Перейти к содержимому
EMPOBase
ru
Начать бесплатно
Безопасность и конфиденциальность

Построено на Google Cloud. Готово к аудиту.

EMPOBase полностью размещён на Google Cloud — том же уровне безопасности, на который ваш страновой офис полагается при использовании Gmail или Drive. На этой странице описано, что мы гарантируем сегодня, что находится в ближайшем плане развития и какие поставщики имеют доступ к вашим данным.

Хостинг
Google Cloud
Регион Сингапур. Размещение данных в ЕС / привязанное к региону находится в нашем плане развития.
Шифрование
При передаче и в состоянии покоя
TLS при передаче. Управляемое Google шифрование каждого байта в состоянии покоя.
Изоляция
База данных для каждой организации
Каждая организация получает собственную базу данных. Нет общих строк, нет межорганизационных запросов.
Как проходят запросы

От вашего браузера до базы данных, через четыре защищённых уровня.

Высокоуровневый обзор того, как каждый аутентифицированный запрос проходит через EMPOBase. Называет уровень (Edge / Идентификация / Приложение / Хранилище), а не продукты, лежащие в его основе.

EMPOBase request flow Authenticated users on the left flow through edge protection, identity verification, per-tenant application logic, and into encrypted storage. Field staff Director Donor liaison EDGE TLS · HSTS · CSP DDoS & bot filtering IDENTITY Signed tokens Google IdP · MFA-ready APPLICATION TENANT A TENANT B STORAGE Per-tenant DB Encrypted files Every request: edge protection → signed identity → per-tenant isolation → encrypted storage.
Encryption at rest uses Google-managed keys today. Customer-held, operator-blind encryption for sensitive records is on our roadmap (see below).
Что мы гарантируем

Уровень безопасности, простыми словами.

Детали реализации остаются закрытыми по той же причине, по которой банки не публикуют свои сетевые схемы. Приведённые ниже свойства — это те, к которым мы обязуемся и которые подтвердит внешний аудит.

Изоляция организаций

  • Одна база данных на организацию. Межорганизационный SQL структурно невозможен — нет общих строк, которые могли бы утечь
  • Загруженные файлы хранятся в путях хранилища для каждой организации с контролем доступа на уровне объектов. Загрузки происходят только через краткосрочные подписанные URL
  • Запросы на уровне приложения ограничены аутентифицированной организацией при каждом вызове API, а не только при входе

Шифрование

  • TLS для каждого соединения между вашим браузером, нашим приложением и нашей базой данных. HSTS принудительно включён
  • Управляемые Google ключи шифрования для данных в состоянии покоя — как для баз данных, так и для файлового хранилища
  • Управляемые клиентом ключи шифрования (BYOK) — в плане развития для Enterprise, пока недоступны (см. план развития ниже)

Идентификация & сеансы

  • Вход проходит через управляемого поставщика идентификации Google — ваши учётные данные никогда не касаются нашей базы данных
  • Токены идентификации криптографически подписаны и проверяются на стороне сервера при каждом запросе
  • Сеансовые cookie имеют атрибуты HttpOnly + Secure + SameSite. JavaScript не может их прочитать; межсайтовые запросы не могут их воспроизвести
  • Белый список авторизованных доменов у поставщика идентификации — фишинговые страницы не могут проксировать ваш вход

Отказоустойчивость

  • Ежедневные резервные копии базы данных с восстановлением на момент времени — 7 дней на Pro, 30 дней на Enterprise
  • Секреты и учётные данные хранятся в аппаратно-защищённом хранилище ключей. Ротация, контролируемый IAM доступ и журналирование аудита при каждом чтении
  • Неизменяемые развёртывания на уровне контейнеров. Без исправлений через SSH на сервере; каждый релиз — это свежая сборка, заменяющая старую
  • Строгая Content-Security-Policy + X-Frame-Options + X-Content-Type-Options на каждой странице
Конфиденциальность

Ваши данные, ваши правила. Не материал для обучения.

