Политика информационной безопасности (публичная)

Оператор информационной платформы MedEvent: Общество с ограниченной ответственностью «Автоматизация и исследование цифровых технологий» (ООО «АВТР»).

ИНН 7842233496, КПП 784201001, ОГРН 1267800003470.

Юридический адрес: 191036, г. Санкт-Петербург, Полтавский проезд, д. 2, литера А, помещ. 72-Н.

Генеральный директор: Сташевский Александр Васильевич.

Контакт для юридически значимых обращений и запросов по персональным данным: contact@medevent.ru.

Настоящий документ «Политика информационной безопасности (публичная)» (далее — «Документ») определяет публичные принципы и меры защиты информации на Платформе без раскрытия уязвимых деталей инфраструктуры при использовании информационной платформы MedEvent (далее — «Платформа», «Сервис»).

Документ является неотъемлемой частью правовой архитектуры Платформы и применяется совместно с Пользовательским соглашением, Политикой конфиденциальности и иными опубликованными актами раздела «Правовые документы».

Редакция вступает в силу с 31.05.2026 и применяется в период ограниченного запуска Платформы, если прямо не указано иное.

Оператор вправе публиковать переводы Документа для удобства; при расхождении приоритет имеет русскоязычная версия.

Публичная версия не раскрывает архитектурные схемы, IP-адреса, ключи, процедуры, облегчающие атаку; детали предоставляются контрагентам по NDA и в рамках due diligence.

Внутренние регламенты Оператора могут быть более строгими, чем настоящий документ; при расхождении применяются внутренние стандарты для сотрудников.

В Документе используются следующие термины в указанных значениях, если из контекста не следует иное:

«Оператор» — Общество с ограниченной ответственностью «Автоматизация и исследование цифровых технологий» (ООО «АВТР»), владелец и администратор Платформы.

«Пользователь» — дееспособное физическое лицо, юридическое лицо или индивидуальный предприниматель, использующие Платформу.

«Учётная запись» — совокупность данных аутентификации и настроек, позволяющих идентифицировать Пользователя в Сервисе.

«Контент» — любая информация, размещаемая Пользователем: тексты, изображения, аудио, видео, ссылки, файлы, метаданные.

«Организатор» — Пользователь или организация, создающие и публикующие мероприятия на Платформе.

«Участник» — Пользователь, подающий заявку или регистрирующийся на мероприятие.

«Период ограниченного запуска» — режим, при котором отдельные функции Платформы доступны ограниченному кругу пользователей, могут работать в тестовом режиме или изменяться без предварительного уведомления, если иное не предусмотрено законом или отдельным договором.

• «Информационная безопасность» — совокупность организационных и технических мер, направленных на сохранение конфиденциальности, целостности и доступности информации, обрабатываемой на Платформе MedEvent.
• «Персональные данные (ПДн)» — информация, относящаяся к определённому или определяемому физическому лицу, обрабатываемая в рамках Платформы в соответствии с 152-ФЗ.
• «Инцидент информационной безопасности» — событие или серия событий, приведшие или могущие привести к нарушению конфиденциальности, целостности или доступности информации, включая утечку ПДн, несанкционированный доступ, вредоносное ПО, DDoS.
• «Уязвимость» — слабость в системе, приложении, конфигурации или процессе, которой может воспользоваться угроза для компрометации безопасности.
• «Responsible disclosure» — ответственное раскрытие: процедура сообщения Оператору о предполагаемой уязвимости без публичного разглашения до устранения или согласованного срока embargo.
• «Принцип наименьших привилегий» — предоставление пользователям, сотрудникам и сервисным учётным записям минимально необходимого уровня доступа для выполнения функций.
• «TLS» — протокол шифрования транспортного уровня для защиты данных при передаче между клиентом и серверами Платформы.
• «MFA (многофакторная аутентификация)» — дополнительный фактор проверки личности помимо пароля (OTP, приложение-аутентификатор, аппаратный ключ) при входе или критичных операциях.
• «Резервное копирование (backup)» — регулярное создание копий данных и конфигураций для восстановления после сбоев, ошибок или инцидентов в сроки RPO/RTO внутренней политики.
• «Subprocessor» — лицо, обрабатывающее данные по поручению Оператора (хостинг, CDN, email, мониторинг) на основании договора с требованиями безопасности.

