Все документы

Политика безопасности

ПОЛИТИКА БЕЗОПАСНОСТИ

ТОО «Robotic Industries»

Программный продукт «Raycon CRM»

Редакция от 05 марта 2026 года

1. Общие положения

1.1. Настоящая Политика безопасности (далее — «Политика») определяет принципы, меры и процедуры обеспечения информационной безопасности программного продукта «Raycon CRM», принадлежащего ТОО «Robotic Industries» (БИН: 240440021491).

1.2. Политика разработана в соответствии с:

• Законом РК «О персональных данных и их защите» (с изменениями от 09.01.2026);

• Приказами Министерства искусственного интеллекта и цифрового развития РК;

• Кодексом РК «Об административных правонарушениях» (ст. 79).

1.3. Настоящая Политика является неотъемлемой частью Публичной оферты и носит информационный характер.

2. Принципы безопасности

2.1. ТОО «Robotic Industries» придерживается следующих принципов:

• конфиденциальность — защита данных от несанкционированного доступа;

• целостность — защита данных от несанкционированного изменения;

• доступность — обеспечение доступа к данным авторизованным пользователям;

• минимизация — сбор и обработка только необходимых данных;

• подотчётность — ведение журналов действий и аудит.

3. Технические меры защиты

3.1. Шифрование:

• шифрование данных при передаче с использованием протокола TLS 1.2 и выше;

• шифрование данных при хранении (encryption at rest);

• шифрование резервных копий.

3.2. Контроль доступа:

• ролевая модель доступа (RBAC) — разграничение прав пользователей;

• индивидуальные учётные записи для каждого пользователя;

• запрет использования общих (shared) учётных записей;

• автоматическая блокировка учётной записи после 5 неудачных попыток входа;

• автоматическое завершение сессии при бездействии.

3.3. Аутентификация:

• парольная аутентификация с требованиями к сложности пароля;

• поддержка двухфакторной аутентификации (2FA) (при наличии технической возможности);

• безопасное хранение паролей (хеширование с использованием современных алгоритмов).

3.4. Мониторинг и журналирование:

• ведение журналов событий (логов) системы;

• журналирование действий пользователей (вход, выход, изменение данных);

• журналирование действий администраторов;

• хранение журналов в течение 12 месяцев.

3.5. Сетевая безопасность:

• использование межсетевых экранов (firewall);

• защита от DDoS-атак;

• сегментация сети;

• регулярное обновление программного обеспечения и устранение уязвимостей.

4. Организационные меры

4.1. Персонал:

• ограничение доступа сотрудников к данным по принципу «необходимости знать» (need-to-know);

• обязательства о неразглашении для всех сотрудников, имеющих доступ к данным;

• регулярное обучение сотрудников по вопросам информационной безопасности.

4.2. Назначение ответственного лица:

• в соответствии с требованиями Закона РК «О персональных данных и их защите», назначено лицо, ответственное за организацию обработки персональных данных.

4.3. Внутренние регламенты:

• внутренний регламент обработки персональных данных;

• процедура реагирования на инциденты безопасности;

• процедура предоставления и отзыва доступа.

5. Резервное копирование

5.1. Ежедневное автоматическое резервное копирование данных.

5.2. Хранение резервных копий в географически распределённых хранилищах.

5.3. Срок хранения резервных копий — 30 календарных дней.

5.4. Регулярное тестирование процедуры восстановления данных.

6. Реагирование на инциденты

6.1. При обнаружении инцидента информационной безопасности (утечка данных, несанкционированный доступ и т.д.) ТОО «Robotic Industries» обязуется:

6.1.1. Незамедлительно принять меры по локализации инцидента и предотвращению дальнейшего распространения.

6.1.2. Уведомить Министерство искусственного интеллекта и цифрового развития РК об инциденте в соответствии с требованиями законодательства.

6.1.3. Уведомить затронутых Заказчиков в течение 72 (семидесяти двух) часов с момента обнаружения инцидента.

6.1.4. Провести расследование инцидента и принять меры по предотвращению повторения.

6.1.5. Документировать инцидент и принятые меры.

7. Физическая безопасность

7.1. Серверы и инфраструктура размещаются в сертифицированных дата-центрах, обеспечивающих:

• контроль физического доступа;

• видеонаблюдение;

• системы пожаротушения;

• резервное электропитание;

• климат-контроль.

8. Обязанности Заказчика

8.1. Заказчик обязан обеспечивать безопасность на своей стороне:

• использовать надёжные пароли и регулярно их менять;

• не передавать учётные данные третьим лицам;

• использовать актуальное программное обеспечение и антивирусную защиту;

• незамедлительно уведомлять Исполнителя о подозрительной активности;

• обеспечивать безопасность устройств, с которых осуществляется доступ к системе.

8.2. ТОО «Robotic Industries» не несёт ответственности за инциденты безопасности, произошедшие по вине Заказчика (утечка паролей, использование незащищённых устройств, передача доступа третьим лицам).

9. Ограничение ответственности

9.1. ТОО «Robotic Industries» принимает все разумные меры для обеспечения безопасности данных, однако не может гарантировать абсолютную защиту от всех угроз.

9.2. ТОО «Robotic Industries» не несёт ответственности за:

• убытки, вызванные действиями третьих лиц (хакерские атаки, действия интернет-провайдеров);

• убытки, вызванные нарушением Заказчиком правил безопасности;

• убытки, вызванные обстоятельствами непреодолимой силы.

9.3. Совокупная ответственность ТОО «Robotic Industries» за инциденты безопасности ограничена условиями Публичной оферты.

10. Изменения Политики

10.1. ТОО «Robotic Industries» вправе в одностороннем порядке обновлять настоящую Политику. Актуальная версия размещается на сайте.

ТОО «Robotic Industries»

Республика Казахстан, 010000, г. Астана, ул. Иманова, 19, Деловой-Дом «Алма-ата», офис 804А

БИН: 240440021491

E-mail: roboricindustries@gmail.com