Безопасность

Безопасность без лишних слов.

Что мы делаем сегодня, к чему стремимся и чего не будем делать никогда. Мы стараемся говорить честно — рестораны и партнёры заслуживают этого, а безопасность через сокрытие информации — это не безопасность.

Текущее состояние защиты

Инфраструктура в ЕС

Вся производственная инфраструктура размещена в Европейской экономической зоне. Резервные копии хранятся в ЕЭЗ. Мы не передаём персональные данные в третьи страны, за исключением случаев, когда это предусмотрено подписанными Стандартными договорными положениями для ограниченных целей работы с поставщиками (например, Anthropic для виджета AI Ask).

Шифрование при передаче и хранении

TLS 1.2+ на каждой публичной конечной точке с HSTS. Данные в базе и резервные копии зашифрованы в состоянии покоя. Межсервисные вызовы осуществляются по аутентифицированным каналам.

Изоляция данных карт

Fooodo никогда не получает доступа к необработанным данным карт. Платежи обрабатываются Mollie в рамках их собственной области ответственности PCI. Приложение меню получает URL оформления заказа и обратный вызов — данные карты никогда не касаются нашей инфраструктуры.

Аутентификация и доступ

Доступ операторов и администраторов защищён индивидуальными учётными записями с проверяемым назначением ролей. Токены сессий, IP-адреса, цифровые отпечатки устройств и временны́е метки входа фиксируются для проверки безопасности.

Изоляция арендаторов

Каждая запись привязана к тенанту компании. Политики ролей обеспечивают соблюдение границ тенантов на уровне доступа к данным; администраторы ресторана могут управлять только своим рестораном.

Соответствие GDPR

Минимизация данных по умолчанию. Каждая рекомендация в Fooodo Insights, затрагивающая сотрудников, требует подтверждения человеком (GDPR Article 22). Субъекты данных могут реализовать свои права через dpo@fooodo.com.

Субпроцессоры

Мы работаем с ограниченным числом проверенных субпроцессоров. Актуальный список:

VendorRoleRegion
MollieОбработка платежейEU
VercelХостинг маркетингового сайтаРегионы EU для данного сайта
AnthropicМодели, обеспечивающие работу виджета AskМеждународный (действуют SCC)

Полный список субпроцессоров, включая провайдеров инфраструктуры платформы Fooodo, предоставляется по запросу операторам в рамках Соглашения об обработке данных.

Планы по развитию безопасности

Формальный SOC 2 Type II

Запланировано

В настоящее время сертификация SOC 2 отсутствует. Аудит включён в дорожную карту; сроки зависят от спроса со стороны клиентов. По запросу мы готовы предоставить нашу внутреннюю систему контроля.

ISO/IEC 27001

Рассматривается

Ведётся внутренний мониторинг соответствия стандарту; процесс сертификации занимает более 12 месяцев и инициируется исходя из спроса со стороны клиентов.

Тестирование на проникновение

Annual

Мы привлекаем внешних специалистов по тестированию на проникновение на ежегодной основе, а также после существенных архитектурных изменений. По запросу службам безопасности клиентов предоставляются сводные отчёты.

Раскрытие уязвимостей

Live

Сообщения направляются на security@fooodo.com (PGP доступен по запросу). Мы подтверждаем получение в течение двух рабочих дней. Платная программа вознаграждений за обнаружение уязвимостей в настоящее время не действует.

Реагирование на инциденты

В случае инцидента безопасности, затрагивающего клиента, мы уведомляем назначенный контакт клиента в течение 72 часов с момента обнаружения (в соответствии со сроком уведомления о нарушениях по GDPR) и направляем письменный отчёт в течение 30 дней. При любом инциденте, связанном с платежами, мы взаимодействуем с каналами реагирования платёжных провайдеров.

Чего мы не будем делать

  • Мы никогда и никому не продадим ваши данные, данные ваших гостей или ваших сотрудников.
  • Мы не будем использовать ваши операционные данные для обучения AI-моделей без вашего явного согласия в формате opt-in.
  • Мы не будем удерживать ваши данные в заложниках — экспорт доступен в стандартных форматах как в период действия договора, так и по его окончании.
  • Мы не будем автоматически внедрять рекомендации AI, затрагивающие сотрудников. Article 22 — это абсолютный минимум, от которого мы не отступаем.

Связаться со службой безопасности

Сообщения об уязвимостях, проверка поставщиков, анкеты по безопасности от клиентов — пишите на security@fooodo.com. Запросы субъектов данных направляйте на dpo@fooodo.com. Мы отвечаем на оба адреса в течение двух рабочих дней.

security@fooodo.com · dpo@fooodo.com

Связанные страницы: Политика конфиденциальности · Условия использования · Соглашение об обработке данных · Контакты