Обеспечение безопасного и соответствующего требованиям GDPR голосования
NemoVote разработан с учетом безопасности. Мы осознаем нашу ответственность и относимся к ней серьезно. Каждый бюллетень с NemoVote защищен и неоспорим.
Наши принципы безопасности
Конфиденциальность
Мы защищаем данные от несанкционированного доступа и неправильного использования.
Целостность
Мы защищаем данные от несанкционированного изменения на протяжении всего их жизненного цикла.
Доступность
Наш сервис доступен в режиме реального времени даже для живого голосования с большим количеством избирателей.
Архитектура и инфраструктура
Вся наша инфраструктура размещена у сертифицированных (включая ISO/IEC 27001, 27017 и 27018) облачных провайдеров Hetzner, Хероку и Amazon AWS. Для получения дополнительной информации о безопасности Hetzner, Heroku и Amazon AWS, пожалуйста, посетите их соответствующие обзоры.
Мы гарантируем, что наши данные обрабатываются и хранятся исключительно в ЕС в соответствии с нормами GDPR.
Каждый клиент получает от нас свою собственную логически изолированную экземпляр NemoVote. Это означает, что данные из других экземпляров не будут храниться вместе с их данными.
Наши веб-серверы шифруют данные во время передачи на и с NemoVote с использованием HTTPS.
Все постоянные данные нами зашифрованы в состоянии покоя с использованием стандарта шифрования AES-256.
Ведение журналов и мониторинг
Все действия (включая административный доступ) в наших системах централизованно фиксируются и контролируются.
Наши файлы журналов хранятся в зашифрованной форме и доступны только администраторам.
Наши журнальные файлы хранятся в течение максимального периода 7 дней.
Пароли наших клиентов, а также личные данные не записываются нами ни в какое время.
Благодаря нашей активной системе мониторинга и предупреждения, инциденты сообщаются непосредственно ответственному администратору.
Управление уязвимостями
NemoVote поддерживает процедуры для смягчения выявленных и сообщенных уязвимостей безопасности в течение установленного срока.
Мы обеспечиваем информирование наших клиентов и соответствующих органов в случае инцидента безопасности в течение 72 часов после обнаружения.
Инциденты безопасности могут быть сообщены в privacy@nemovote.com
Управление изменениями
У NemoVote есть формальная система управления изменениями для управления изменениями программного обеспечения, развернутого в производственной среде. Для получения более подробной информации об изменениях в NemoVote, пожалуйста, обратитесь к журналу изменений NemoVote.
Мы поддерживаем детальный процесс отката для возвращения к предыдущим версиям системы в случае чрезвычайной ситуации.
Все изменения проверяются и тестируются перед выпуском в производственные системы.
Резервное копирование и восстановление
NemoVote создает резервные копии через регулярные промежутки времени на случай потери данных.
Резервные копии регулярно тестируются нами и безопасно хранятся у нашего облачного провайдера (минимальный стандарт шифрования AES-256).
У NemoVote следующие цели по восстановлению систем в случае чрезвычайных ситуаций:
Цель времени восстановления (RTO): 60 минут
Цель точки восстановления (RPO): 15 минут
Меры безопасности
Для клиентов:
Для всех наших клиентов действуют специальные рекомендации по паролям благодаря использованию проверенных систем управления пользователями.
Идентификатор избирателя и поданный голос хранятся независимо друг от друга и не могут быть затем связаны в базе данных, что гарантирует анонимность избирателя.
Прежде чем голос избирателя будет засчитан, он должен быть подтвержден на втором этапе. Это предотвращает случайную подачу голоса. Для того чтобы предотвратить несанкционированное голосование, голос проверяется на наличие полномочий и правильность до его подсчета.
Сервер голосования NemoVote также обеспечивает, что избиратель может подать только столько голосов, сколько ему назначено по спискам избирателей. Результаты доступны и отслеживаются сразу после каждого голосования для всех аутентифицированных и авторизованных пользователей NemoVote в приложении. Это также позволяет избирателю дополнительно проверить, была ли соответствующая голос подана.
Для сотрудников и администраторов:
Все доступы разработчиков NemoVote к нашим системам защищены с помощью современных мер аутентификации.
Мы следуем принципу наименьших привилегий. Это означает, что нашим сотрудникам предоставляется доступ только к тем системам, которые абсолютно необходимы для них.
Все наши сотрудники обязуются соблюдать конфиденциальность в соответствии со статьей 5 (1) f) Общего регламента по защите данных.
Все назначенные доступы сотрудников и администраторов регулярно проверяются на предмет их актуальности. Когда сотрудник уходит, мы следуем установленному протоколу для прекращения всех назначенных доступов.
Команда по безопасности и защите данных
Наши сотрудники, а также внешние партнеры, привлеченные нами, могут продемонстрировать соответствующий опыт и отрасле стандартные сертификации, такие как «Certified Information Systems Security Professional», «Certified Cloud Security Professional» от (ISC)², «Офицер по защите данных (IHK)» и «Сотрудник по информационной безопасности – ISO (TÜV)».
Данные клиентов
Мы используем Stripe для обработки платежей в нашем интернет-магазине.В этом процессе мы не храним никакие платежные данные, а передаем их напрямую в Stripe.
Персональные данные и данные о голосах будут удалены из всех наших систем (включая резервные копии и архивы) после прекращения действия соответствующего плана NemoVote в соответствии с законодательными сроками хранения данных. Чтобы избежать удаления ваших данных после прекращения плана NemoVote и сохранить доступ к вашим голосам, вы можете воспользоваться нашими пакетами повторного использования данных.
Для получения более подробной информации о том, как NemoVote обрабатывает ваши данные, пожалуйста, обратитесь к нашему. Политика конфиденциальности

Функции и процессы безопасности NemoVote были разработаны и реализованы в сотрудничестве с Sedevo и регулярно проверяются командой Sedevo.