Безопасность данных Психометрика

Версия: launch-v1 Дата вступления в силу: [указать дату]

Эта страница объясняет, как Психометрика защищает аккаунты, результаты психометрических тестов, согласия, технические журналы, запросы на удаление и обезличенные данные.

Документ дополняет Политику конфиденциальности, Условия использования и страницу запроса на полное удаление данных.

1. Что мы защищаем

В Психометрика могут обрабатываться:

  • данные аккаунта;
  • email;
  • Telegram username;
  • хеш пароля;
  • настройки профиля;
  • результаты тестов;
  • ответы на вопросы;
  • рассчитанные баллы и шкалы;
  • AI-интерпретации;
  • история согласий;
  • запросы на удаление;
  • технические журналы;
  • сведения о платежах в ограниченном объёме;
  • обезличенные наборы результатов.

Результаты психометрических тестов могут раскрывать сведения о психологическом состоянии, переживаниях, симптомах, тревоге, депрессивных проявлениях или других чувствительных аспектах. Поэтому мы защищаем их строже, чем обычные технические данные.

2. Нормативная основа безопасности

При организации защиты персональных данных оператор учитывает:

  • статью 19 152-ФЗ о правовых, организационных и технических мерах защиты;
  • постановление Правительства РФ № 1119 о требованиях к защите персональных данных в информационных системах;
  • приказ ФСТЭК России № 21 о составе и содержании организационных и технических мер;
  • статью 18.1 152-ФЗ об обязанностях оператора;
  • статью 21 152-ФЗ о блокировании и уничтожении данных;
  • рекомендации Роскомнадзора операторам персональных данных.

Ссылки приведены в разделе «Нормативные ссылки».

3. Основные принципы безопасности

Мы строим защиту вокруг следующих принципов:

  1. Минимизация данных. Не собирать больше, чем нужно.
  2. Разделение данных. Отделять аккаунт, согласия, результаты, платежи, логи и обезличенные данные.
  3. Разграничение доступа. Доступ только тем, кому он нужен.
  4. Проверка критичных действий. Удаление аккаунта и полное удаление требуют подтверждения.
  5. Безопасное хранение паролей. Пароль не хранится в открытом виде.
  6. Обезличивание. Результаты могут быть отделены от аккаунта.
  7. Журналирование. Важные системные privacy-операции должны оставлять технический след.
  8. Ревью публичного контента. Публичные страницы и материалы показываются только после проверки.
  9. Осторожность с чувствительными данными. Психометрические результаты требуют повышенной осторожности.
  10. Fail-safe для публичности. Если страница не прошла ревью, она не должна быть публичной.

4. Пароли

Если пользователь устанавливает пароль, он не хранится в открытом виде.

В системе должен храниться хеш пароля. При входе сервис проверяет введённый пароль через безопасное сравнение с хешем.

Это означает, что администратор не должен видеть исходный пароль, восстановление пароля обычно происходит через сброс, а не через отправку старого пароля, а при подозрении на компрометацию пароль нужно сменить.

5. Сессии и cookie

Для входа и сохранения авторизации сервис использует сессии и cookie.

Сессии нужны, чтобы определить, что пользователь вошёл в аккаунт, показать личные результаты только владельцу аккаунта, защитить действия в профиле, ограничить доступ к административным функциям и предотвратить несанкционированные действия.

Пользователь должен выходить из аккаунта на чужих устройствах и не передавать доступ к своему браузеру, почте или Telegram.

6. Защита аккаунта

Сервис может использовать проверку пароля, вход через email или Telegram, ограничения на повторные запросы, сессионную авторизацию, проверку критичных действий, подтверждение удаления аккаунта специальным словом и ручную проверку принадлежности аккаунта для чувствительных запросов.

Если аккаунт не имеет пароля, удаление через интерфейс может быть недоступно. В таком случае пользователь направляет запрос на privacy@psychometrica.pro, а оператор проверяет принадлежность аккаунта вручную.

7. Доступ администраторов

Административный доступ должен использоваться только для задач публикации и ревью контента, поддержки пользователей, обработки privacy-запросов, диагностики ошибок, обеспечения безопасности и выполнения юридических обязанностей.

Администратор не должен просматривать чувствительные данные без необходимости. Доступ к административным функциям должен быть ограничен и использоваться только уполномоченными лицами.

