Политика информационной безопасности

Цель и область действия

Настоящая Политика информационной безопасности (далее — «Политика») описывает подход команды Хоука к вопросам безопасности и меры, которые мы предпринимаем для защиты данных.

Политика распространяется на всех клиентов Хоука, мейнтейнеров и любых пользователей сервиса.

Основные принципы

Безопасность — один из главных приоритетов Хоука. Мы обязуемся:

обеспечивать защиту данных, которые вы нам передаёте,
поддерживать непрерывный и надёжный доступ к сервису.

Для этого мы используем современные технологии защиты информации.

Важно отметить, что исходный код Хоука является open-source. Это означает, что любой желающий может просмотреть код, проверить его на уязвимости, отправить отчёт или улучшение. Такой подход положительно сказывается на уровне безопасности и соответствии стандартам.

Поддержка и исполнение

За содержание и актуальность Политики отвечает команда CodeX, как разработчик и владелец продукта.

За её исполнение отвечают DevOps, отдел безопасности и все мейнтейнеры Хоука.

Ответственность пользователей

Интеграция Хоук-кэтчеров требует небольших изменений в коде приложения. Даже минимальные изменения, выполненные некорректно, могут вызвать ошибки или недоступность приложения. Ответственность за такие последствия несут разработчики, выполняющие интеграцию. Мы настоятельно рекомендуем тестировать изменения на staging-среде перед выкатыванием в production.

Кроме того, мы рекомендуем пользователям настраивать фильтрацию чувствительных данных в конфигурации кэтчеров, чтобы исключить передачу лишней информации в Хоук.

Фильтрация чувствительных данных

Фильтрация — это встроенный механизм, позволяющий исключить данные, которые не должны быть переданы в сторонние системы (например, учётные данные, реквизиты платежей и т. п.).

Фильтрация работает на двух уровнях:

На стороне кэтчера — разработчик может вручную удалить ненужные поля перед отправкой события.
На стороне Хоука — автоматически удаляются потенциально опасные данные (см. подробности в разделе «Фильтрация чувствительных данных»).

Контроль уязвимостей

Для минимизации рисков мы используем:

статический анализ кода,
динамические проверки на этапе CI/CD,
ручное тестирование после значимых изменений,
регулярное обновление зависимостей,
тесты на проникновение на уровне приложения, инфраструктуры и сети,
внутренние проверки и аудиты отдела безопасности CodeX.

Резервное копирование

Мы регулярно выполняем резервное копирование всех хранилищ данных (ежедневное и еженедельное).

Каждый бэкап хранится в трёх независимых местах.

Часть копий хранится неделю, часть — до года.

Мы регулярно проводим «учебные» восстановления из резервных копий.

Удаление данных

Любой пользователь может запросить удаление случайно отправленных или ненужных данных. Для этого нужно написать на team@hawk.so.

Политика паролей

После регистрации Хоук генерирует для пользователя криптографически стойкий псевдослучайный пароль и отправляет его по email.

Пользователь может в любой момент сменить пароль. Все пароли хранятся в зашифрованном виде с использованием алгоритма Argon2.

Безопасность уведомлений

Хоук отправляет email-уведомления и сервисные письма через AWS SES.

Для подтверждения права отправки писем от имени домена используются SPF и DKIM.

SES работает в рамках VPC, что обеспечивает дополнительную безопасность.

Сервис сертифицирован и соответствует требованиям HIPAA, C5, IRAP, Fed-Ramp, ISO, GDPR.

Мы внимательно проверим сообщение и ответим в кратчайшие сроки.

Действия при инцидентах

В случае успешной атаки мы предпринимаем следующие шаги:

Тип инцидента	Действия
Потеря данных	Восстановление из резервных копий
Нарушение целостности	Восстановление из резервных копий
Кража данных	Немедленное уведомление клиентов + рекомендации по защите
Обнаружение вируса/вред ПО	Анализ происхождения, удаление
Физическая кража/повреждение	Замена оборудования

Мы уведомляем пострадавших пользователей как можно скорее, используя все доступные контактные данные.