Безопасность платформы
Комплексные меры защиты данных, средств и цифровых активов пользователей. Узнайте, как Lootly обеспечивает безопасность на всех уровнях.
Последнее обновление: 28 декабря 2025 года
1. Обзор безопасности платформы
1.1 Наша миссия
Безопасность пользователей - главный приоритет Lootly. Мы инвестируем значительные ресурсы в разработку и поддержание многоуровневой системы защиты, которая обеспечивает безопасность ваших данных, средств и цифровых активов.
Ключевые показатели безопасности:
- 99.99% uptime - высокая доступность платформы
- 0 подтверждённых утечек - за всё время работы
- < 0.01% - уровень мошеннических транзакций
- 24/7/365 - непрерывный мониторинг безопасности
- < 15 минут - среднее время реагирования на инциденты
1.2 Принципы безопасности
| Принцип | Описание | Реализация |
|---|---|---|
| Defense in Depth | Многоуровневая защита | 7+ слоёв безопасности |
| Zero Trust | Проверка каждого запроса | Постоянная аутентификация |
| Least Privilege | Минимальные привилегии | Гранулярное управление доступом |
| Security by Design | Безопасность с основания | Код-ревью, SAST/DAST |
| Fail Secure | Безопасный отказ | Блокировка при сбоях |
1.3 Сертификации и соответствие
Lootly соответствует ведущим международным стандартам безопасности:
| Стандарт | Описание | Статус | Последний аудит |
|---|---|---|---|
| PCI DSS Level 1 | Безопасность платёжных данных | ✅ Сертифицирован | Ноябрь 2025 |
| ISO 27001 | Система управления ИБ | ✅ Сертифицирован | Октябрь 2025 |
| SOC 2 Type II | Контроль безопасности | ✅ Подтверждён | Сентябрь 2025 |
| GDPR | Защита данных ЕС | ✅ Соответствует | Декабрь 2025 |
| 152-ФЗ | Персональные данные РФ | ✅ Соответствует | Декабрь 2025 |
2. Инфраструктурная безопасность
2.1 Дата-центры
Наша инфраструктура размещена в ведущих дата-центрах уровня Tier III+:
Физическая безопасность:
- Контроль доступа с биометрической идентификацией
- Видеонаблюдение 24/7 с хранением записей 90 дней
- Вооружённая охрана и многоуровневые периметры
- Защита от стихийных бедствий и пожаров
- Резервное электропитание (UPS + дизель-генераторы)
Географическое распределение:
- Основной ЦОД: Москва, Россия
- Резервный ЦОД: Санкт-Петербург, Россия
- CDN узлы: 50+ локаций по всему миру
- Автоматическое переключение при сбоях (failover < 30 сек)
2.2 Сетевая безопасность
| Уровень защиты | Технология | Функция |
|---|---|---|
| Edge | Cloudflare Enterprise | DDoS-защита, WAF, Bot Management |
| Периметр | Next-Gen Firewall | Фильтрация трафика, IPS/IDS |
| Приложение | ModSecurity + Custom Rules | Защита от OWASP Top 10 |
| Данные | Шифрование + Токенизация | Защита конфиденциальности |
| Мониторинг | SIEM (Splunk) | Корреляция событий, алерты |
2.3 Защита от DDoS-атак
Многоуровневая защита от DDoS:
- Layer 3/4: Фильтрация на уровне сети (до 15 Tbps)
- Layer 7: Интеллектуальная фильтрация HTTP-запросов
- Rate Limiting: Ограничение запросов по IP и аккаунту
- Challenge Page: CAPTCHA при подозрительной активности
- Geo-blocking: Блокировка по географии при атаках
2.4 Архитектура безопасности
Микросервисная архитектура:
- Изоляция сервисов в отдельных контейнерах
- Шифрование межсервисного трафика (mTLS)
- Секреты хранятся в HashiCorp Vault
- Автоматическая ротация ключей и сертификатов
Kubernetes безопасность:
- Network Policies для изоляции подов
- Pod Security Policies
- RBAC для управления доступом
- Сканирование образов на уязвимости
3. Шифрование данных
3.1 Шифрование в передаче (In-Transit)
| Протокол | Версия | Применение |
|---|---|---|
| TLS | 1.3 (только) | Все HTTPS соединения |
| HSTS | Preload | Принудительный HTTPS |
| Certificate Pinning | SHA-256 | Мобильные приложения |
| Perfect Forward Secrecy | ECDHE | Защита прошлых сессий |
Конфигурация TLS:
- Только современные шифры (ChaCha20, AES-GCM)
- Отключены устаревшие протоколы (SSLv3, TLS 1.0/1.1)
- OCSP Stapling для быстрой проверки сертификатов
