Политика безопасности Fin‑Plan

Редакция от 03.11.2025

Политика описывает организационные и технические меры защиты данных, применяемые в Сервисе Fin‑Plan.

1. Архитектура и доступ

• Транспортная защита: HTTPS/TLS 1.2+; HSTS.
• Контроль доступа: роли пользователей, минимально необходимые права, аудит.
• Разделение окружений (prod/stage/test), журналирование событий.

2. Ключи, токены и сертификаты

• Хранение интеграционных секретов (OAuth‑токены, API‑ключи, PFX) в зашифрованном виде (AES‑256) с раздельным хранением паролей/секретов.
• Регулярная ротация, отзыв доступа по запросу клиента, удаление при деактивации интеграции.

3. Данные клиентов

• Изоляция по компаниям, контроль на уровне БД и приложений.
• Шифрование резервных копий, тестовые выборки без чувствительных данных.

4. Инциденты и уведомления

• Регистрация и классификация инцидентов, анализ причин, корректирующие действия.
• Оповещение пользователей в разумные сроки при значимых инцидентах.

5. Аудит и улучшения

• Периодическая проверка уязвимостей, обновление зависимостей и контейнеров.
• Обучение сотрудников по безопасной разработке и работе с данными.

6. Контакты

E‑mail: security@finplan.app