Политика безопасности и экологии платформы «ПокерОК» устанавливает обязательные корпоративные требования к защите данных, устойчивому развитию и ответственному управлению воздействием на окружающую среду. Документ обязателен для сотрудников, подрядчиков и поставщиков, применяется ко всем сайтам, приложениям и информационным системам «ПокерОК» и исполняется с учетом Регламента (ЕС) 2016/679 (GDPR), принципов ПОД/ФТ, норм о платежных услугах и местного законодательства юрисдикций присутствия.
Обязательства по защите данных
«ПокерОК» поддерживает систему управления информационной безопасностью на базе ISO/IEC 27001 с применением практик ISO/IEC 27002 и расширения ISO/IEC 27701 для управления персональными данными. Персональные данные обрабатываются по принципам законности, минимизации, точности, ограниченного срока хранения и конфиденциальности. Данные в транзите защищаются TLS 1.3, в состоянии покоя — криптографическими алгоритмами стойкого уровня с хранением и ротацией ключей в HSM. Доступ разграничивается по принципу наименьших привилегий, применяются контроль ролей и обязательное журналирование. Регулярно проводятся внутренние и внешние аудиты безопасности, оценки воздействия на защиту данных и проверки поставщиков на предмет достаточности мер защиты.
Предотвращение киберугроз и мошенничества
Архитектура строится по принципу многослойной защиты с сегментацией сетей, межсетевыми экранами уровня приложений, системами WAF/IDS/IPS, защитой от DDoS и проверкой целостности окружений. Централизованная платформа мониторинга и корреляции событий (SIEM) использует поведенческую аналитику для выявления компрометаций, коллюзии и автоматизации ставок. Безопасная разработка включает анализ зависимостей, SAST/DAST, тесты на проникновение, управление уязвимостями и сроки исправлений по критичности. Для предупреждения мошенничества действует риск-скоринг транзакций, верификация владельца платежного инструмента, определение устройств и геоповеденческие сигналы. Требования AML/CTF соблюдаются в соответствии с рекомендациями FATF и местным правом, включая проверку санкций и документирование источника средств.
Пароли, аутентификация и управление доступом
Пароли формируются с высокой энтропией, проверяются на известные компрометации и хранятся в виде стойких хэш-значений с солью и параметрами, замедляющими перебор. Для входа и операций повышенного риска применяется многофакторная аутентификация с поддержкой TOTP и аппаратных ключей на базе FIDO2/WebAuthn. Сессии ограничиваются по времени и контексту, критические действия требуют повторного подтверждения. Восстановление доступа выполняется через проверенные каналы с дополнительной верификацией личности. Привилегированные учетные записи подлежат усиленному контролю, ротации секретов и обязательной сегрегации обязанностей.
Реагирование на инциденты и непрерывность бизнеса
Действует формальный план реагирования на инциденты, включающий классификацию, локализацию, устранение, восстановление и постинцидентный разбор с корректировкой контролей. Журналы аудита защищены от изменения и доступны ограниченному кругу лиц. В случае инцидента, способного повлечь риски для прав и свобод субъектов данных, выполняется оценка последствий и, при необходимости, уведомление надзорных органов и пользователей в сроки, установленные применимым правом и внутренними регламентами. Резервные копии шифруются, регулярно тестируются на восстановление и хранятся в разнесенных доменах доступности. Планы обеспечения непрерывности и восстановления после катастроф согласуются с целевыми уровнями доступности и времени восстановления.
Экологические принципы и энергоэффективность
Система экологического менеджмента ориентируется на стандарты ISO 14001 и методологию GHG Protocol. Инфраструктура развертывается в энергоэффективных дата-центрах с низким PUE, используется виртуализация и автоматическое масштабирование для исключения избыточной мощности. «ПокерОК» ставит измеримые цели по сокращению углеродного следа, учитывая прямые и косвенные выбросы по цепочке поставок, и увеличивает долю потребления энергии из возобновляемых источников посредством договоров поставки и сертификатов происхождения. В офисах внедрены практики энергосбережения, приоритет удаленных и гибридных форматов работы, управление командировками и экологичная логистика.
Утилизация, переработка и ответственная цепочка поставок
Перед выводом оборудования из эксплуатации проводится криптографическое стирание данных с документированной верификацией. Далее оборудование направляется на восстановление, повторное использование либо переработку у подрядчиков, сертифицированных по программам утилизации электронных отходов. В закупках учитываются энергоэффективность, ремонтопригодность, экологические декларации продукции и соблюдение стандартов достойного труда. Договоры с поставщиками закрепляют требования по защите данных, экопрактикам и праву «ПокерОК» на аудит цепочки поставок.
Социальная ответственность и соответствие стандартам
Компания развивает культуру ответственной игры, обучает сотрудников кибергигиене, защите данных и устойчивому развитию. «ПокерОК» поддерживает соответствие ISO/IEC 27001, ISO/IEC 27701, PCI DSS для платежной среды, GDPR и применимым нормам о защите данных, а также экологическим стандартам ISO 14001 и ISO 50001. Для оценки зрелости кибербезопасности используются рамки NIST CSF. Результаты внутренних и внешних аудитов докладываются руководству, дорожные карты улучшений содержат конкретные сроки и метрики. Некоммерческие инициативы фокусируются на цифровой грамотности, инклюзии и партнерстве с организациями устойчивого развития.
Контакты для сообщений о проблемах безопасности
Об инцидентах, уязвимостях или подозрительной активности можно уведомить через форму в личном кабинете, службу поддержки или специализированный канал, указанный в разделе «Контакты». В обращении рекомендуется описать характер проблемы, шаги воспроизведения, ожидаемое и фактическое поведение, идентификаторы затронутых систем и контакт для обратной связи. Сообщения подтверждаются к получению и обрабатываются приоритетно; при необходимости «ПокерОК» координирует действия с внешними провайдерами и информирует заинтересованные стороны в пределах закона и договорных обязательств.
Настоящая Политика вступает в силу с момента публикации, пересматривается не реже одного раза в год либо при существенных изменениях технологической архитектуры, нормативных требований и экологических показателей и применяется совместно с Пользовательским соглашением, Политикой конфиденциальности и Политикой использования файлов cookie.
