Безопасность —
наш приоритет

Приложение forms.app изначально разработано с учётом принципов безопасности и конфиденциальности. Ознакомьтесь с техническими мерами, которые мы внедрили, чтобы надёжно защищать ваши данные.

Доверие влиятельных брендов по всему миру

cocacola
redbull
starbucks
nike
samsung
mercedes
sony
loreal
renault

Сертификация и соответствие требованиям

Для нас безопасность является обязательным условием, а конфиденциальность - правом. Поэтому мы соблюдаем ведущие отраслевые стандарты безопасности и постоянно применяем методы обеспечения конфиденциальности. Вот наши сертификаты и соответствия: Соответствие GDPR, соответствие CCPA, ISO/IEC 27001, ISO/IEC 27701, PCI DSS, OWASP.

Где хранятся данные в forms.app?

forms.app использует облачную платформу Google для всех своих инстансов, и она автоматически масштабируется без простоев, когда это необходимо. Наши серверы расположены в Бельгии, ЕС (europe-west1-b).

Защита от спама

forms.app предлагает видимые и невидимые варианты проверки пользователей с помощью CAPTCHA, а также валидацию полей для предотвращения спам-отправок.

Безопасность учетной записи в forms.app

forms.app предоставляет необходимые инструменты для постоянного обеспечения безопасности вашей учетной записи. Вы можете настроить двухфакторную аутентификацию, управлять правами пользователей, чтобы определить, кто имеет доступ к вашим формам с различными уровнями, и создавать резервные копии данных, когда это необходимо.

Конфиденциальность ваших форм

Вы получаете полный контроль над своими формами. Легко меняйте уровень доступа, делитесь ими только с определенными людьми, планируйте запуск и закрытие форм в течение определенного времени, устанавливайте ограничения по геолокации и отключайте их без потери данных.

Инфраструктура и сетевая безопасность

Наши меры сетевой безопасности защищают вашу сеть и данные от взломов, вторжений и других угроз. Для предотвращения потенциальных DoS-атак мы используем базовую фильтрацию от Cloudflare, обеспечивающую дополнительный уровень защиты. Доступ к серверам строго ограничен: сотрудники могут подключаться только через VPN с 2048-битным шифрованием и использованием личных ключей. В дополнение к сторонним системам безопасности мы непрерывно отслеживаем систему на наличие подозрительной активности, создавая надёжную и безопасную инфраструктуру для всех устройств, пользователей и приложений.

Восстановление после критических сбоев

forms.app создает резервные копии данных в режиме реального времени на нескольких серверах, размещенных у нашего поставщика услуг, Google Cloud. В случае любой чрезвычайной ситуации данные всегда будут в безопасности и смогут быть восстановлены.

Безопасность сотрудников

Компания forms.app подписывает соглашения о конфиденциальности с сотрудниками и подрядчиками. Кроме того, у всех сотрудников и подрядчиков есть общий способ сообщать об инцидентах, и они проходят как минимум один ежегодный тренинг по осведомленности о безопасности.

Программа вознаграждения за ошибки

Команда forms.app серьезно относится к безопасности и постоянно тестирует безопасность всех сервисов. forms.app также имеет программу bug bounty для экспертов по безопасности. Свяжитесь с нами, заполнив форму, чтобы сообщить об уязвимостях.

Сообщить об ошибке

Дополнительные ресурсы

Если вы хотите узнать больше о наших мерах безопасности, ознакомиться с политикой конфиденциальности или подписать соглашение о обработке данных (DPA), посетите наш раздел юридической информации.

Юридическая информация

Юридическая информация

Меры по обеспечению конфиденциальности включают;

1.1. Физический контроль доступа;

Меры, подходящие для предотвращения несанкционированного доступа к системам обработки данных, с помощью которых обрабатываются или используются персональные данные.

а. Технические меры
  • Автоматическая система контроля доступа
  • Биометрические барьеры доступа
  • Смарт-карты
  • Ручная система запирания
  • Дверной звонок с камерой
  • Видеонаблюдение за входами
б. Организационные меры
  • Прием / Ресепшн / Швейцар
  • Сотрудничество сотрудников / посетителей
  • Посетители сопровождаются сотрудниками
  • Забота при выборе уборочных услуг
  • Политика безопасности информации
  • Рабочие инструкции по оперативной безопасности
  • Рабочая инструкция по контролю доступа

1.2. Логический контроль доступа;

Меры, подходящие для предотвращения использования систем обработки данных несанкционированными лицами.