- CAA записи для ограничения выпуска сертификатов
3.2 Шифрование в хранении (At-Rest)
| Данные | Алгоритм | Управление ключами |
|---|---|---|
| Персональные данные | AES-256-GCM | AWS KMS / HashiCorp Vault |
| Пароли | Argon2id | Соль + перец |
| Платёжные данные | Токенизация (Stripe) | Не хранятся у нас |
| Резервные копии | AES-256-CBC | Офлайн мастер-ключ |
| Логи | AES-256 | Автоматическая ротация |
3.3 Хеширование паролей
Защита паролей:
- Алгоритм: Argon2id (победитель Password Hashing Competition)
- Параметры: memory=64MB, iterations=3, parallelism=4
- Соль: 16 байт криптографически случайных данных
- Перец: Секретный ключ на стороне сервера
- Проверка утечек: Интеграция с Have I Been Pwned
3.4 Криптографические ключи
Управление ключами:
- Генерация: Аппаратные HSM (FIPS 140-2 Level 3)
- Хранение: HashiCorp Vault с Shamir's Secret Sharing
- Ротация: Автоматическая каждые 90 дней
- Резервирование: Географически распределённые копии
- Аудит: Логирование всех операций с ключами
4. Аутентификация и авторизация
4.1 Многофакторная аутентификация (MFA)
| Метод | Уровень безопасности | Рекомендация |
|---|---|---|
| Passkey / WebAuthn | Максимальный | ⭐ Рекомендуется |
| Аппаратный ключ (YubiKey) | Максимальный | ⭐ Рекомендуется |
| TOTP приложения | Высокий | ✅ Рекомендуется |
| Push-уведомления | Высокий | ✅ Подходит |
| SMS-коды | Средний | ⚠️ Только как резерв |
| Email-коды | Базовый | ⚠️ Только для восстановления |
4.2 Passkey и биометрия
Преимущества Passkey:
- Фишинг-устойчивость - ключи привязаны к домену
- Удобство - вход по отпечатку или Face ID
- Синхронизация - через iCloud Keychain, Google Password Manager
- Нет паролей - исключает их утечку и перебор
Поддерживаемые платформы:
- iOS 16+ (Face ID, Touch ID)
- Android 14+ (отпечаток, распознавание лица)
- macOS Ventura+ (Touch ID, Apple Watch)
- Windows 11+ (Windows Hello)
- Аппаратные ключи FIDO2
4.3 Политика паролей
Требования к паролям:
- Минимальная длина: 12 символов
- Обязательно: буквы в разном регистре + цифры
- Рекомендуется: специальные символы
- Проверка на распространённые пароли
- Проверка на утечки в базах данных
- Запрет на повторное использование последних 10 паролей
4.4 Управление сессиями
| Параметр | Значение | Обоснование |
|---|---|---|
| Срок жизни access token | 15 минут | Минимизация окна атаки |
| Срок жизни refresh token | 7 дней | Баланс безопасности и UX |
| Макс. активных сессий | 5 | Контроль доступа |
| Таймаут бездействия | 30 минут | Защита оставленных устройств |
| Привязка к устройству | Да | Предотвращение кражи токенов |
4.5 Контроль доступа
Role-Based Access Control (RBAC):
- Пользователь → Покупатель → Продавец → Модератор → Администратор
- Принцип минимальных привилегий
- Регулярный пересмотр прав доступа
- Аудит всех изменений прав
Дополнительные проверки:
- Географическая аномалия - уведомление о входе из новой страны
- Устройство - запрос подтверждения для новых устройств
- Время - усиленная аутентификация для редких часов
- IP репутация - проверка через базы угроз
5. Безопасность приложений
5.1 Безопасная разработка (SDLC)
| Этап | Практики безопасности | Инструменты |
|---|---|---|
| Дизайн | Threat Modeling, Security Requirements | STRIDE, DREAD |
| Разработка | Secure Coding Guidelines, Code Review | ESLint Security, Semgrep |
| Тестирование | SAST, DAST, Pentesting | Snyk, OWASP ZAP, Burp Suite |
| Деплой | Container Scanning, IaC Security | Trivy, Checkov |
| Мониторинг | RASP, WAF, Logging | Datadog, Cloudflare |
5.2 Защита от OWASP Top 10
| Уязвимость | Меры защиты |
|---|---|
| Injection | Параметризованные запросы, ORM, валидация ввода |
| Broken Authentication | MFA, защита от брутфорса, безопасные сессии |
| Sensitive Data Exposure | Шифрование, HTTPS, минимизация данных |
| XXE | Отключение внешних сущностей, JSON вместо XML |
| Broken Access Control | RBAC, проверка авторизации на каждый запрос |
| Security Misconfiguration | Hardening, автоматизация конфигурации |
