Trust center

Безопасность и соответствие требованиям

Медицинские данные — одна из самых чувствительных категорий информации. Мы строим систему, которой можно доверять критически важные процессы клиники.

Шифрование

·TLS 1.3 на всех соединениях (HSTS preload, HTTP/2)
·AES-256 для данных в покое (PostgreSQL encryption-at-rest)
·Fernet-шифрование секретов интеграций (платёжные API-ключи)
·bcrypt для хранения паролей (cost factor 12)

Контроль доступа

·Ролевая модель (RBAC): владелец, главврач, врач, администратор, ассистент
·Двухфакторная аутентификация (TOTP, QR-код для Google Authenticator)
·JWT с ротацией refresh-токенов, отзыв при подозрительной активности
·Ограничение доступа по филиалам (cross-branch isolation)

Хранение и резервирование

·Серверы на территории Республики Таджикистан (соответствие Закону РТ № 1537 «О защите персональных данных»)
·Ежечасные incremental-бэкапы (WAL-архив PostgreSQL)
·Ежедневный full-backup в территориально разнесённое S3-хранилище
·Проверка восстановления из бэкапа — еженедельно

Мониторинг и аудит

·Журнал действий (audit log) — кто, что, когда изменил
·24/7 мониторинг доступности и latency (Prometheus + Grafana)
·Оповещения о подозрительной активности (логины с новых IP, массовый экспорт)
·SIEM-интеграция для корпоративных клиентов (по запросу)

Соответствие требованиям

·Закон Республики Таджикистан № 1537 от 03.08.2018 «О защите персональных данных»
·ISO/IEC 27001:2022 (Information Security Management)
·ISO/IEC 27701:2019 (Privacy Information Management)
·Ежегодный внешний аудит безопасности и penetration-тест

Организационные меры

·NDA со всеми сотрудниками и подрядчиками
·Принцип минимальных привилегий (least privilege)
·Обязательное code-review и автоматический SAST/DAST в CI
·План реагирования на инциденты (IRP) — уведомление клиентов в течение 24 часов

SLA и доступность

Мы гарантируем доступность сервиса не менее 99,5% в календарный месяц. В случае невыполнения SLA клиенту предоставляется компенсация в виде дополнительного периода подписки. Фактические метрики публикуются на статус-странице status.dentaflow.pro.

Программа Bug Bounty

Нашли уязвимость? Напишите на security@dentaflow.pro с описанием и PoC. Мы соблюдаем политику ответственного раскрытия (responsible disclosure) и выплачиваем вознаграждение за подтверждённые находки.

Аудит и сертификация

По запросу предоставляем:

отчёт о проведённом penetration-тесте (NDA);
Data Processing Agreement (DPA) для корпоративных клиентов;
уведомление уполномоченного органа РТ об обработке персональных данных;
описание архитектуры безопасности (Security whitepaper).

SLA и доступность

Программа Bug Bounty

Аудит и сертификация

По запросу предоставляем:

отчёт о проведённом penetration-тесте (NDA);

Data Processing Agreement (DPA) для корпоративных клиентов;

уведомление уполномоченного органа РТ об обработке персональных данных;

описание архитектуры безопасности (Security whitepaper).