8. Ревью публичных страниц и материалов

Публичные страницы проекта проходят ревью перед публикацией.

Если страница не прошла ревью, она не должна отображаться публично. Это защищает пользователей от сырых, непроверенных или вводящих в заблуждение материалов.

Для контента Психометрика действует принцип:

  • published: true означает, что материал технически может быть опубликован;
  • штатный review-state означает, что материал прошёл проверку;
  • без review-state публичный пользователь должен получать 404 или не видеть материал;
  • администратор может видеть непроверенный материал с предупреждением, если это предусмотрено интерфейсом.

Это правило особенно важно для правовых, медицинских и психометрических материалов.

9. Результаты тестов

Результаты тестов доступны только владельцу аккаунта, если пользователь вошёл в систему и если история результатов включена.

Результаты не должны публично отображаться без согласия пользователя.

Сервис должен отделять персональную историю пользователя, технические попытки прохождения, обезличенные результаты, агрегированную статистику, AI-отчёты и системные журналы.

10. AI-интерпретации

AI-интерпретации могут содержать чувствительные выводы о состоянии пользователя.

Поэтому они должны отображаться только пользователю, которому относятся, не использоваться как диагноз, не передаваться третьим лицам без основания, не публиковаться публично по умолчанию, храниться и удаляться по правилам, применимым к результатам тестов.

11. Обезличивание

Обезличивание — это процесс отделения результатов от аккаунта и идентифицирующих данных.

После обезличивания строка результата не должна быть связана с email, Telegram username, именем пользователя, идентификатором аккаунта, идентификатором сессии, если он позволяет восстановить пользователя, или другими прямыми идентификаторами.

Обезличенные данные могут использоваться для общей анонимной статистики по группам пользователей, проверки качества тестов, расчёта нормативных показателей, научной и методологической валидации.

После настоящего обезличивания индивидуальное удаление конкретной строки может быть невозможно, потому что связь между строкой и пользователем удалена.

12. Удаление аккаунта и полное удаление данных

Для удаления аккаунта сервис может требовать авторизацию, пароль, специальное слово подтверждения, отсутствие признаков несанкционированного доступа или ручную проверку, если автоматическое подтверждение невозможно.

Страница полного удаления: /privacy/full-delete-request

Полное удаление персональных данных может включать удаление или блокирование данных аккаунта, прекращение активных сессий, обработку согласий, обработку истории тестов, обезличивание результатов, где это применимо, и сохранение минимальных записей, если они нужны по закону или для подтверждения выполненного действия.

13. Запросы субъекта данных

Запросы по персональным данным принимаются по адресу privacy@psychometrica.pro.

К ним относятся доступ к сведениям о данных, уточнение данных, блокирование, удаление, отзыв согласия, вопросы о целях и способах обработки.

В pre-launch режиме такие запросы могут обрабатываться вручную оператором. Переписка хранится в mailbox оператора и используется для подтверждения факта обращения и ответа.

14. Технические журналы

Сервис может вести технические журналы для диагностики ошибок, расследования сбоев, защиты от атак, предотвращения злоупотреблений, подтверждения важных системных операций, анализа производительности и работы rate-limit механизмов.

Технические журналы могут содержать IP-адрес, user-agent, дату и время, путь запроса, статус ответа, сведения об ошибке, технический идентификатор запроса и идентификатор пользователя, если действие выполнялось в аккаунте.

Мы не используем технические журналы для рекламного профилирования.

15. IP-адреса и user-agent

При некоторых действиях сервис может фиксировать технические сведения о запросе.

Например, при принятии новой версии Политики конфиденциальности может сохраняться источник действия, режим действия, user-agent и частично скрытый или обезличенный IP-адрес.

Это помогает подтвердить, что действие было выполнено через интерфейс сервиса, но уменьшает объём сохраняемых идентифицирующих данных.

16. Защита от CSRF и подозрительных запросов

Для чувствительных POST-действий сервис может проверять, что запрос пришёл с того же сайта.

Например, для принятия новой политики или отправки запроса на полное удаление могут применяться проверка Origin или Referer, ограничение метода запроса, ограничение размера тела запроса, требование JSON-формата, проверка авторизации и rate-limit.

Это снижает риск того, что сторонний сайт выполнит действие от имени пользователя без его намерения.

