕС: Всички production данни се съхраняват при партньор в Европейския съюз.
  • Защитна стена: Мрежови филтри ограничават достъпа до портове и услуги.
  • Административен достъп: Само през SSH с ключова автентикация (без пароли), ограничен до списък с разрешени IP адреси.
  • Разделяне на услугите: Приложението, базата данни и фоновите задачи се изпълняват в отделни Docker контейнери.

Не твърдим, че използваме доставчик със SOC 2 или ISO 27001 атестация — Actio не е сертифицирана по тези стандарти.

9. Data Processing Agreement (DPA)

За организации, използващи Actio за управление на лични данни на трети лица, предоставяме референтен шаблон на DPA, който може да бъде индивидуално договорен и подписан:

  • Съответствие с GDPR чл. 28 — основни клаузи за обработчик.
  • Ясни роли администратор-обработчик.
  • Актуален списък на подпроцесори, съгласуван с Политика за поверителност §6.
Прегледай DPA шаблона Заяви подписване

10. Сертификати и съответствие

В момента Actio не е сертифицирана по ISO 27001 или SOC 2 Type II.

Такива сертификации изискват независим одит и обикновено предполагат по-голям екип и зряла организация. Ако и когато стартираме процес, ще обявим конкретния одитор и очакваната дата.

За клиенти, чиито изисквания налагат формална атестация, сме готови да обсъдим конкретни контроли и допълнителни мерки в рамките на DPA — вижте раздел 3.3 на DPA шаблона.

11. Реакция при инциденти

  • Sentry: автоматично открива грешки и прави диагностика.
  • GDPR уведомяване: При нарушение на сигурността на лични данни уведомяваме КЗЛД в рамките на 72 часа съгласно чл. 33 GDPR, а засегнатите организации — без неоправдано забавяне.
  • Комуникация: Засегнатите клиенти получават имейл с описание на инцидента и препоръки.
  • Post-incident анализ: За значими инциденти документираме и прилагаме корективни мерки.

12. Контакт за сигурност

Сигурност и инциденти:
[email protected]

GDPR и защита на данни:
[email protected]

Сигнал за злоупотреби:
Форма за сигнали

Време за отговор: до 24 часа в работни дни за критични сигнали.

13. Отговорно разкриване на уязвимости

Ако откриете потенциална уязвимост в нашата система, моля свържете се с нас отговорно:

  • Изпратете доклад на [email protected].
  • Предоставете детайли за уязвимостта и стъпки за възпроизвеждане.
  • Дайте ни разумен срок за отстраняване преди публично оповестяване.
  • Не извършвайте тестове, които могат да повредят данни, услуги или други потребители.

В момента не поддържаме формална Bug Bounty програма. Ако такава бъде стартирана, ще я обявим на тази страница с конкретни условия и обхват.

14. Допълнителни ресурси

Документация

Канали за сигнали

Бисквитки

Използваме бисквитки, за да осигурим основната функционалност на сайта и да подобряваме услугите. Можете да приемете всички бисквитки или да управлявате предпочитанията си. Повече в Политика за бисквитки и Политика за поверителност.