| XSS | CSP, экранирование вывода, HttpOnly cookies |
| Insecure Deserialization | Подписанные сериализованные данные, whitelist |
| Vulnerable Components | Dependabot, регулярные обновления |
| Insufficient Logging | Централизованные логи, алерты, SIEM |
5.3 Content Security Policy (CSP)
Строгая политика безопасности контента:
default-src 'self'- только собственные ресурсы по умолчаниюscript-src- разрешены только подписанные скриптыstyle-src- инлайн-стили с nonceimg-src- только доверенные источникиframe-ancestors 'none'- защита от clickjackingupgrade-insecure-requests- автообновление до HTTPS
5.4 API безопасность
Защита API:
- Rate Limiting: 100 запросов/минуту (стандарт), 1000/минуту (премиум)
- API ключи с ограничением по IP и scope
- Версионирование API с graceful deprecation
- Валидация входных данных по JSON Schema
- Throttling при аномальной активности
6. Система эскроу и финансовая безопасность
6.1 Принцип работы эскроу
Гарантии безопасности сделок:
- Средства покупателя блокируются до подтверждения получения товара
- Продавец получает средства только после успешного завершения сделки
- При спорах средства удерживаются до решения модерации
- Автоматический возврат при технических сбоях
6.2 Финансовые гарантии
| Гарантия | Сумма покрытия | Условия |
|---|---|---|
| Страхование сделок | До ₽1,000,000 | Мошенничество, технические сбои |
| Резервный фонд | ₽100,000,000 | Компенсация убытков пользователей |
| Отдельные счета | 100% средств | Средства клиентов отделены от операционных |
| Ежедневная сверка | Автоматически | Выверка баланса и транзакций |
6.3 Защита платежей
Обработка платежей:
- Интеграция с PCI DSS Level 1 провайдерами
- Токенизация карточных данных
- 3D Secure 2.0 для подтверждения платежей
- Мониторинг мошенничества в реальном времени
- Автоматическая проверка по санкционным спискам
Вывод средств:
- Подтверждение через 2FA
- Cooldown период для новых реквизитов (24 часа)
- Лимиты на вывод в зависимости от верификации
- Мониторинг аномальных паттернов
6.4 AML/KYC процедуры
| Уровень верификации | Требования | Лимиты |
|---|---|---|
| Базовый | Email + телефон | ₽50,000/мес |
| Стандартный | + документ | ₽500,000/мес |
| Расширенный | + селфи + проверка | ₽5,000,000/мес |
| Корпоративный | + учредительные документы | Индивидуально |
7. Антифрод система
7.1 Машинное обучение
ML-модели для обнаружения мошенничества:
- Анализ поведенческих паттернов
- Выявление аномалий в транзакциях
- Оценка риска в реальном времени
- Кластеризация связанных аккаунтов
- Предсказание мошеннических действий
7.2 Сигналы риска
| Сигнал | Описание | Действие |
|---|---|---|
| Velocity | Слишком много операций за короткое время | Временная блокировка |
| Geo-mismatch | IP не соответствует профилю | Дополнительная верификация |
| Device change | Новое устройство | Подтверждение через email/SMS |
| Pattern anomaly | Нетипичное поведение | Повышенный мониторинг |
| Linked accounts | Связь с мошенническими аккаунтами | Проверка модератором |
7.3 Device Fingerprinting
Идентификация устройств:
- Canvas fingerprint - уникальный рендеринг графики
- WebGL данные - характеристики GPU
- Audio fingerprint - особенности аудиосистемы
- Timezone и язык - системные настройки
- Установленные шрифты и плагины
7.4 Проактивные меры
Блокировка подозрительной активности:
- Новые аккаунты с дорогими товарами - ручная модерация
- Массовая регистрация с одного IP - CAPTCHA + блокировка
- Попытки обхода системы - автоматический бан
- Связи с известными мошенниками - немедленная блокировка
8. Безопасность пользовательского аккаунта
8.1 Защита аккаунта
Рекомендуемые меры:
- ✅ Включите Passkey или аппаратный ключ
- ✅ Настройте TOTP-аутентификатор
- ✅ Используйте уникальный сложный пароль
- ✅ Проверяйте активные сессии
- ✅ Включите уведомления о входе
Дополнительная защита:
- Привязка аккаунта к Telegram
- Секретный вопрос для восстановления
