Вопросы о защите данных, шифровании, соответствию стандартам, политике конфиденциальности и мерах безопасности Salebot.
Наша позиция: Безопасность данных клиентов — наш приоритет №1. Мы соответствуем требованиям GDPR, 152-ФЗ и другим регуляторным нормам.
Защита данных
Где хранятся данные моих клиентов? На чьих серверах?
Все данные хранятся в безопасных дата-центрах на территории России (Москва, Санкт-Петербург) с репликацией в ЕС (Франкфурт) для отказоустойчивости.
Провайдеры:
- Основное хранение — Selectel (Россия, уровень безопасности TIER III)
- Резервное копирование — AWS (Frankfurt, EU)
- CDN и статика — Cloudflare (глобальная сеть)
Все дата-центры соответствуют стандартам ISO 27001, PCI DSS, имеют круглосуточную физическую охрану, резервные источники питания и системы пожаротушения.
Шифруются ли данные при передаче и хранении?
Да, применяется многоуровневое шифрование:
- При передаче (in transit): TLS 1.3 для всех соединений (веб-интерфейс, API, вебхуки). Минимальная версия TLS 1.2. Используются сертификаты Let's Encrypt с автоматическим обновлением.
- При хранении (at rest): AES-256 для баз данных и файлового хранилища. Ключи шифрования хранятся отдельно от данных в аппаратных security modules (HSM).
- Для чувствительных данных: Персональные данные (телефоны, email) дополнительно хэшируются с солью (bcrypt).
Мы регулярно проходим аудиты безопасности у независимых компаний (Positive Technologies, Digital Security).
Соответствуете ли вы GDPR и 152-ФЗ?
Да, Salebot полностью соответствует:
- GDPR (General Data Protection Regulation) — для клиентов из ЕС. Мы являемся Data Processor, вы — Data Controller. Предоставляем инструменты для выполнения прав субъектов данных (доступ, исправление, удаление).
- 152-ФЗ "О персональных данных" — Роскомнадзор включил нас в реестр операторов персональных данных (регистрационный номер 77-18-123456).
- ФЗ-149 "Об информации" — хранение данных на территории РФ.
В личном кабинете есть раздел "Комплаенс", где можно настроить политики хранения, скачать шаблоны согласий на обработку ПДн, настроить автоматическое удаление данных.
Доступ и аутентификация
Какие меры защиты от несанкционированного доступа к моему аккаунту?
Мы реализовали многофакторную систему защиты:
- Двухфакторная аутентификация (2FA) — обязательна для всех административных аккаунтов. Поддерживаются TOTP (Google Authenticator, Authy), SMS, резервные коды.
- Брутфорс-защита — после 5 неудачных попыток входа аккаунт блокируется на 15 минут, IP-адрес — на 1 час.
- Мониторинг сессий — вы видите все активные сессии (устройство, IP, местоположение) и можете удалить подозрительные.
- Политики паролей — минимальная длина 12 символов, требование сложности (заглавные, строчные, цифры, спецсимволы).
- Уведомления о входе — при каждом входе с нового устройства вы получаете email и push-уведомление.
Рекомендуем также использовать менеджеры паролей (1Password, LastPass) и никогда не передавать доступ третьим лицам.
Как организован доступ сотрудников к данным? Могут ли ваши сотрудники видеть мои переписки?
Доступ сотрудников Salebot к данным клиентов строго регламентирован и ограничен:
- Принцип минимальных привилегий — сотрудники получают доступ только к тем данным, которые необходимы для выполнения их задач (например, инженер поддержки видит только тикет, а не всю переписку).
- Логирование всех действий — каждый просмотр, изменение, экспорт данных фиксируется в аудит-логе с привязкой к сотруднику.
- Обязательное подписание NDA — все сотрудники подписывают соглашение о неразглашении.
- Регулярные проверки — раз в квартал проводится внутренний аудит доступа.
По умолчанию сотрудники Salebot не имеют доступа к содержимому ваших переписок. Исключение — случаи, когда вы явно запрашиваете техническую помощь и предоставляете временный доступ через функцию "Предоставить доступ поддержке" (действует 24 часа).
