Доверие и безопасность

Дата обновления: 10 мая 2026 г.

1. Политика безопасности

Vertys применяет многоуровневую систему защиты данных на всех этапах — от сбора до хранения и обработки. Мы соблюдаем следующие принципы:

  • Шифрование данных при передаче (TLS 1.3) и хранении (AES-256);
  • Изоляция данных клиентов — каждый клиент работает в собственном пространстве;
  • Двухфакторная аутентификация (2FA) для доступа сотрудников к инфраструктуре;
  • Логирование всех операций доступа к данным с хранением логов не менее 12 месяцев;
  • Регулярное резервное копирование (не реже 1 раза в сутки) с географическим разносом;
  • Пентесты и сканирование уязвимостей — не реже 1 раза в квартал;
  • Все серверы размещены на территории РФ (провайдеры уровня Tier III).

2. Соответствие 152-ФЗ «О персональных данных»

Обработка персональных данных в Vertys осуществляется в строгом соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Мы реализовали следующие меры:

  • Определены категории обрабатываемых персональных данных и цели обработки — зафиксированы в Политике конфиденциальности;
  • Назначен ответственный за организацию обработки ПДн (Data Protection Officer);
  • Разработаны и утверждены локальные акты по обработке и защите ПДн;
  • Проведена классификация информационных систем персональных данных (ИСПДн) по уровням защищённости;
  • Реализованы организационные и технические меры защиты в соответствии с Постановлением Правительства РФ N 1119;
  • Сотрудники ознакомлены с требованиями 152-ФЗ и подписали обязательства о неразглашении;
  • Ведётся журнал учёта обращений субъектов ПДн с фиксацией сроков и результатов рассмотрения;
  • При трансграничной передаче данных обеспечивается адекватный уровень защиты в соответствии с требованиями Роскомнадзора.

Полный текст Политики конфиденциальности доступен по ссылке: vertys.ru/privacy

3. Соглашение об уровне обслуживания (SLA)

Vertys гарантирует следующие показатели доступности и качества услуг:

  • Доступность платформы Mirror: не менее 99.5% в месяц (за исключением плановых регламентных работ с предварительным уведомлением за 48 часов);
  • Время реакции на инцидент: первая реакция в течение 1 часа с момента фиксации обращения (в рабочее время: Пн–Пт, 09:00–19:00 МСК);
  • Время восстановления: не более 4 часов для критических инцидентов, не более 24 часов для некритических;
  • Актуальность данных дашбордов: данные Mirror обновляются ежедневно; для тарифа Control Pro — каждые 4 часа;
  • Срок ответа на запрос аналитика: не более 4 рабочих часов (тарифы Control Core и Pro), не более 8 рабочих часов (тариф Control Lite);
  • Компенсация за нарушение SLA: при недоступности платформы более 48 часов подряд — перерасчёт стоимости периода на следующий месяц.

Детальные условия SLA фиксируются в договоре при подключении тарифов Control.

4. Контакты ответственного за обработку данных (DPO)

По всем вопросам, связанным с обработкой персональных данных, безопасностью и реализацией прав субъектов ПДн, вы можете обратиться к ответственному лицу:

Срок ответа на обращения — до 10 рабочих дней в соответствии с 152-ФЗ. При срочных запросах, касающихся безопасности, укажите в теме письма «СРОЧНО: БЕЗОПАСНОСТЬ» — ответ будет направлен в течение 24 часов.

5. Порядок действий при инцидентах

В случае возникновения инцидента информационной безопасности Vertys действует по следующему регламенту:

  1. Обнаружение и фиксация. Инцидент фиксируется автоматически системами мониторинга или вручную сотрудником/клиентом через обращение в поддержку.
  2. Классификация. Инциденту присваивается уровень критичности:
    • Critical — утечка данных клиентов, полная недоступность платформы;
    • High — частичная недоступность, нарушение целостности данных;
    • Medium — некритичный сбой, затронувший часть пользователей;
    • Low — косметический дефект, не влияющий на данные и доступность.
  3. Локализация. В течение 30 минут для Critical/High инцидентов принимаются меры по изоляции проблемы (отключение скомпрометированного компонента, блокировка учётной записи).
  4. Устранение. Выполняется восстановление работоспособности, применяются исправления. Сроки — согласно SLA (раздел 3).
  5. Уведомление клиентов. При инцидентах уровня Critical или High клиенты уведомляются в течение 2 часов с момента обнаружения. Уведомление содержит: описание, затронутые системы, ожидаемое время восстановления.
  6. Post-mortem анализ. В течение 5 рабочих дней после устранения Critical/High инцидента проводится разбор причин, публикуется отчёт и принимаются меры по предотвращению повторения.
  7. Уведомление регулятора. При инцидентах, подпадающих под требования 152-ФЗ (утечка ПДн), уведомление в Роскомнадзор направляется в течение 24 часов, в соответствии со ст. 19 152-ФЗ.

Сообщить об инциденте можно по email: dpo@vertys.ru или через Telegram-поддержку.