Автоперевод · ожидает проверки носителем языка Эта страница переведена машинным способом с английского оригинала. Носитель языка проверит её до того, как мы признаем локализацию финальной. Канонической версией является английская.

Безопасность

Безопасность без лишних слов.

Что мы делаем сегодня, к чему стремимся и чего не сделаем никогда. Мы стараемся говорить честно — рестораны и партнёры заслуживают этого, а безопасность через сокрытие информации — не безопасность.

Текущее состояние

Инфраструктура в ЕС

Вся производственная инфраструктура размещена в Европейской экономической зоне. Резервные копии хранятся в ЕЭЗ. Мы не передаём персональные данные в третьи страны, за исключением случаев, когда это осуществляется на основании подписанных Стандартных договорных положений для ограниченных целей работы с поставщиками (например, Anthropic для виджета AI Ask).

Шифрование при передаче и хранении

TLS 1.2+ на каждой публичной конечной точке с HSTS. Данные в базе и резервные копии зашифрованы в состоянии покоя. Межсервисные вызовы осуществляются по аутентифицированным каналам.

Изоляция данных карт

Fooodo никогда не получает доступа к необработанным данным карт. Платежи обрабатываются Mollie в рамках их собственного PCI-периметра. Приложение меню получает URL для оплаты и обратный вызов — карта никогда не касается нашей инфраструктуры.

Аутентификация и управление доступом

Доступ операторов и администраторов защищён индивидуальными учётными записями с проверяемым назначением ролей. Токены сессий, IP-адреса, цифровые отпечатки устройств и временны́е метки входа фиксируются для проверки безопасности.

Изоляция арендаторов

Каждая запись привязана к тенанту компании. Политики ролей обеспечивают соблюдение границ тенантов на уровне доступа к данным; администраторы ресторана могут управлять только своим рестораном.

Соответствие GDPR

Минимизация данных по умолчанию. Каждая рекомендация в Fooodo Insights, затрагивающая сотрудников, требует подтверждения человеком (GDPR Article 22). Субъекты данных могут реализовать свои права, обратившись по адресу dpo@fooodo.com.

Субпроцессоры

Мы работаем с ограниченным числом проверенных субпроцессоров. Актуальный список:

VendorRoleRegion
MollieОбработка платежейEU
VercelХостинг маркетингового сайтаРегионы EU для данного сайта
AnthropicМодели, обеспечивающие работу виджета AskМеждународный (действуют SCC)

Полный список субпроцессоров, включая провайдеров инфраструктуры платформы Fooodo, предоставляется по запросу операторам в рамках Соглашения об обработке данных.

Планы по безопасности

Формальный SOC 2 Type II

Запланировано

В настоящее время сертификация SOC 2 отсутствует. Аудит включён в дорожную карту; сроки зависят от спроса со стороны клиентов. По запросу мы готовы предоставить внутреннюю систему контроля.

ISO/IEC 27001

Рассматривается

Ведётся внутренняя работа по соответствию стандарту; процесс сертификации занимает более 12 месяцев и инициируется исходя из спроса со стороны клиентов.

Тестирование на проникновение

Annual

Мы привлекаем внешних специалистов по тестированию на проникновение ежегодно, а также после существенных архитектурных изменений. По запросу службам безопасности клиентов предоставляются сводные отчёты.

Раскрытие уязвимостей

Live

Сообщения направляются на security@fooodo.com (PGP доступен по запросу). Мы подтверждаем получение в течение двух рабочих дней. Платная программа вознаграждений за обнаружение уязвимостей в настоящее время не действует.

Реагирование на инциденты

В случае инцидента безопасности, затрагивающего клиента, мы уведомляем назначенный контакт клиента в течение 72 часов с момента обнаружения (срок уведомления о нарушениях по GDPR) и направляем письменный отчёт в течение 30 дней. При любом инциденте, связанном с платёжными данными, мы взаимодействуем с каналами реагирования платёжных провайдеров.

Чего мы не сделаем

  • Мы никогда и никому не продадим ваши данные, данные ваших гостей или ваших сотрудников.
  • Мы не будем использовать ваши операционные данные для обучения AI-моделей без вашего явного согласия в формате opt-in.
  • Мы не будем удерживать ваши данные в заложниках — экспорт доступен в стандартных форматах как в период действия договора, так и по его окончании.
  • Мы не будем автоматически внедрять рекомендации AI, затрагивающие сотрудников. Article 22 — это абсолютный минимум, который мы не нарушаем.

Связь со службой безопасности

Сообщения об уязвимостях, проверка поставщиков, анкеты безопасности клиентов — пишите на security@fooodo.com. Запросы субъектов данных направляйте на dpo@fooodo.com. Мы отвечаем на оба адреса в течение двух рабочих дней.

security@fooodo.com · dpo@fooodo.com

Связанные страницы: Политика конфиденциальности · Условия использования · Соглашение об обработке данных · Контакты