Политика распространяется на Платформу MedEvent, включая веб-приложение, API, административные интерфейсы, интеграции, хранилища контента и журналы, обрабатываемые Общество с ограниченной ответственностью «Автоматизация и исследование цифровых технологий».

Цели: защита ПДн пользователей, коммерческой тайны Оператора и организаторов, целостность мероприятий и заявок, обеспечение доступности сервиса в разумных пределах.

Политика не заменяет договор поручения обработки ПДн с организаторами и не распространяется на безопасность сторонних сервисов, подключённых пользователем через интеграции.

Действует с 31.05.2026; в период ограниченного запуска часть мер внедряется итерационно с приоритетом критичных рисков.

Оператор руководствуется принципами: конфиденциальность, целостность, доступность, подотчётность, минимизация данных, defense in depth, security by design.

Безопасность — совместная ответственность Оператора и Пользователя; технические меры не компенсируют слабые пароли и передачу учётных данных третьим лицам.

Риск-ориентированный подход: меры пропорциональны категории данных, критичности систем и актуальным угрозам для медицинско-образовательной платформы.

Организационный контур включает политики, роли, обучение, управление подрядчиками и непрерывное улучшение на основе инцидентов и аудитов.

Доступ к продакшен-данным предоставляется только уполномоченным лицам по служебной необходимости с журналированием действий; временный доступ отзывается по завершении задачи.

Сотрудники и подрядчики подписывают обязательства о неразглашении; нарушение влечёт дисциплинарные и договорные последствия.

• Назначение ответственных за информационную безопасность и обработку ПДн; распределение ролей и обязанностей.
• Политики доступа: onboarding/offboarding сотрудников, регулярный пересмотр прав, запрет shared-аккаунтов в продакшене.
• Обучение персонала основам ИБ, фишинга, 152-ФЗ; периодическое тестирование awareness.
• NDA и договоры безопасности с подрядчиками, аудит subprocessors, право проведения проверок.
• Учёт и классификация активов, реестр рисков, план обработки инцидентов (IRP), учения (tabletop).
• Разделение сред разработки, тестирования и продакшена; запрет копирования продакшен-данных в dev без обезличивания.
• Политика «чистого стола» и экрана для удалённой работы; блокировка носителей без необходимости.
• Compliance: внутренние регламенты согласованы с 152-ФЗ, требованиями Роскомнадзора и отраслевыми рекомендациями.

Технический контур реализуется на уровне сети, приложений, данных и операций; конкретные продукты и версии не публикуются в открытом доступе.

Пароли пользователей не хранятся в открытом виде; восстановление доступа — через подтверждённый email и дополнительные факторы при включении MFA.

Сессии имеют ограниченный срок жизни; подозрительные входы могут блокироваться с уведомлением пользователя.

• Шифрование трафика TLS 1.2+ (предпочтительно 1.3) для всех публичных endpoint; HSTS где применимо.
• Хеширование паролей стойкими алгоритмами (bcrypt/argon2 или эквивалент); запрет хранения паролей в открытом виде.
• Сегментация сети, firewall, WAF, ограничение исходящих соединений из прикладных контейнеров.
• Регулярные обновления ОС, зависимостей, патчи CVE; процесс управления уязвимостями с SLA по критичности.
• Мониторинг: логи аутентификации, аномалии API, SIEM/алерты, uptime-проверки; retention логов по политике.
• Резервное копирование с шифрованием, периодические тесты восстановления; географическое разделение копий в пределах требований локализации.
• Защита от OWASP Top 10 на этапе разработки: SAST/DAST, code review, CSP, CSRF-токены, parameterized queries.
• Rate limiting, CAPTCHA, bot detection на чувствительных endpoint; защита от credential stuffing.
• Безопасная конфигурация облачных сервисов (IAM least privilege, отключение публичных bucket по умолчанию).
• Периодические пентесты и аудиты по плану; remediation tracked до закрытия.

Ролевая модель разделяет права участника, организатора, модератора, администратора организации и сотрудников Оператора.

API-ключи и OAuth-токены приравниваются к учётным данным; их компрометация требует немедленной ротации и уведомления contact@medevent.ru.

Корпоративные домены email могут использоваться для SSO (при подключении) с политиками организации; Оператор не управляет паролями IdP клиента.