Мы управляем порталом. Мы не владеем тем, что внутри него. Записи о благополучателях, воронки доноров, опросы MEAL, расчёт заработной платы персонала — данными владеет клиент, и мы относимся к ним соответственно.

Владение данными
Вы владеете всем, что загружаете. Мы обрабатываем это для предоставления услуги — и не более того. Отмените, и ваш полный экспорт будет ваш в течение 30 дней.
Без обучения, без перепродажи
Мы не продаём, не лицензируем, не передаём, не извлекаем и не монетизируем иным образом ваши данные с третьими сторонами. Мы не передаём их в конвейеры обучения ИИ. Точка.
Право на удаление
Удаление по записи из интерфейса. Полная очистка аккаунта в течение 30 дней после письменного запроса. Резервные копии также устаревают в течение 30 дней.
Право на экспорт
Полные выгрузки в CSV / SQL по запросу для Team и выше. Экспорт на бесплатном тарифе содержит водяной знак, но включает те же поля.
DPA в архиве
Стандартное Соглашение об обработке данных, покрывающее обязательства по статье 28 GDPR, доступно по запросу. Стандартные договорные положения ЕС включены для передач за пределы ЕС.
Данные благополучателей
Имена благополучателей, фотографии, координаты GPS и документы, удостоверяющие личность, рассматриваются как чувствительные персональные данные. Поэлементные средства редактирования в модуле «Программы» для последующего обмена.
Субобработчики

Кто ещё имеет доступ к вашим данным и почему.

Соответствие требованиям закупок обязывает нас называть каждую третью сторону, имеющую доступ к данным клиента. Если мы добавляем нового субобработчика, клиенты на Pro и Enterprise получают уведомление за 30 дней с правом возразить.

Поставщик Назначение Тип данных Местоположение
Google Cloud Хостинг, база данных, файловое хранилище, DNS, секреты Все данные клиента Сингапур · ЕС доступен
Поставщик идентификации Google Вход (Google + email) Email, отображаемое имя, метки времени входа Глобально
Hostinger Регистратор доменов Только записи о владении доменом ЕС (Литва)
Resend Транзакционная email (квитанции, аутентификация, уведомления) Адрес email, содержимое сообщения США
RedotPay / KBZ Pay / банковский перевод Обработка платежей (текущие каналы платных планов) Платёжный контакт, подтверждение оплаты Зависит от канала
Stripe Биллинг подписок (запланировано — пока не активно) Платёжный контакт, email, платёжный инструмент США · ЕС доступен

Список субобработчиков обновляется по мере изменения интеграций. Stripe запланирован, но пока не активен; текущая обработка платежей использует RedotPay, KBZ Pay и банковский перевод.

Честная часть

Что в плане развития, с датами.

Мы молодой продукт. Притворяться, что у нас есть сертификаты, которых нет, не пережило бы вашего первого ознакомительного звонка. Вот реальное положение дел.

Сегодня

Базовые средства контроля

  • · Нативная база Google Cloud
  • · Изоляция базы данных по организациям
  • · Шифрование при передаче и в состоянии покоя
  • · Шаблон DPA по запросу
  • · Список субобработчиков (выше)
В процессе

2026 H2

  • · Регистрация MFA для всех пользователей
  • · Экспорт контрольного журнала для клиента
  • · Конечные точки экспорта и удаления данных по GDPR
  • · Размещение данных в ЕС
  • · Набор анкеты безопасности для поставщика
План развития

2027

  • · SOC 2 Type I
  • · Управляемые клиентом ключи шифрования (BYOK)
  • · Запуск аудита ISO 27001
  • · Публичная страница статуса
Свяжитесь с нами

Отправьте свою анкету безопасности — мы на неё ответим.

Команды закупок INGO: присылайте свой CAIQ, свой VSA, свой собственный контрольный список безопасности поставщиков. Мы отвечаем в течение 5 рабочих дней под NDA и разбираем каждый пробел.

Ответственное раскрытие: нашли уязвимость? Напишите на security@empobase.com. Мы подтверждаем получение в течение 48 часов и упоминаем исследователей в changelog.

Написать команде безопасности Запросить DPA