а. Технические меры
  • Вход с именем пользователя+сильным паролем
  • Брандмауэр
  • Системы обнаружения вторжений
  • Использование VPN для удаленного доступа
  • Автоматическая блокировка рабочего стола
  • Шифрование ноутбуков / планшетов
  • Двухфакторная аутентификация в работе дата-центра и для критических систем
Организационные меры
  • Управление разрешениями пользователей
  • Создание профилей пользователей
  • Назначение центрального пароля
  • Политика информационной безопасности
  • Рабочая инструкция по правилам использования ИТ-пользователей
  • Рабочая инструкция по оперативной безопасности
  • Рабочая инструкция по контролю доступа
  • Политика мобильных устройств

1.3. Контроль авторизации;

Меры, обеспечивающие, что только уполномоченные пользователи системы обработки данных могут получить доступ к данным, подпадающим под их авторизацию, и что персональные данные не могут быть прочитаны, скопированы, изменены или удалены без авторизации во время обработки, использования и после хранения.

a. Технические меры
  • Журналирование доступов к приложениям, в частности при вводе, изменении и удалении данных
  • Шифрованный доступ SSH
  • Сертифицированное SSL-шифрование
b. Организационные меры
  • Использование концепций авторизации
  • Минимальное количество администраторов
  • Управление правами пользователей администраторами
  • Политика информационной безопасности
  • Рабочая инструкция по безопасности связи
  • Рабочая инструкция по обращению с информацией и ценностями

1.4. Контроль разделения;

Меры, обеспечивающие, что данные, собранные для различных целей, могут быть обработаны отдельно. Это может быть обеспечено, например, логическим и физическим разделением данных.

a. Технические меры
  • Разделение рабочей и тестовой среды
  • Физическое разделение (системы / базы данных / носители данных)
  • Многопользовательские приложения
  • Сегментация VLAN
  • Стейджинг разработки, тестирования и производственной среды
б. Организационные меры
  • Контроль через концепцию авторизации
  • Определение прав доступа к базам данных
  • Политика информационной безопасности
  • Политика защиты данных
  • Рабочая инструкция по операционной безопасности
  • Рабочая инструкция по безопасности в разработке программного обеспечения

1.5. Псевдонимизация;

Обработка персональных данных таким образом, что данные больше нельзя присвоить конкретному субъекту данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подвергается соответствующим техническим и организационным мерам.

а. Технические меры
  • журналы регистрации псевдонимизированы по запросу клиента
б. Организационные меры
  • Внутреннее указание по анонимизации / псевдонимизации персональных данных насколько это возможно в случае
  • раскрытия или даже после истечения законного срока удаления
  • Политика информационной безопасности
  • Политика защиты данных
  • Специфические внутренние правила криптографии

Меры по обеспечению целостности включают;

2.1. Передача контроля;

Меры, гарантирующие, что персональные данные не могут быть прочитаны, скопированы, изменены или удалены несанкционированными лицами во время электронной передачи или при транспортировке или хранении на носителях данных, и что возможно проверить и установить, каким организациям предполагается передавать персональные данные с помощью оборудования для передачи данных.

а. Технические меры
  • Использование VPN
  • Журналирование доступов и запросов
  • Предоставление через зашифрованные соединения, такие как sftp, https и безопасные облачные хранилища
  • Использование процедур подписи (в зависимости от случая)
б. Организационные меры
  • Опрос регулярных процессов получения и передачи
  • Передача в анонимизированной или псевдонимизированной форме
  • Тщательный выбор персонала и транспортных средств
  • Личная передача с протоколом
  • Политика информационной безопасности
  • Политика защиты данных

2.2. Контроль ввода;

Меры, которые обеспечивают возможность проверить и установить впоследствии, были ли и кем введены, изменены или удалены персональные данные из систем обработки данных. Контроль ввода достигается путем журналирования, которое может осуществляться на различных уровнях (например, операционная система, сеть, брандмауэр, база данных, приложение).

a. Технические меры
  • Техническое ведение журнала ввода, изменения и удаления данных
  • Ручное или автоматизированное управление журналами (в соответствии с жесткими внутренними спецификациями)
b. Организационные меры
  • Определение программ, которые могут использоваться для ввода, изменения или удаления данных
  • Возможность отслеживания ввода, изменения и удаления данных по отдельным именам пользователей (а не группам пользователей)
  • Назначение прав на ввод, изменение и удаление данных на основе концепции авторизации
  • Сохранение форм, из которых данные были переданы в автоматизированные процессы
  • Четкие ответственности за удаления
  • Политика информационной безопасности
  • Рабочая инструкция по использованию ИТ

Меры по обеспечению доступности и устойчивости включают;

3.1. Управление восстановлением;

Меры, способные быстро восстановить доступность и доступ к персональным данным в случае физического или технического инцидента.

