Qualtir

Безопасность в Qualtir

Ваше доверие — наш приоритет. Вот как именно мы защищаем ваши данные.

Последнее обновление: январь 2025

Безопасность в Qualtir — не то, что мы добавили после запуска. Это часть каждого технического решения с самого начала. То, как мы храним документы, как инженеры получают доступ к внутренним системам, как реагируем на инциденты — всё это строится на принципах безопасности. Мы придерживаемся международных стандартов не потому что обязаны, а потому что наши клиенты этого заслуживают.

Сертификаты и соответствие

Сертификат ISO 27001

Qualtir имеет сертификацию ISO/IEC 27001 — золотой стандарт в области управления информационной безопасностью. Посмотрите наш отчёт об аудите.

Соответствие GDPR

Мы в полной мере соблюдаем европейское законодательство о защите данных. Подробности о том, как мы работаем с персональными данными, — в Политике конфиденциальности.

Инфраструктура SOC 2

Мы работаем на Google Cloud Platform, которая имеет сертификацию SOC 2 Type II во всех своих центрах обработки данных — и это распространяется на вашу защиту тоже.

Партнёр Google Cloud

Qualtir — верифицированный партнёр Google Cloud. Наш стек полностью работает на инфраструктуре, которой Google доверяет самые ответственные задачи.

1. Шифрование данных

Каждый байт, передаваемый между вашим браузером и нашими серверами, защищён TLS 1.2 или выше. Данные в покое шифруются по AES-256 — тому же стандарту, которому доверяют банки и государственные структуры. Ситуации, в которой ваши данные хранятся в незашифрованном виде на нашей инфраструктуре, попросту не существует.

  • При передаче: TLS 1.2+ для всего трафика между клиентами и серверами
  • В покое: AES-256 для всех хранимых данных
  • Управление ключами: через Google Cloud Key Management Service
  • Шифрование баз данных: на уровне хранилища, не только на уровне приложения

2. Контроль доступа

Принцип простой: никто не получает доступ к тому, что ему не нужно. Мы используем ролевой контроль доступа во всех внутренних системах — включая доступ наших собственных инженеров. Данные клиентов закрыты, если нет конкретной, согласованной причины.

  • Ролевой контроль доступа (RBAC) во всех внутренних системах
  • MFA обязательна для всех сотрудников — без исключений
  • Журналы доступа ведутся и проверяются по расписанию
  • Расширенный доступ ограничен по времени и требует явного согласования
  • При уходе сотрудника доступ отзывается в тот же день

3. Инфраструктура и хостинг

Мы работаем полностью на Google Cloud Platform. Центры обработки данных GCP защищены значительно серьёзнее, чем просто замок на двери: биометрический вход, круглосуточный видеонадзор, резервные источники питания. Мы выбрали GCP, потому что не хотели идти на компромиссы в вопросах безопасности.

  • Данные хранятся в регионах ЕС и США
  • Сетевые межсетевые экраны и защита от DDoS — встроенные
  • Автоматическое сканирование уязвимостей инфраструктуры
  • Производственные среды изолированы в приватных VPC-сетях
  • Регулярное тестирование на проникновение сторонними компаниями

4. Мониторинг и аудиты

Наши системы работают под постоянным наблюдением. Автоматические оповещения срабатывают, как только что-то выглядит нестандартно — подозрительные попытки входа, неожиданные API-запросы, любые отклонения от нормы. Кроме автоматики, люди разбирают то, что алгоритмы помечают как подозрительное.

  • Круглосуточный автоматизированный мониторинг с оповещениями в реальном времени
  • Интеграция с SIEM для централизованного отслеживания событий безопасности
  • Ежегодные сторонние аудиты безопасности и тестирование на проникновение
  • Внутренние аудиты по требованиям ISO 27001 в течение года
  • Журналы аудита хранятся не менее 12 месяцев

5. Реагирование на инциденты

У нас есть задокументированный план реагирования на инциденты — и его регулярно тестируют, а не просто хранят на полке. Если что-то идёт не так, мы действуем быстро. Команда знает, кто за что отвечает, и мы не тянем с информированием. GDPR требует уведомить пострадавших клиентов в течение 72 часов после подтверждённого инцидента — мы воспринимаем это как минимальный порог, а не как предел.

  • Чёткие пути эскалации и дежурная команда безопасности
  • Цель: локализовать подтверждённый инцидент в течение 1 часа
  • Уведомление клиентов в течение 72 часов после подтверждённого нарушения (требование GDPR)
  • Разбор после инцидента — выяснить, что произошло, и не допустить повторения

6. Хранение и удаление данных

Мы не держим данные дольше, чем нужно. Когда учётная запись закрывается или поступает запрос на удаление — процесс начинается немедленно, без неопределённого «периода проверки».

  • Данные учётной записи удаляются в течение 90 дней после закрытия
  • Резервные копии хранятся 30 дней, после чего уничтожаются безвозвратно
  • Процедуры безопасного удаления применяются ко всем носителям
  • Запросы на удаление данных обрабатываются в течение 30 дней

7. Расширения Google Workspace

Наши расширения запрашивают только те разрешения, которые действительно нужны для работы. Мы не храним содержимое ваших Google Docs, Sheets или Drive на своих серверах — обрабатываем только то, что требует конкретная функция, и не более того.

  • Соответствие Политике использования данных пользователей API Google и требованиям ограниченного использования
  • Никакого постоянного хранения содержимого Google Docs, Sheets или Drive на наших серверах
  • OAuth 2.0 для всех авторизаций через аккаунт Google
  • Отозвать доступ можно в любой момент через настройки аккаунта Google
  • Все расширения проходят проверку безопасности Google перед публикацией

8. Ответственное раскрытие

Нашли что-то подозрительное? Мы хотим об этом знать. Если вы обнаружили потенциальную проблему безопасности — напишите нам на contact@qualtir.com. Мы подтвердим получение вашего сообщения в течение 48 часов и разберёмся с проблемой как можно быстрее.

Вопросы о безопасности

Если что-то в нашем подходе к безопасности непонятно или вы хотите узнать больше — просто спросите.

Команда безопасности Qualtir

Вопросы безопасности: contact@qualtir.com

Общие вопросы: contact@qualtir.com