- Backup-коды в надёжном месте
- Регулярная смена пароля (раз в 6 месяцев)
8.2 Признаки компрометации
⚠️ Когда нужно действовать немедленно:
- Уведомление о входе, который вы не совершали
- Изменение email или пароля без вашего ведома
- Транзакции, которые вы не проводили
- Новые устройства в списке активных сессий
- Сообщения в чате от вашего имени
8.3 Действия при взломе
| Шаг | Действие | Срок |
|---|---|---|
| 1 | Завершите все активные сессии | Немедленно |
| 2 | Смените пароль на уникальный | Немедленно |
| 3 | Проверьте и обновите 2FA | В течение 5 минут |
| 4 | Проверьте историю транзакций | В течение 10 минут |
| 5 | Свяжитесь с поддержкой | В течение 1 часа |
| 6 | Проверьте привязанный email | В течение 1 часа |
8.4 Восстановление доступа
Способы восстановления:
- Через привязанный email
- Через привязанный телефон
- Через Telegram
- Через backup-коды
- Через службу поддержки (верификация личности)
9. Мониторинг и реагирование
9.1 Security Operations Center (SOC)
Режим работы: 24/7/365
| Функция | Описание | SLA |
|---|---|---|
| Мониторинг | Отслеживание событий безопасности | Реальное время |
| Анализ | Исследование подозрительной активности | < 15 минут |
| Реагирование | Блокировка угроз | < 30 минут |
| Восстановление | Устранение последствий | < 4 часов |
| Отчётность | Уведомление заинтересованных сторон | < 2 часов |
9.2 SIEM и корреляция событий
Источники данных:
- Логи приложений и серверов
- Сетевой трафик и firewall
- Логи аутентификации
- API запросы
- Действия пользователей
Корреляция:
- 500+ правил обнаружения угроз
- Machine Learning для аномалий
- Threat Intelligence feeds
- Поведенческая аналитика (UEBA)
9.3 Incident Response
Протокол реагирования на инциденты:
| Этап | Действия | Ответственный |
|---|---|---|
| Обнаружение | Алерт SIEM, жалоба пользователя, мониторинг | SOC L1 |
| Триаж | Классификация, приоритизация | SOC L2 |
| Сдерживание | Изоляция, блокировка | SOC L2/L3 |
| Устранение | Удаление угрозы, патчинг | DevSecOps |
| Восстановление | Возврат к нормальной работе | DevOps |
| Анализ | Post-mortem, lessons learned | Security Team |
9.4 Уровни критичности
| Уровень | Описание | Время реагирования | Эскалация |
|---|---|---|---|
| P1 - Критический | Активная атака, утечка данных | 15 минут | CISO, CEO |
| P2 - Высокий | Потенциальная угроза безопасности | 1 час | Security Lead |
| P3 - Средний | Подозрительная активность | 4 часа | SOC Lead |
| P4 - Низкий | Информационный алерт | 24 часа | SOC Analyst |
10. Тестирование безопасности
10.1 Регулярное тестирование
| Тип теста | Частота | Исполнитель |
|---|---|---|
| Автоматическое сканирование | Ежедневно | CI/CD pipeline |
| Сканирование зависимостей | При каждом деплое | Dependabot, Snyk |
| DAST тестирование | Еженедельно | OWASP ZAP |
| Penetration testing | Ежемесячно | Внешние эксперты |
| Red Team exercises | Ежеквартально | Специализированная компания |
| Аудит безопасности | Ежегодно | Big 4 / специализированный аудитор |
10.2 Bug Bounty программа
Программа вознаграждения за уязвимости:
- Критические уязвимости: $5,000 - $25,000
- Высокие уязвимости: $1,000 - $5,000
- Средние уязвимости: $250 - $1,000
- Низкие уязвимости: $50 - $250
Правила программы:
- Ответственное раскрытие (не публиковать до исправления)
- Не атаковать других пользователей
- Не нарушать работу сервиса
- Предоставить детальный отчёт
Контакт: bugbounty@lootly.com
10.3 Области тестирования
В скоупе:
- Веб-приложение (lootly.com)
- Мобильные приложения (iOS, Android)
- API (api.lootly.com)
- Аутентификация и авторизация
- Платёжная система
- Чат и сообщения
Вне скоупа:
- Социальная инженерия сотрудников
- Физические атаки
- DoS/DDoS атаки
- Сторонние сервисы (Stripe, Cloudflare)
11. Рекомендации пользователям
11.1 Безопасная торговля
✅ ВСЕГДА:
- Проводите сделки только через платформу
- Проверяйте рейтинг и отзывы продавца
- Внимательно читайте описание товара
- Используйте безопасное интернет-соединение