Неактивные учётные записи сотрудников Оператора деактивируются в сроки offboarding-регламента.

Данные в транзите шифруются TLS; данные at rest шифруются на уровне хранилищ и/или СУБД в объёме, определённом архитектурой и требованиями локализации.

Ключи шифрования управляются с ограничением доступа; ротация — по политике и при инцидентах.

Резервные копии шифруются и хранятся отдельно от основного контура; доступ к backup — ещё более ограничен.

Обезличивание и псевдонимизация применяются для аналитики и тестовых сред, где это возможно без потери функционала.

В жизненном цикле разработки применяются code review, dependency scanning, секреты не хранятся в репозитории, CI/CD с контролем артеfactов.

Секреты (API keys, DB passwords) хранятся в специализированных vault/secrets manager; ротация при компрометации или увольнении.

Staging-среда не использует реальные ПДн без обезличивания; тестовые аккаунты маркируются.

Ответственное раскрытие уязвимостей приветствуется; публичный full disclosure до патча не допускается без согласия Оператора.

События безопасности (входы, смена пароля, админ-действия, ошибки авторизации API) журналируются с retention по внутренней политике.

Логи защищены от несанкционированного изменения; доступ для расследований — у ограниченного круга.

Аномалии (массовый перебор паролей, spike API) могут автоматически триггерить блокировки и алерты on-call.

Внешние аудиты и пентесты проводятся периодически; критичные findings устраняются в приоритетном порядке.

Оператор отслеживает CVE в зависимостях, advisories облачных провайдеров, результаты сканирований и отчёты исследователей.

SLA устранения: критичные — в максимально сжатые сроки с возможными временными mitigations; низкие — в плановых релизах.

Bug bounty программа может быть объявлена отдельно; до этого действует канал contact@medevent.ru с subject «Security».

Backup выполняется по расписанию; RPO/RTO определяются внутренне и зависят от критичности компонента.

Тесты восстановления проводятся регулярно; результаты документируются.

При катастрофическом сбое приоритет восстановления: аутентификация, персональные данные, оплаченные транзакции, затем вторичные функции.

План непрерывности бизнеса (BCP) учитывает форс-мажор и длительные outage облака.

При инциденте, затрагивающем ПДн, Оператор действует по 152-ФЗ: оценка риска для субъектов, уведомление Роскомнадзора и субъектов при наличии обязанности, меры по снижению вреда.

Пользователям сообщаются суть инцидента, затронутые категории данных, рекомендуемые действия (смена пароля), контакт contact@medevent.ru.

Публичные детали exploit не раскрываются до устранения; status-страница (при наличии) информирует о доступности сервиса.

• Обнаружение и регистрация инцидента (мониторинг, жалоба, responsible disclosure).
• Классификация критичности, назначение incident commander, изоляция затронутых систем.
• Сбор доказательств, анализ первопричины, устранение уязвимости или вектора атаки.
• Восстановление сервиса из резервных копий при необходимости; проверка целостности данных.
• Уведомление затронутых пользователей, Роскомнадзора и иных органов при наличии обязанности по 152-ФЗ и иным актам.
• Post-mortem, обновление политик, remediation backlog, при необходимости — публичный отчёт без раскрытия exploit details.

Исследователи безопасности сообщают о предполагаемых уязвимостях на contact@medevent.ru с описанием, steps to reproduce, impact assessment; желательно encrypted channel (PGP по запросу).

Запрещены: эксплуатация в prod без согласия, доступ к чужим данным, DDoS, social engineering сотрудников и пользователей, публичное разглашение до согласованного срока.

Оператор подтверждает получение в разумный срок, уведомляет о статусе remediation; при согласовании возможно упоминание исследователя в release notes.

Действия в good faith не будут преследоваться как нарушение AUP при соблюдении правил responsible disclosure.

Оператор использует облачных провайдеров и SaaS для хостинга, CDN, email, мониторинга; с ними заключены договоры поручения/обработки с требованиями безопасности.

Локализация ПДн граждан РФ — в случаях, когда это требуется законом; метаданные и логи могут обрабатываться в иных юрисдикциях при наличии правовых оснований и гарантий.

Перечень категорий subprocessors отражается в Политике конфиденциальности; существенная смена провайдера может анонсироваться пользователям.

