Политика безопасности и экологии платформы «ПокерОК» устанавливает единые корпоративные требования к защите данных, управлению киберрисками и устойчивому развитию. Документ обязателен для сотрудников, подрядчиков и поставщиков, распространяется на все информационные системы, сайты и мобильные приложения и исполняется с учетом Регламента (ЕС) 2016/679 (GDPR), Директивы о конфиденциальности в электронных коммуникациях, платежных норм PSD2, рекомендаций FATF и применимого местного законодательства.
Обязательства по защите данных
«ПокерОК» поддерживает систему управления информационной безопасностью в соответствии с ISO/IEC 27001:2022 с опорой на практики ISO/IEC 27002 и расширением ISO/IEC 27701 для управления персональными данными. Принципы GDPR о законности, минимизации, ограничении целей и сроков, целостности и конфиденциальности реализуются через риск-ориентированный подход. Данные в транзите передаются по TLS 1.3, в состоянии покоя шифруются с применением устойчивых алгоритмов и аппаратных модулей управления ключами. Доступ предоставляется по принципу наименьших привилегий с многофакторной аутентификацией, сегрегацией ролей и журналированием. Проводятся оценки воздействия на защиту данных, устанавливаются сроки хранения и процедуры анонимизации, заключаются договоры обработки с провайдерами и внедряется контроль поставщиков.
Предотвращение киберугроз и мошенничества
Оборона строится по принципу многослойной защиты, включающему сегментацию, межсетевые экраны уровня приложений, WAF, защиту от DDoS, средства предотвращения вторжений и обнаружения аномалий. Инциденты и телеметрия стекаются в SIEM с поведенческой аналитикой, что позволяет выявлять попытки компрометации, коллюзии и автоматизации ставок. Жизненный цикл разработки сопровождается безопасными практиками, включая контроль зависимостей, статический и динамический анализ, тесты на проникновение и управление уязвимостями с регламентом исправлений. Меры предотвращения мошенничества охватывают оценку рисков транзакций, верификацию плательщика, анализ устройств и геоповеденческих сигналов. Процедуры ПОД/ФТ реализуются в соответствии с рекомендациями FATF и локальными актами, включая санкционные проверки и документирование источника средств.
Политика паролей и двухфакторной аутентификации
Пароли пользователей формируются с высокой энтропией и не допускают повторного использования уязвимых комбинаций; реализуется проверка на скомпрометированные секреты. Хранение осуществляется в виде стойких хэш-значений с солью и параметрами, затрудняющими перебор. Для доступа к аккаунту и совершения операций повышенного риска применяется двухфакторная аутентификация с поддержкой TOTP и аппаратных ключей на базе FIDO2 и WebAuthn. Сессии ограничиваются по времени и контексту, критические операции подтверждаются повторной аутентификацией, а восстановление доступа проводится по защищенным каналам с дополнительными проверками личности.
Реагирование на инциденты безопасности
Действует формализованный план реагирования, включающий классификацию, локализацию, устранение и восстановление, а также постинцидентный разбор с корректировкой средств контроля. Ведется защищенное и неизменяемое журналирование, предусмотрены процессы сохранения доказательств и взаимодействия с внешними экспертами. Сообщения о нарушениях безопасности персональных данных направляются компетентным органам и затронутым пользователям в сроки, установленные приложимым правом, включая требования GDPR к уведомлению о нарушениях. Резервные копии шифруются и регулярно тестируются на восстановление, планы непрерывности и восстановления после катастроф согласуются с целями по доступности и операционной устойчивости.
Экологические принципы и ресурсоэффективность
Система экологического менеджмента ориентируется на ISO 14001 и принципы GHG Protocol. Инфраструктура разворачивается в энергоэффективных средах с низким коэффициентом эффективности использования энергии, применяются виртуализация и автоматическое масштабирование для оптимизации загрузки. «ПокерОК» ставит цели по сокращению углеродного следа, учитывает косвенные выбросы по цепочке поставок, повышает долю электроэнергии из возобновляемых источников, заключая соответствующие контракты и используя подтвержденные сертификаты. Офисные практики включают управление потреблением, минимизацию печати, ответственную логистику и гибридные форматы работы для снижения транспортных выбросов.
Утилизация, переработка и устойчивые закупки
Перед списанием оборудования применяется криптографическое стирание данных в соответствии с признанными методиками, после чего устройства направляются на восстановление, повторное использование или переработку у сертифицированных подрядчиков. В закупках приоритет отдается поставщикам, соблюдающим стандарты энергоэффективности и экологической ответственности, а также принципам ответственной цепочки поставок. Контракты содержат требования к защите данных, экодекларациям, этике труда и праву «ПокерОК» проводить аудит.
Социальная ответственность и соответствие стандартам
Компания поддерживает программы обучения сотрудников кибергигиене, защите данных и устойчивому развитию, развивает культуру ответственной игры и доступности сервисов. «ПокерОК» обеспечивает соответствие ISO/IEC 27001, ISO/IEC 27701, PCI DSS для платежной среды, применимым нормам защиты данных, требованиям по обращению с отходами и энергоэффективности, а также задействует рамки NIST CSF для оценки зрелости. Ведутся регулярные внутренние и внешние аудиты, результаты докладываются руководству, а меры по улучшению фиксируются в дорожных картах.
Контакты для сообщений о проблемах безопасности
Сообщить об уязвимости, инциденте или подозрительной активности можно через форму в личном кабинете, сервис поддержки или специальный канал, указанный в разделе «Контакты». При обращении рекомендуется указать описание проблемы, шаги воспроизведения, ожидаемое и фактическое поведение, идентификаторы затронутых систем и контакт для обратной связи. Сообщения обрабатываются приоритетно и подлежат подтверждению получения; при необходимости «ПокерОК» инициирует координацию с внешними провайдерами и информирует заинтересованные стороны в пределах закона и договорных обязательств.
Настоящая Политика вступает в силу с момента публикации, пересматривается не реже одного раза в год или при существенных изменениях технологической архитектуры, нормативных требований и экологических показателей, и действует совместно с Пользовательским соглашением, Политикой конфиденциальности и Политикой использования файлов cookie.