Qualtir

Безопасность в Qualtir

Ваше доверие — наш приоритет. Вот как мы защищаем ваши данные.

Последнее обновление: январь 2025

В Qualtir безопасность — не второстепенная задача, а основа каждого уровня наших продуктов и инфраструктуры. Мы применяем передовые отраслевые меры для защиты ваших данных и обеспечения надёжности, конфиденциальности и соответствия наших услуг международным стандартам.

Сертификаты и соответствие

Сертификат ISO 27001

Qualtir имеет сертификацию ISO/IEC 27001 — международного стандарта систем управления информационной безопасностью. Посмотрите наш отчёт об аудите.

Соответствие GDPR

Мы полностью соблюдаем Общий регламент по защите данных ЕС. Ознакомьтесь с нашей Политикой конфиденциальности для получения подробной информации.

Инфраструктура SOC 2

Наша инфраструктура работает на Google Cloud Platform, которая поддерживает соответствие SOC 2 Type II во всех своих центрах обработки данных.

Партнёр Google Cloud

Qualtir является верифицированным партнёром Google Cloud и использует одну из самых безопасных и надёжных облачных платформ в мире.

1. Шифрование данных

Все данные, передаваемые между вашим браузером и нашими серверами, шифруются с использованием TLS 1.2 или выше. Данные в состоянии покоя шифруются с использованием AES-256, обеспечивая защиту вашей информации как при передаче, так и при хранении в нашей инфраструктуре.

  • При передаче: шифрование TLS 1.2+ для всех данных, передаваемых между клиентами и серверами
  • В состоянии покоя: шифрование AES-256 для всех хранимых данных
  • Управление ключами: ключи шифрования управляются через Google Cloud Key Management Service
  • Шифрование баз данных: все базы данных шифруются на уровне хранилища

2. Контроль доступа

Мы следуем принципу наименьших привилегий. Доступ к данным клиентов строго контролируется и ограничен сотрудниками, которым он необходим для выполнения их должностных функций.

  • Управление доступом на основе ролей (RBAC) во всех внутренних системах
  • Многофакторная аутентификация (MFA) обязательна для всех аккаунтов сотрудников
  • Журналы доступа ведутся и регулярно проверяются
  • Привилегированный доступ ограничен по времени и требует дополнительного одобрения
  • Доступ сотрудника отзывается немедленно при увольнении

3. Инфраструктура и хостинг

Вся наша инфраструктура размещена на Google Cloud Platform (GCP) — одной из самых безопасных и надёжных облачных сред. Центры обработки данных GCP физически защищены несколькими уровнями защиты, включая биометрический доступ, круглосуточное видеонаблюдение и резервные системы электропитания.

  • Данные хранятся в центрах обработки данных GCP в регионах ЕС и США
  • Сетевые межсетевые экраны и защита от DDoS
  • Автоматическое сканирование уязвимостей инфраструктуры
  • Частные VPC-сети для изоляции производственных сред
  • Регулярное тестирование на проникновение сторонними компаниями

4. Мониторинг и аудиты

Мы непрерывно отслеживаем наши системы на предмет необычной активности, угроз безопасности и аномалий производительности. Все значимые действия в нашей платформе регистрируются и хранятся для аудиторских целей.

  • Круглосуточный автоматизированный мониторинг с оповещением в реальном времени
  • Интеграция с системой управления информацией и событиями безопасности (SIEM)
  • Ежегодные сторонние аудиты безопасности и тестирование на проникновение
  • Регулярные внутренние аудиты по требованиям ISO 27001
  • Комплексные журналы аудита хранятся не менее 12 месяцев

5. Реагирование на инциденты

У нас есть задокументированный план реагирования на инциденты, который регулярно тестируется и обновляется. В случае инцидента безопасности мы обязуемся действовать оперативно для локализации проблемы, оценки ущерба и уведомления пострадавших клиентов в соответствии с обязательствами по GDPR и другим применимым нормативным актам.

  • Определённые пути эскалации и дежурная команда реагирования на инциденты
  • Целевое время локализации: в течение 1 часа с момента подтверждения инцидента
  • Уведомление клиентов в течение 72 часов после подтверждённого нарушения (согласно требованиям GDPR)
  • Анализ после инцидента и устранение причин для предотвращения повторения

6. Хранение и удаление данных

Мы храним ваши данные только столько, сколько необходимо для предоставления наших услуг и выполнения юридических обязательств. Когда данные больше не нужны, они безопасно удаляются с использованием отраслевых стандартных методов.

  • Данные аккаунта удаляются в течение 90 дней после закрытия аккаунта
  • Резервные копии хранятся 30 дней, после чего уничтожаются безвозвратно
  • Процедуры безопасного удаления применяются ко всем носителям информации
  • Запросы на удаление данных обрабатываются в течение 30 дней

7. Расширения Google Workspace

Наши расширения Google Workspace разработаны с подходом минимальных разрешений. Мы запрашиваем только те разрешения, которые строго необходимы для обеспечения функциональности каждого расширения, и не храним и не обрабатываем ваши документы Google сверх необходимого.

  • Соответствие Политике использования данных пользователей API-сервисов Google и требованиям ограниченного использования
  • Отсутствие постоянного хранения содержимого Google Doc, Sheet или Drive на наших серверах
  • OAuth 2.0 используется для всех авторизаций аккаунта Google
  • Пользователи могут отозвать доступ в любое время через настройки аккаунта Google
  • Расширения проходят процесс проверки безопасности Google перед публикацией

8. Ответственное раскрытие

Мы приветствуем ответственное раскрытие уязвимостей безопасности от сообщества специалистов по безопасности. Если вы обнаружите потенциальную проблему безопасности, пожалуйста, свяжитесь с нами по адресу contact@qualtir.com. Мы обязуемся подтвердить получение вашего отчёта в течение 48 часов и работать с вами для понимания и устранения проблемы как можно быстрее.

Вопросы о безопасности

Если у вас есть вопросы или опасения относительно того, как мы защищаем ваши данные, мы готовы помочь.

Команда безопасности Qualtir

Вопросы безопасности: contact@qualtir.com

Общие вопросы: contact@qualtir.com