Пользователь использует уникальный надёжный пароль, не повторяет пароль с других сервисов, включает MFA при доступности.

Не передаёт учётные данные, API-ключи, ссылки с magic token третьим лицам; проверяет домен https://medevent.ru перед вводом пароля.

Сообщает о фишинге, подозрительных письмах «от MedEvent», несанкционированных изменениях профиля на contact@medevent.ru.

Организация обеспечивает offboarding сотрудников с отзывом доступа к корпоративному кабинету MedEvent.

Компрометация по вине пользователя до уведомления Оператора — риск действий третьих лиц на учётной записи несёт пользователь.

Оператор ориентируется на 152-ФЗ, требования Роскомнадзора, отраслевые рекомендации по защите ПДн, при обработке платежей — на требования к безопасности на стороне PCI DSS-certified провайдера.

Сертификация ISO 27001/SOC 2 может быть получена в будущем; наличие сертификата будет отражено в настоящем документе при достижении.

Запросы уполномоченных органов исполняются в порядке, установленном законом, с минимизацией объёма передаваемых данных.

Обработка персональных данных Оператором регулируется Политикой конфиденциальности, 152-ФЗ и подзаконными актами Роскомнадзора.

Оператор применяет принципы законности, справедливости, минимизации, ограничения сроков хранения, точности и подотчётности; категории данных и цели соответствуют заявленному функционалу, который использует Пользователь.

Оператор не требует в стандартных формах регистрации и заявок обязательного предоставления сведений о состоянии здоровья (ст. 10 152-ФЗ), биометрических персональных данных, данных о судимости и иных специальных категорий без отдельного правового обоснования и явного информирования.

Если организатор мероприятия или автор формы запрашивает дополнительные сведения, он несёт самостоятельную ответственность за правовые основания, уведомления, согласия, локализацию и безопасность таких данных; Оператор обрабатывает их как данные, переданные Пользователем в рамках заявки, в объёме поручения или как получателя при наличии основания.

Субъект персональных данных вправе обращаться к Оператору по адресу contact@medevent.ru, реализовывать права доступа, уточнения, блокирования, уничтожения и отзыва согласия в сроки 152-ФЗ.

Платформа использует cookies, localStorage, sessionStorage, журналы серверов, идентификаторы устройств и аналогичные технологии в соответствии с Политикой cookies.

Строго необходимые идентификаторы обеспечивают безопасность сессии, CSRF-защиту, балансировку нагрузки; отключение делает использование учётной записи невозможным или существенно ограниченным.

Аналитические и маркетинговые идентификаторы применяются при наличии согласия или иного основания, предусмотренного 152-ФЗ; Пользователь управляет выбором через баннер и настройки браузера.

Трансграничная передача технических логов возможна при использовании облачной инфраструктуры при соблюдении требований 152-ФЗ и договорных гарантий с провайдерами.

Оператор вправе изменять «Политика информационной безопасности (публичная)» в одностороннем порядке, публикуя новую редакцию на https://medevent.ru с указанием даты вступления в силу.

Существенные изменения, затрагивающие права Пользователей по персональным данным или платным услугам, доводятся до сведения через интерфейс, email или иные разумные каналы.

Продолжение использования Платформы после вступления редакции в силу означает согласие, если иное не запрещено законом; при несогласии Пользователь прекращает использование и вправе запросить удаление учётной записи.

Архивные редакции могут предоставляться по запросу на contact@medevent.ru в объёме, не нарушающем коммерческую тайну и прав третьих лиц.

Недействительность отдельного положения «Политика информационной безопасности (публичная)» не влечёт недействительности Документа в целом; такое положение заменяется нормой, максимально близкой по смыслу и допустимой законом.

Бездействие Оператора при нарушении не лишает права на защиту в будущем.

Документ составлен на русском языке; приложения, формы согласия и чекбоксы в интерфейсе являются неотъемлемой частью правового оформления.

Контакт для юридически значимых сообщений: contact@medevent.ru; почтовый адрес: 191036, г. Санкт-Петербург, Полтавский проезд, д. 2, литера А, помещ. 72-Н (ООО «АВТР», «Политика информационной безопасности (публичная)»).

Документ доступен без регистрации по адресу https://medevent.ru/legal вместе с иными актами правового раздела.