- Сохраняйте переписку до завершения сделки
❌ НИКОГДА:
- Не переводите деньги напрямую продавцу
- Не переходите по ссылкам из сообщений
- Не передавайте логин и пароль от Lootly
- Не торопитесь под давлением продавца
- Не игнорируйте предупреждения системы
11.2 Признаки мошенничества
🚨 Красные флаги:
- Цена значительно ниже рыночной
- Продавец просит связаться вне платформы
- Требование предоплаты или частичной оплаты
- Давление на быстрое принятие решения
- Отказ от использования эскроу
- Аккаунт создан недавно без истории сделок
- Противоречивые или неполные описания
11.3 Защита устройств
Рекомендации:
- Установите антивирус и регулярно обновляйте
- Используйте последнюю версию браузера
- Не устанавливайте подозрительные расширения
- Включите автоматические обновления ОС
- Используйте менеджер паролей
- Не сохраняйте пароли в браузере
11.4 Безопасность email
- Используйте отдельный email для Lootly
- Включите 2FA на почтовом аккаунте
- Не переходите по ссылкам из подозрительных писем
- Проверяйте домен отправителя (@lootly.com)
- Сообщайте о фишинговых письмах
12. Конфиденциальность и приватность
12.1 Минимизация данных
Мы собираем только необходимые данные:
- Для регистрации: email, телефон
- Для верификации: документ (временно)
- Для транзакций: платёжные данные (токенизированы)
- Для безопасности: логи активности
12.2 Анонимизация
Техники защиты приватности:
- Хеширование идентификаторов в логах
- Агрегация данных для аналитики
- Удаление PII из резервных копий по истечении срока
- Псевдонимизация в тестовых средах
12.3 Права пользователей
- Доступ к своим данным
- Исправление неточных данных
- Удаление аккаунта и данных
- Экспорт данных в машиночитаемом формате
- Возражение против обработки
13. Резервное копирование и восстановление
13.1 Стратегия резервирования
| Тип данных | Частота backup | Хранение | Retention |
|---|---|---|---|
| База данных | Каждые 15 минут | Географически распределённо | 90 дней |
| Файлы | Ежедневно | Облако + офлайн | 1 год |
| Конфигурации | При изменении | Git + encrypted backup | Бессрочно |
| Логи | Непрерывно | SIEM + архив | 1 год |
13.2 Восстановление после сбоев
RPO и RTO:
- RPO (Recovery Point Objective): < 15 минут - максимальная потеря данных
- RTO (Recovery Time Objective): < 4 часов - время восстановления
Тестирование DR:
- Ежемесячные учения по восстановлению
- Ежеквартальное полное тестирование DR-плана
- Документированные процедуры восстановления
14. Контакты службы безопасности
14.1 Каналы связи
| Тип обращения | Контакт | Время ответа |
|---|---|---|
| Общие вопросы безопасности | security@lootly.com | 24 часа |
| Сообщить об уязвимости | bugbounty@lootly.com | 4 часа |
| Инцидент безопасности | incident@lootly.com | 1 час |
| Подозрительная активность | Кнопка "Пожаловаться" | 2 часа |
| Взлом аккаунта | Поддержка + urgent@lootly.com | 30 минут |
14.2 Экстренная связь
При критических инцидентах:
- Горячая линия: +7 (800) 123-45-00 (круглосуточно)
- Telegram: @LootlySecurityBot (приоритетная обработка)
- PGP ключ: доступен на странице security.lootly.com
14.3 Ответственное раскрытие
Мы просим:
- Не разглашать уязвимость до её исправления
- Предоставить достаточно информации для воспроизведения
- Дать нам разумное время на исправление (обычно 90 дней)
- Не получать доступ к данным других пользователей
Мы обязуемся:
- Не преследовать исследователей за ответственное раскрытие
- Оперативно реагировать на сообщения
- Держать вас в курсе процесса исправления
- Указать вас в Hall of Fame (с вашего согласия)
Последнее обновление: 28 декабря 2025 года
Мы постоянно совершенствуем наши системы безопасности. Если у вас есть вопросы или предложения, свяжитесь с нашей командой безопасности.
Служба безопасности
Сообщайте о проблемах безопасности и уязвимостях. Участвуйте в нашей Bug Bounty программе.
security@lootly.comBug Bounty: bugbounty@lootly.com • Горячая линия: +7 (800) 123-45-00 (24/7)