Технические меры
  • Мониторинг и отчетность по резервному копированию
  • Восстановление с помощью средств автоматизации
  • Концепция резервного копирования в соответствии с критичностью и спецификациями клиента
Организационные меры
  • Концепция восстановления
  • Контроль процесса резервного копирования
  • Регулярное тестирование восстановления данных и ведение журнала результатов
  • Хранение резервных носителей в безопасном месте за пределами серверной комнаты
  • Наличие плана чрезвычайных ситуаций
  • Политика информационной безопасности
  • Рабочая инструкция по оперативной безопасности

4.1. Управление защитой данных

a. Технические меры
  • Централизованная документация всех правил защиты данных с доступом для сотрудников
  • Сертификация безопасности согласно ISO 27001
  • Контрольные точки защиты данных последовательно внедрены в инструментально поддерживаемую оценку рисков
b. Организационные меры
  • Обученный персонал и обязанный к конфиденциальности/секретности данных
  • Регулярные обучающие мероприятия, проводимые не реже одного раза в год
  • Внутренний офицер по информационной безопасности назначен:
  • Установлены процессы в отношении информационных обязательств согласно статье 13 и 14 Регламента общего устройства по защите данных
  • Формализованный процесс для запросов на предоставление информации от субъектов данных
  • Аспекты защиты данных установлены как часть корпоративного управления рисками
  • Сертификация ISO 27001 ключевых частей компании, включая операции центра обработки данных и ежегодные мониторинговые аудиты

4.2. Управление реагированием на инциденты

a. Технические меры
  • Использование брандмауэра и регулярное обновление
  • Использование спам-фильтра и регулярное обновление
  • Использование антивирусного сканера и регулярное обновление
  • Система обнаружения вторжений (IDS) для клиентских систем по заказу
  • Система предотвращения вторжений (IPS) для клиентских систем по заказу
b. Организационные меры
  • Документированный процесс обнаружения и сообщения о нарушениях безопасности/сбоях данных (также с учетом обязательства сообщения надзорному органу)
  • Формализованная процедура обработки инцидентов безопасности
  • Участие ISO в инцидентах безопасности и сбоях данных
  • Документация инцидентов безопасности и сбоев данных через систему заявок
  • Формализованный процесс последующего расследования инцидентов безопасности и сбоев данных
  • Политика информационной безопасности
  • Политика защиты данных
  • Рабочая инструкция по оперативной безопасности
  • Рабочая инструкция по правилам использования ИТ

4.3. Защита данных по дизайну и по умолчанию

a. Технические меры
  • Собирается не больше персональных данных, чем необходимо для соответствующей цели
  • Использование дружественных к защите данных настроек по умолчанию в стандартном и индивидуальном программном обеспечении
b. Организационные меры
  • Политика защиты данных (включает принципы "конфиденциальность по дизайну / по умолчанию")
  • Проведение проверок безопасности OWASP Secure Mobile Development
  • Анализ периметра для веб-приложений

4.4. Управление заказами (аутсорсинг, субподрядчики и обработка заказов)

a. Технические меры
  • Мониторинг удаленного доступа внешних сторон, например, в контексте удаленной поддержки
  • Мониторинг субподрядчиков в соответствии с принципами и технологиями, описанными в предыдущих главах 1, 2
b. Организационные меры
  • Рабочая инструкция по управлению поставщиками и оценке поставщиков
  • Предварительный обзор принятых мер безопасности подрядчиком и их документации
  • Выбор подрядчика с точки зрения должной осмотрительности (особенно с учетом защиты данных и информационной безопасности)
  • Заключение необходимого соглашения о обработке данных по заказу или стандартных контрактных условиях ЕС
  • Рамочное соглашение о контрактной обработке данных внутри группы компаний
  • Письменные инструкции подрядчику
  • Обязанность сотрудников подрядчика сохранять конфиденциальность данных
  • Соглашение об эффективных контрольных правах над подрядчиком
  • Регламент использования дополнительных субподрядчиков
  • Обеспечение уничтожения данных после окончания контракта
  • В случае длительного сотрудничества: постоянный контроль за подрядчиком и его уровнем защиты

4.5. Соглашение о обработке данных (DPA)

forms.app имеет стандартное Соглашение о обработке данных (DPA) для своих пользователей в отношении Обработки Персональных данных нами от вашего имени в связи с услугами forms.app в соответствии с Условиями использования между вами и нами.

Наше Соглашение о обработке данных предлагает требования GDPR, Стандартные контрактные условия и наши меры безопасности. Чтобы гарантировать, что на нас не накладываются противоречивые или дополнительные условия, кроме тех, которые отражены в нашем стандартном DPA и модельных условиях, мы не можем согласиться подписать DPA клиентов.

Мы не сможем переработать или добавить какую-либо клозу к DPA и не можем подписывать DPA клиентов. Если вы хотите подписать DPA, заполните эту форму.

После получения вашего ответа DPA будет отправлено вам по электронной почте и будет подписано электронно обеими сторонами.

forms.app подписывает соглашения о конфиденциальности с сотрудниками и подрядчиками. Кроме того, все сотрудники и подрядчики имеют общий способ сообщать о происшествиях, утвержденный организацией, и проходят как минимум ежегодное обучение осведомленности о безопасности.