Юридическое
Меры безопасности
Обновлено: 2026-05-16. Применимо к identigy.ru и проектам группы Identigy в РФ и СНГ.
Управление доступом — то, что мы продаём; компрометация нашей собственной инфраструктуры обесценила бы поставляемые проекты. Этот документ описывает технические и организационные меры, применяемые к публичному сайту, внутренней инфраструктуре и проектам у заказчиков. Если контроль ниже сформулирован как целевой, а не действующий — мы говорим об этом явно.
1. Скоуп
- Marketing-инфраструктура — identigy.ru (статический сайт на Yandex Cloud Object Storage + CDN, форма обратной связи через Yandex Cloud Function, Yandex SmartCaptcha, доставка в Telegram-бот).
- Внутренняя инфраструктура — Identigy Imperium как корпоративный IDM, git, ticketing, внутренние SaaS. Доступ только у инженеров Identigy; для клиентов закрыто.
- Проекты у заказчиков — IDM/IGA-программы в инфраструктуре клиента. Production-периметр регулируется политикой ИБ заказчика; наши инженерные практики ниже описывают, как мы работаем внутри этой политики.
2. Юридические лица и юрисдикционное разделение
Каждое юрлицо группы Identigy работает строго в своей регуляторной среде; персональные данные не пересекают границу юрисдикций в рамках поставки.
- ООО «Айдентиджи» (Российская Федерация) — оператор персональных данных по 152-ФЗ; реестровое уведомление Роскомнадзора подано. Обслуживает российских и СНГ-клиентов на платформах 1IDM, Evolveum midPoint, Oracle Identity Manager.
3. Технические меры
| Слой | Контроль |
|---|---|
| Транспорт | TLS 1.3; HSTS; сертификаты управляются Yandex Cloud CDN с автоматической ротацией. |
| Anti-abuse | Yandex SmartCaptcha на всех публичных формах; honeypot-поле; rate limiting на стороне Cloud Function. |
| Валидация ввода | Строгая server-side схема (Zod) на Cloud Function; type narrowing; ограничения длин полей; клиентский bypass невозможен на этапе записи. |
| HTTP-заголовки | X-Frame-Options · X-Content-Type-Options · Referrer-Policy · Permissions-Policy. |
| Зависимости | Минимальная runtime-поверхность (pnpm workspace); Dependabot и ручной review на каждый major-bump; security-advisories разбираются в течение 1 рабочего дня для high/critical CVE. |
| Аудит и логи | Логи Cloud Function — 30 дней; YC Audit Trail на bucket и CDN с retention 152-ФЗ-совместимым; payload форм не попадает в общие request-логи. |
4. Организационные меры
- Минимум прав — Yandex Cloud IAM, корп. SaaS используют RBAC. MFA обязательно на каждой учётной записи.
- Разделение обязанностей — инженер проекта имеет доступ только к контуру своего клиента; доступ к другому клиенту требует повторного onboarding.
- NDA и проверка — каждый инженер с доступом к среде заказчика подписывает NDA с пунктами по ИБ, соответствующими регуляторному периметру заказчика (банк / ТЭК / госсектор / КИИ).
- SDL — code review на каждый PR; CI прогоняет lint, typecheck, build перед merge; production-деплои идут через staging; прямые коммиты в main запрещены.
- Доступ к среде заказчика — VPN или jumphost в инфраструктуре клиента; никакого standing access из ноутбуков Identigy; весь доступ логируется средствами IAM клиента.
5. Подрядчики (для этого сайта)
| Подрядчик | Роль · регион | Сертификации |
|---|---|---|
| Yandex Cloud | Object Storage · CDN · Cloud Function · РФ | Соответствие 152-ФЗ · Аттестат ФСТЭК на УЗ-1 (по приказу № 21, в части мер ИАФ/УПД) · ISO 27001 · ISO 27017 · ISO 27018 · SOC 2/3 · PCI DSS |
| Yandex SmartCaptcha | Anti-bot · РФ | В составе платформы Yandex Cloud |
| Yandex 360 | Корпоративная почта (info@) · РФ | Соответствие 152-ФЗ · в составе Yandex Cloud-периметра |
| Telegram (BotAPI) | Уведомления о заявках · — | Канал доставки заявок; не является оператором ПДн; не хранит структурированных данных формы дольше доставки. |
Проекты у заказчика подразумевают дополнительных подрядчиков (порталы поддержки вендоров, file-transfer и т.п.). Они перечисляются в DPA на этап проекта.
6. Регуляторный контур и стандарты
- 152-ФЗ «О персональных данных» — ООО «Айдентиджи» зарегистрировано как оператор ПДн в реестре Роскомнадзора; сбор и хранение ПДн граждан РФ — в базах данных на территории РФ, ч. 5 ст. 18 (в редакции ФЗ № 23-ФЗ от 28.02.2025, действующей с 01.07.2025); согласие субъекта оформляется отдельным документом по ст. 9 152-ФЗ в редакции, действующей с 01.09.2025.