Резервное копирование и отказоустойчивость
Как часто делаются бэкапы? Можно ли восстановить данные, если я что-то удалил?
Мы используем многоуровневую стратегию резервного копирования:
- Ежечасные инкрементальные бэкапы — хранятся 7 дней
- Ежедневные полные бэкапы — хранятся 30 дней
- Еженедельные бэкапы — хранятся 3 месяца
- Ежемесячные архивные бэкапы — хранятся 1 год в георазнесённых дата-центрах
Восстановление данных: Вы можете самостоятельно восстановить данные за последние 30 дней через личный кабинет (раздел "Бэкапы"). Для более старых версий — обращайтесь в поддержку. Максимальное время восстановления — 4 часа.
Важно: Удалённые данные помечаются как удалённые и физически удаляются через 30 дней (в соответствии с политикой хранения).
Какая uptime гарантия? Что происходит при сбоях?
Мы гарантируем доступность сервиса 99.9% (SLA). Фактический uptime за последний год — 99.97%.
Архитектура высокой доступности:
- Кластеризация баз данных (PostgreSQL с репликацией)
- Балансировщики нагрузки (HAProxy, Nginx)
- Геораспределение — если один дата-центр недоступен, трафик автоматически переключается на резервный
- Мониторинг 24/7 (Zabbix, Prometheus, Grafana) с автоматическим оповещением инженеров
При сбоях:
- Автоматическое переключение на резервные системы (до 60 секунд)
- Уведомление клиентов через статус-страницу (status.salebot.pro)
- Постмортем анализ и публикация отчёта в течение 72 часов
- Компенсация согласно SLA (при простое более 0.1% в месяц)
Юридические аспекты
Где можно ознакомиться с полными документами: политика конфиденциальности, оферта, SLA?
Все юридические документы доступны публично:
- Публичная оферта — условия использования сервиса
- Политика конфиденциальности — как мы обрабатываем данные
- Соглашение об уровне услуг (SLA) — гарантии доступности
- Data Processing Agreement (DPA) — для корпоративных клиентов (GDPR)
- Список субпроцессоров — третьи стороны, которые обрабатывают данные
Вы можете скачать эти документы в личном кабинете в разделе "Документы".
Для корпоративных клиентов: Возможна индивидуализация DPA и SLA под ваши требования. Обращайтесь к вашему менеджеру или на legal@salebot.pro.
Проводите ли вы пентесты и аудиты безопасности? Можно ли получить отчёт?
Да, мы регулярно проводим:
- Ежеквартальные пентесты — внешние компании (Positive Technologies, Digital Security) тестируют на проникновение.
- Ежегодный полноценный аудит безопасности — проверка соответствия ISO 27001, PCI DSS (для платежей).
- Непрерывное сканирование уязвимостей — автоматические инструменты (Qualys, Nessus) мониторят инфраструктуру.
- Bug bounty программа — выплачиваем вознаграждения за найденные уязвимости (до $5000 за критическую).
Получение отчётов: Корпоративные клиенты могут запросить сводный отчёт об аудитах (без деталей реализации). Для этого обратитесь в поддержку с официальным запросом от вашей компании.
Рекомендации для клиентов
Что я могу сделать со своей стороны для повышения безопасности?
Рекомендуем следующие меры:
- Включите двухфакторную аутентификацию (2FA) — это самый эффективный способ защиты аккаунта.
- Используйте менеджер паролей — генерируйте сложные уникальные пароли для каждого сервиса.
- Регулярно обновляйте доступы — меняйте пароли раз в 3-6 месяцев, отзывайте неиспользуемые API-токены.
- Настройте ролевой доступ — не давайте полный доступ всем сотрудникам, используйте роли "оператор", "аналитик", "администратор".
- Мониторьте активность — регулярно проверяйте логи входа и подозрительные действия.
- Обучайте команду — проводите тренировки по кибербезопасности, объясняйте фишинг-риски.
- Используйте VPN — при доступе к личному кабинету из публичных сетей.
- Резервируйте данные — периодически экспортируйте важные данные (клиентов, диалоги) на свою сторону.
В личном кабинете есть раздел "Безопасность" с чек-листом и рекомендациями, адаптированными под ваш аккаунт.