Обеспечение безопасного и соответствующего требованиям GDPR голосования

NemoVote разработан с учетом безопасности. Мы осознаем нашу ответственность и относимся к ней серьезно. Каждый бюллетень с NemoVote защищен и неоспорим.

Наши принципы безопасности

Конфиденциальность

Мы защищаем данные от несанкционированного доступа и неправильного использования.

Целостность

Мы защищаем данные от несанкционированного изменения на протяжении всего их жизненного цикла.

Доступность

Наш сервис доступен в режиме реального времени даже для живого голосования с большим количеством избирателей.

Архитектура и инфраструктура

  • Вся наша инфраструктура размещена у сертифицированных (включая ISO/IEC 27001, 27017 и 27018) облачных провайдеров Hetzner, Хероку и Amazon AWS. Для получения дополнительной информации о безопасности Hetzner, Heroku и Amazon AWS, пожалуйста, посетите их соответствующие обзоры.

  • Мы гарантируем, что наши данные обрабатываются и хранятся исключительно в ЕС в соответствии с нормами GDPR.

  • Каждый клиент получает от нас свою собственную логически изолированную экземпляр NemoVote. Это означает, что данные из других экземпляров не будут храниться вместе с их данными.

  • Наши веб-серверы шифруют данные во время передачи на и с NemoVote с использованием HTTPS.

  • Все постоянные данные нами зашифрованы в состоянии покоя с использованием стандарта шифрования AES-256.

Ведение журналов и мониторинг

  • Все действия (включая административный доступ) в наших системах централизованно фиксируются и контролируются.

  • Наши файлы журналов хранятся в зашифрованной форме и доступны только администраторам.

  • Наши журнальные файлы хранятся в течение максимального периода 7 дней.

  • Пароли наших клиентов, а также личные данные не записываются нами ни в какое время.

  • Благодаря нашей активной системе мониторинга и предупреждения, инциденты сообщаются непосредственно ответственному администратору.

Управление уязвимостями

  • NemoVote поддерживает процедуры для смягчения выявленных и сообщенных уязвимостей безопасности в течение установленного срока.

  • Мы обеспечиваем информирование наших клиентов и соответствующих органов в случае инцидента безопасности в течение 72 часов после обнаружения.

  • Инциденты безопасности могут быть сообщены в privacy@nemovote.com

Управление изменениями

  • У NemoVote есть формальная система управления изменениями для управления изменениями программного обеспечения, развернутого в производственной среде. Для получения более подробной информации об изменениях в NemoVote, пожалуйста, обратитесь к журналу изменений NemoVote.

  • Мы поддерживаем детальный процесс отката для возвращения к предыдущим версиям системы в случае чрезвычайной ситуации.

  • Все изменения проверяются и тестируются перед выпуском в производственные системы.

Резервное копирование и восстановление

  • NemoVote создает резервные копии через регулярные промежутки времени на случай потери данных.

  • Резервные копии регулярно тестируются нами и безопасно хранятся у нашего облачного провайдера (минимальный стандарт шифрования AES-256).

  • У NemoVote следующие цели по восстановлению систем в случае чрезвычайных ситуаций:

    • Цель времени восстановления (RTO): 60 минут

    • Цель точки восстановления (RPO): 15 минут

Меры безопасности

  • Для клиентов:

    • Для всех наших клиентов действуют специальные рекомендации по паролям благодаря использованию проверенных систем управления пользователями.

    • Идентификатор избирателя и поданный голос хранятся независимо друг от друга и не могут быть затем связаны в базе данных, что гарантирует анонимность избирателя.

    • Прежде чем голос избирателя будет засчитан, он должен быть подтвержден на втором этапе. Это предотвращает случайную подачу голоса. Для того чтобы предотвратить несанкционированное голосование, голос проверяется на наличие полномочий и правильность до его подсчета.

    • Сервер голосования NemoVote также обеспечивает, что избиратель может подать только столько голосов, сколько ему назначено по спискам избирателей. Результаты доступны и отслеживаются сразу после каждого голосования для всех аутентифицированных и авторизованных пользователей NemoVote в приложении. Это также позволяет избирателю дополнительно проверить, была ли соответствующая голос подана.

  • Для сотрудников и администраторов:

    • Все доступы разработчиков NemoVote к нашим системам защищены с помощью современных мер аутентификации.

    • Мы следуем принципу наименьших привилегий. Это означает, что нашим сотрудникам предоставляется доступ только к тем системам, которые абсолютно необходимы для них.

    • Все наши сотрудники обязуются соблюдать конфиденциальность в соответствии со статьей 5 (1) f) Общего регламента по защите данных.

    • Все назначенные доступы сотрудников и администраторов регулярно проверяются на предмет их актуальности. Когда сотрудник уходит, мы следуем установленному протоколу для прекращения всех назначенных доступов.

Команда по безопасности и защите данных

  • Наши сотрудники, а также внешние партнеры, привлеченные нами, могут продемонстрировать соответствующий опыт и отрасле стандартные сертификации, такие как «Certified Information Systems Security Professional», «Certified Cloud Security Professional» от (ISC)², «Офицер по защите данных (IHK)» и «Сотрудник по информационной безопасности – ISO (TÜV)».

Данные клиентов

  • Мы используем Stripe для обработки платежей в нашем интернет-магазине.В этом процессе мы не храним никакие платежные данные, а передаем их напрямую в Stripe.

  • Персональные данные и данные о голосах будут удалены из всех наших систем (включая резервные копии и архивы) после прекращения действия соответствующего плана NemoVote в соответствии с законодательными сроками хранения данных. Чтобы избежать удаления ваших данных после прекращения плана NemoVote и сохранить доступ к вашим голосам, вы можете воспользоваться нашими пакетами повторного использования данных.

  • Для получения более подробной информации о том, как NemoVote обрабатывает ваши данные, пожалуйста, обратитесь к нашему. Политика конфиденциальности

Логотип Sedevo

Функции и процессы безопасности NemoVote были разработаны и реализованы в сотрудничестве с Sedevo и регулярно проверяются командой Sedevo.