ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Дата редакции: 25 мая 2026 г.
Оператор: Индивидуальный предприниматель Бурылов Ефим Игоревич (ИНН 111100843541, ОГРНИП 326110000016787)
Контакт: partnership@crazypub.gg

1. Общие положения

1.1. Настоящая Политика информационной безопасности (далее - «Политика») определяет цели, задачи, принципы и меры по обеспечению информационной безопасности при эксплуатации сайта crazypub.gg(далее - «Сайт») и обработке информации, в том числе персональных данных Пользователей.
1.2. Политика разработана с учётом требований Федерального закона № 152-ФЗ «О персональных данных», Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также рекомендаций по защите информации, изложенных в нормативных актах ФСТЭК России и Банка России.
1.3. Действие Политики распространяется на все информационные активы Сайта: программный код, базы данных, серверную инфраструктуру, рабочие места сотрудников, каналы связи и носители информации.

2. Цели и принципы

2.1. Целями обеспечения информационной безопасности являются:
- защита конфиденциальности, целостности и доступности информации;
- предотвращение несанкционированного доступа к данным Пользователей;
- своевременное обнаружение и реагирование на инциденты безопасности;
- минимизация рисков утечки, потери и искажения данных;
- соответствие требованиям законодательства Российской Федерации.
2.2. Обеспечение информационной безопасности основано на принципах законности, комплексности, непрерывности, своевременности, разумной достаточности и персональной ответственности.

3. Технические меры защиты

3.1. Передача данных между Пользователем и Сайтом осуществляется исключительно по защищённому протоколу HTTPS с использованием криптографических протоколов TLS версии не ниже 1.2.
3.2. Пароли Пользователей не хранятся в открытом виде; для аутентификации используются современные алгоритмы хеширования с применением «соли».
3.3. Сессии Пользователей защищены подписанными токенами (JWT) с ограниченным сроком действия и привязкой к серверной валидации.
3.4. Доступ к серверной инфраструктуре ограничен фаерволом и осуществляется только по защищённым каналам (SSH с ключевой аутентификацией) с фиксированного перечня IP-адресов.
3.5. Программные компоненты Сайта регулярно обновляются для устранения известных уязвимостей. Используются автоматизированные средства проверки зависимостей на наличие уязвимостей.
3.6. Резервное копирование баз данных выполняется не реже одного раза в сутки; копии хранятся в зашифрованном виде на отдельном защищённом ресурсе.
3.7. Реализована защита от типовых атак: SQL-инъекций (параметризованные запросы), межсайтового скриптинга (XSS), подделки межсайтовых запросов (CSRF), брутфорса (rate-limiting на чувствительные эндпоинты).
3.8. Платёжные данные (номера карт, CVV/CVC, PIN-коды) на стороне Сайта не принимаются, не обрабатываются и не хранятся. Все операции по приёму оплаты выполняются на платёжных страницах сертифицированных по PCI DSS платёжных систем.

4. Безопасность платёжных операций

4.1. Оплата на Сайте производится через сертифицированные платёжные системы, обладающие подтверждённым сертификатом соответствия требованиям стандарта PCI DSS в части хранения, обработки и передачи данных держателей карт. Стандарт безопасности банковских карт PCI DSS поддерживается международными платёжными системами.
4.2. Конфиденциальные данные Пользователя, необходимые для оплаты (реквизиты карты, регистрационные данные и др.), не поступают в интернет-магазин (на серверы Сайта) - их обработка производится на стороне процессингового центра платёжной системы и полностью защищена.
4.3. Передача платёжных данных между Пользователем и платёжной системой осуществляется по защищённому соединению с использованием криптографических протоколов TLS. Если банковская карта Пользователя подключена к технологии 3D-Secure, Пользователь автоматически переадресуется на страницу банка-эмитента для прохождения процедуры аутентификации.
4.4. Администрация принимает все разумные меры для защиты целостности и доступности платёжной информации, в том числе ведение журналов операций, мониторинг и своевременное выявление подозрительной активности.

5. Организационные меры

5.1. Доступ к информационным системам Сайта предоставляется по принципу минимальных привилегий: каждый сотрудник получает только те права, которые необходимы для выполнения его задач.
5.2. Все привилегированные действия (изменение данных Пользователей, доступ к финансовой информации, изменение прав доступа) фиксируются в журнале аудита.
5.3. Учётные записи сотрудников, прекративших взаимодействие с Администрацией, блокируются в течение 24 часов.
5.4. Передача служебной информации между сотрудниками осуществляется по защищённым каналам связи. Запрещена передача конфиденциальной информации по незащищённым каналам и публичным мессенджерам.
5.5. Сотрудники, имеющие доступ к персональным данным Пользователей, ознакомлены с требованиями законодательства о персональных данных и несут персональную ответственность за их соблюдение.

6. Защита персональных данных

6.1. Обработка персональных данных Пользователей осуществляется в порядке, установленном Политикой конфиденциальности и обработки персональных данных.
6.2. Персональные данные хранятся в базах данных, размещённых на территории Российской Федерации, в соответствии с требованиями ч.5 ст.18 Федерального закона № 152-ФЗ.
6.3. Доступ к персональным данным Пользователей предоставляется ограниченному кругу лиц, действия которых протоколируются.
6.4. Срок хранения персональных данных определяется целями их обработки и не превышает срок, предусмотренный применимым законодательством.

7. Реагирование на инциденты

7.1. Под инцидентом информационной безопасности понимается любое событие, которое привело или может привести к нарушению конфиденциальности, целостности или доступности информации.
7.2. Сообщения об обнаруженных уязвимостях и инцидентах Пользователи направляют на адрес электронной почты: partnership@crazypub.gg с темой письма «Security Incident».
7.3. Администрация рассматривает поступившие сообщения в срок не более 3 (трёх) рабочих дней с момента получения и предпринимает меры по устранению инцидента.
7.4. В случае подтверждённого инцидента, повлёкшего неправомерный доступ к персональным данным, Администрация уведомляет Пользователей и уполномоченный орган по защите прав субъектов персональных данных в порядке и сроки, установленные законодательством Российской Федерации.

8. Ответственное раскрытие уязвимостей

8.1. Администрация приветствует ответственное раскрытие уязвимостей исследователями в области информационной безопасности.
8.2. При обнаружении уязвимости исследователю надлежит:
- незамедлительно сообщить о ней на адрес partnership@crazypub.gg;
- не использовать обнаруженную уязвимость для получения доступа к данным, не принадлежащим исследователю;
- не публиковать сведения об уязвимости до её устранения и согласования с Администрацией.
8.3. Действия исследователя, выполненные в соответствии с настоящим разделом и не повлёкшие ущерба, не считаются нарушением условий использования Сайта.

9. Заключительные положения

9.1. Настоящая Политика подлежит периодическому пересмотру с учётом изменений в законодательстве, развития технологий и появления новых угроз безопасности.
9.2. Актуальная редакция Политики размещена на Сайте по адресу https://crazypub.gg/security и вступает в силу с момента её публикации.
9.3. По всем вопросам, связанным с информационной безопасностью, Пользователь может обратиться по адресу: partnership@crazypub.gg.