- ФСТЭК — применяем требования приказов 117 (с 01.03.2026, заменил приказ № 17 для ГИС), 21 (ИСПДн), 31 (АСУ ТП на критически важных объектах) в отношении средств защиты у заказчика; собственная инфраструктура соответствует уровню защищённости арендованной площадки Yandex Cloud. Приказ № 117 структурирован пунктами 34–63 (вместо классов защищённости и таблицы мер № 17) — это меняет парадигму аудита: компания должна продемонстрировать наличие конкретных групп мер, а не получить «класс». Identigy сопровождает заказчиков при трансляции внутреннего контроля под новую структуру.
- КИИ (187-ФЗ) — работа с объектами критической информационной инфраструктуры ведётся согласно категорированию и плану перехода клиента; учитываем актуальную редакцию приказа ФСТЭК № 239 (последние правки — приказ № 159 от 28.08.2024, добавлены требования по противодействию DDoS); роли подрядчика по ИБ определяются договором.
- ГОСТ Р 71753-2024 — национальный стандарт «Защита информации. Системы автоматизированного управления учётными записями и правами доступа. Общие требования» (в силе с 20.12.2024). Идеологическая база наших IDM/IGA-проектов и собственного контура. Применяем стандарт на стороне заказчика (СУУЗиПД, ролевая модель, управление заявками/согласованиями) и в собственной инфраструктуре через Identigy Imperium.
- ГОСТ Р 70262.1-2022 / 70262.2-2025 — уровни доверия идентификации (УДИ-1…УДИ-4) и уровни доверия аутентификации (УДА), российский эквивалент NIST IAL/AAL. Применяем при проектировании MFA-стека, удалённой идентификации и KYC-flows у заказчиков, в т.ч. в финансовом секторе.
- Реестр отечественного ПО — 1IDM включён в Реестр Минцифры (Identigy — партнёр уровня «Эксперт»). С 03.2026 действует реформа реестра (ФЗ № 325-ФЗ от 31.07.2025, 3 специализированных перечня).
Применимая регуляторика по сегментам наших клиентов
| Сегмент | Обязательная регуляторика |
|---|---|
| Банки | ЦБ РФ № 851-П (с 29.03.2025, заменил 683-П; геолокация identity-сессий с 01.10.2025), № 716-П (операционные риски), № 802-П (защита платёжной системы ЦБ), ГОСТ Р 57580.1 |
| НФО (некредитные финансовые организации) | ЦБ РФ № 757-П (Указание № 7219-У от 28.10.2025 — в силу с 01.01.2027), ГОСТ Р 57580.1 |
| КИИ-объекты | 187-ФЗ, ФСТЭК № 239 (ред. № 159 от 28.08.2024 — DDoS), № 31 (АСУ ТП), № 235 (системы безопасности значимых ОКИИ; модель угроз — Методика ФСТЭК от 05.02.2021), 152-ФЗ (если ПДн) |
| ГИС / госсектор | ФСТЭК № 117 (с 01.03.2026), № 21 (ИСПДн), ПП РФ № 1119 (уровни защищённости), ФЗ-149, ФЗ-63 (ЭП) |
| Госзакупки ПО | Реестр Минцифры (ПП РФ № 1236), реформа реестра по ФЗ № 325-ФЗ от 31.07.2025 (с 03.2026 — специализированные перечни) |
7. Реагирование на инциденты
Предполагаемая утечка ПДн обрабатывается ответственным за ИБ Identigy в течение 24 часов с момента обнаружения. Первичное уведомление Роскомнадзора об инциденте, повлекшем неправомерную или случайную передачу/доступ к ПДн, направляется в течение 24 часов, дополнительная информация по результатам внутреннего расследования — в течение 72 часов с момента обнаружения (ч. 3.1 ст. 21 152-ФЗ + приказ Роскомнадзора № 187 от 14.11.2022; оценка вреда — приказ № 178 от 27.10.2022); субъекты ПДн информируются без неоправданной задержки.
Инциденты в проекте заказчика эскалируются в первую очередь команде ИБ заказчика (она — оператор обрабатываемых ПДн); Identigy поддерживает forensic-анализ и устранение как processor в рамках DPA на этап.
8. Ответственное раскрытие уязвимостей
Если вы нашли уязвимость на identigy.ru или в инфраструктуре Identigy — сообщите. Security-репорты обрабатываем в том же приоритете, что и инциденты у заказчика.
- Email → security@identigy.ru
- Подтверждение получения — в течение 2 рабочих дней.
- Первичная оценка — в течение 5 рабочих дней с указанием сроков fix или mitigation.
- Публичной bug-bounty-программы у нас пока нет. Исследователи, действующие добросовестно в рамках этой политики, не преследуются юридически.
9. Контакты
Общие запросы по защите персональных данных: info@identigy.ru. Security-репорты: security@identigy.ru.
Это «живой» документ. Существенные изменения фиксируются в поле
Обновлено выше. Клиенты с действующим DPA получают письменное
уведомление о любом изменении, затрагивающем их этап проекта.