17. Ограничение размера запросов

Для API-запросов сервис может ограничивать размер тела запроса.

Это защищает от случайной отправки слишком большого файла, попытки перегрузить сервер, злоупотреблений, ошибок клиента и некоторых типов атак.

Если запрос превышает лимит, сервис может вернуть ошибку.

18. Rate-limit

Сервис может ограничивать частоту запросов.

Rate-limit может применяться к входу, регистрации, отправке OTP, запросам на удаление, принятию политики, API-методам и публичным страницам при подозрительной активности.

Ограничения нужны для защиты от перебора, спама, автоматизированных атак и перегрузки.

19. Платежные данные

Если в сервисе есть платные функции, платеж может обрабатываться внешним платежным провайдером.

Психометрика не должна хранить полный номер банковской карты, CVV и данные, достаточные для повторного списания без участия платежного провайдера.

В сервисе могут храниться сумма, дата, статус, идентификатор платежа, выбранный продукт и технические сведения, необходимые для учёта и поддержки.

20. Резервные копии

Для устойчивости сервиса могут использоваться резервные копии.

Резервные копии нужны для восстановления после технического сбоя, повреждения данных, ошибки деплоя, отказа инфраструктуры или инцидента безопасности.

Удаление данных из активной базы не всегда означает мгновенное удаление из всех резервных копий. При этом резервные копии не должны использоваться для обычной работы с данными и должны удаляться или перезаписываться по установленному циклу хранения.

Перед публикацией оператор должен уточнить: используются ли резервные копии, где они хранятся, как долго они хранятся, кто имеет к ним доступ и как выполняется удаление по истечении срока хранения.

21. Передача третьим лицам

Мы не продаём персональные данные.

Доступ к данным могут получать технические поставщики, если они нужны для работы сервиса: хостинг, база данных, отправка email, платежи, мониторинг, резервное копирование, техническая поддержка, сервисы доставки уведомлений.

Такие поставщики должны использовать данные только для целей, связанных с работой сервиса.

Перед публикацией оператор должен уточнить список ключевых поставщиков, если его нужно раскрывать публично.

22. Инциденты безопасности

Если мы обнаружим инцидент, который может повлиять на безопасность персональных данных, мы ограничим последствия, проверим, какие данные могли быть затронуты, устраним причину, восстановим штатную работу, зафиксируем событие, уведомим пользователей или уполномоченный орган, если это требуется законом.

Если вы считаете, что ваш аккаунт или данные могли быть скомпрометированы, напишите на privacy@psychometrica.pro.

23. Что мы не делаем

Мы не должны:

  • хранить пароль в открытом виде;
  • публиковать результаты тестов без основания;
  • продавать персональные данные;
  • использовать результаты тестов для рекламного таргетинга;
  • раскрывать наличие аккаунта третьим лицам без проверки;
  • принимать запрос на удаление чужого аккаунта без подтверждения принадлежности;
  • обходить review-gate для публичных страниц;
  • использовать обезличенные данные способом, позволяющим восстановить личность пользователя.

24. Что может сделать пользователь

Чтобы защитить свои данные, используйте надёжный пароль, не передавайте доступ к email или Telegram, выходите из аккаунта на чужом устройстве, не отправляйте чувствительные данные в открытых каналах без необходимости, проверяйте адрес сайта перед входом, не передавайте коды входа третьим лицам, используйте актуальный браузер, обновляйте устройство и сообщайте нам о подозрительной активности.

25. Ограничения безопасности

Ни одна система не может гарантировать абсолютную безопасность.

Безопасность зависит не только от Психометрика, но и от устройства пользователя, браузера, сети, email-провайдера, Telegram, хостинг-провайдера, платежного провайдера, действий самого пользователя и действий третьих лиц.

Мы стараемся снижать риски, но не можем исключить их полностью.

26. Контроль и пересмотр мер

Меры безопасности должны пересматриваться при изменении архитектуры сервиса, добавлении новых типов данных, запуске платных функций, подключении новых поставщиков, изменении законодательства, выявлении инцидента или существенном изменении модели угроз.

Публичная страница безопасности может обновляться вместе с развитием сервиса.

27. Контакты по безопасности

По вопросам безопасности, приватности и персональных данных: privacy@psychometrica.pro

Для запроса полного удаления данных: /privacy/full-delete-request

28. Нормативные ссылки