Соответствие и фреймворки
Сводка стандартов, регулирования и фреймворков, к которым мы выстраиваем операции. Соответствие — осознанная цель, а не замена аудированной сертификации.
Соответствие — это не сертификация. Где у нас есть внешняя аттестация, она называется явно. Где мы соответствуем без аттестации, эта страница так и говорит.
NIST CSF 2.0
NIST Cybersecurity Framework 2.0 организует работу по безопасности по функциям Govern, Identify, Protect, Detect, Respond, Recover.
Наш обзор безопасности, реагирование на инциденты и практики устойчивости организованы вокруг этих функций. Внешней аттестации CSF у нас нет.
OWASP ASVS
OWASP Application Security Verification Standard задаёт требования верификации для современных веб-приложений.
Для платформы мы целимся в OWASP ASVS Уровень 2 и проводим внешние тесты на проникновение перед крупными релизами. Сводки пентестов передаются по запросу в рамках DPA.
WCAG 2.2 AA
W3C WCAG 2.2 задаёт текущий ориентир по доступности для публичных веб-поверхностей.
WCAG 2.2 уровень AA — задокументированная цель корпоративного сайта; продуктовая поверхность приводится к той же цели маршрут за маршрутом. Заявление о доступности описывает область и известные ограничения.
GDPR
Европейский Общий регламент о защите данных регулирует обработку персональных данных лиц в ЕЭЗ.
Наши DPA, стандартные договорные положения, список субобработчиков и обработка запросов субъектов данных спроектированы под требования контролёр–обработчик GDPR.
KVKK
Турецкий закон Kişisel Verileri Koruma Kanunu (№ 6698) регулирует обработку персональных данных в Турции.
Наше уведомление о конфиденциальности, канал запросов субъектов, практики хранения и уничтожения и обязательства по трансграничным передачам выстроены под обязательства KVKK, определённые регулятором.