Як PlanoHero захищає ваші ритейл-дані, магазини та команду

Хостинг та фізична безпека (Hetzner)

• Дані клієнтів зберігаються в дата-центрах Hetzner в ЄС (Німеччина / Фінляндія), сертифікованих за ISO/IEC 27001.
• Фізичний контроль: персонал 24/7, відеоспостереження, багатофакторний та біометричний доступ у чутливих зонах, резервування живлення та мережі N+1.
• Hetzner - німецька компанія, що підпадає під дію GDPR та BDSG; PlanoHero укладає з нею Угоду про обробку даних із Стандартними договірними застереженнями ЄС.

Захист від DDoS (Cloudflare)

• Весь трафік проходить через Cloudflare: завершення TLS-з'єднання на вхідних вузлах мережі, фільтрує шкідливий трафік та поглинає об'ємні DDoS-атаки.
• Cloudflare сертифікована за ISO/IEC 27001, ISO/IEC 27018, SOC 2 Type II, PCI DSS та є підписантом EU Cloud Code of Conduct.
• Керований WAF блокує шаблони OWASP Top 10, відомі сигнатури експлойтів та підозрілий бот-трафік.
• Атрибути cookie HTTP-only та Secure, HSTS, Content-Security-Policy та інші сучасні заголовки безпеки застосовуються на всіх клієнтських інтерфейсах.

Мережева архітектура

• Виробниче, тестове та розробницьке середовища логічно ізольовані. Дані клієнтів існують лише в основному середовищі платформи.
• Внутрішні сервіси спілкуються через приватні мережі; зовнішні точки доступу обмежені шлюзами застосунку та API за Cloudflare.
• Адміністративний доступ до інфраструктури вимагає MFA, обмежений визначеним колом інженерів та повністю фіксується в журналі подій.

Шифрування

• Всі дані клієнтів (бази даних, сховища об'єктів, резервні копії) шифруються у стані спокою за допомогою AES-256.
• Всі з'єднання використовують TLS 1.2 або вище; TLS 1.0 та 1.1 вимкнено. HSTS увімкнено.
• Ключі шифрування управляються окремо від даних та ротуються за затвердженим розкладом.
• SECURITY_COMPLIANCE_DATA_PROTECTION_GROUP_1_ITEM_4

Ізоляція даних

• PlanoHero виділяє для кожного клієнта окрему ізольовану базу даних. Дані клієнтів ніколи не змішуються з даними інших клієнтів у спільній базі.
• Сховище об'єктів (файли планограм, фото магазинів, експорти) сегрегується на рівні тенанта з окремими політиками доступу. Міжтенантний доступ заблоковано за замовчуванням.
• Ізоляція на рівні клієнта спрощує резервне копіювання, відновлення, експорт та видалення: даними окремого клієнта можна керувати, не торкаючись даних інших.
• Ізоляція тенанта перевіряється автоматизованими тестами при кожному релізі.

Інтеграція даних (через Коннектор)

PlanoHero отримує дані про товари та запаси з вашої POS або ERP через PlanoHero Connector. Connector приймає дані у форматах SQL, CSV або JSON, що дозволяє інтегруватися практично з будь-якою внутрішньою системою компанії без доступу до неї з публічного інтернету.

• Що імпортується: основні дані про товари (SKU, атрибути, розміри, ієрархія) та сигнали запасів / продажів з вашої POS або ERP. Дані платіжних карток та персональні дані кінцевих покупців не імпортуються.
• Підтримувані формати: SQL (пряме читання з бази даних або її резервної копії під управлінням клієнта), CSV-файли та JSON через HTTPS / REST.
• Безпека транспорту: весь трафік інтеграції шифрується при передачі. JSON / REST - через TLS 1.2+; SQL-з'єднання використовують TLS там, де це підтримується базою даних-джерелом; CSV-передачі — через SFTP або HTTPS. Відкритий FTP та незашифрований SMB не підтримуються.
• Аутентифікація: Connector використовує виділені облікові дані для кожного клієнта - API-ключі, облікові дані OAuth або облікові записи лише для читання з мінімально необхідними правами. Облікові дані зберігаються у захищеному сховищі облікових даних та ротуються на запит або при зміні персоналу.
• Мережеві опції: якщо клієнт не бажає відкривати внутрішні системи, Connector може працювати всередині мережі клієнта як агент лише з вихідним трафіком, що передає дані до PlanoHero без необхідності у вхідних firewall-правилах.
• Валідація та цілісність: вхідні дані проходять валідацію схеми, перевірку типів та обмеження розміру. Некоректні пакети відхиляються з чітким повідомленням про помилку та ніколи не застосовуються частково; кожне завантаження фіксується в журналі подій із зазначенням часу, джерела, кількості записів та результату.
• Зберігання: інтегровані дані потрапляють до виділеної ізольованої бази даних у окремому клієнтському просторі на них поширюються ті самі засоби захисту, що й на всі інші дані клієнта: шифрування у стані спокою, резервне копіювання та контроль доступу.

Зберігання та видалення даних

• Дані клієнтів зберігаються протягом терміну підписки.
• Після завершення підписки дані видаляються з виробничого середовища у встановлений строк та з резервних копій за розкладом ротації.
• Клієнти можуть будь-коли запросити експорт даних у стандартних форматах.

Безпечний цикл розробки

• Всі зміни коду проходять перевірку pull-request принаймні одним інженером, крім автора.
• Статичний аналіз та лінтинг запускаються автоматично для кожної зміни; критичні для безпеки знахідки блокують злиття до їх усунення.
• Залежності безперервно скануються на відомі вразливості (CVE); проблеми високої критичності виправляються за пріоритетним розкладом.
• Секрети ніколи не потрапляють до системи контролю версій. Виробничі деплойменти відбуваються через автоматизований CI/CD-пайплайн з обов'язковими тестами та незмінними артефактами.

Управління вразливостями

• Автоматизовані сканування вразливостей регулярно виконуються для інфраструктури та застосунків.
• Знахідки усуваються відповідно до задокументованих SLA на основі серйозності; критичні проблеми пріоритизуються негайно.
• Проводяться регулярні незалежні пентести; знахідки повертаються до інженерного беклогу.

Захист від поширених вебзагроз

• Валідація вводу, кодування виводу та параметризовані запити захищають від ін'єкційних атак (SQL-ін'єкція, XSS тощо).
• Захист від CSRF, безпечні куки сесій та перевірка джерела запиту застосовуються для всіх запитів, що змінюють стан даних.
• Завантажені файли валідуються, скануються та зберігаються в ізольованому сховищі з обмеженими правами.

Налаштування доступу для клієнтів

• Надійна політика паролів з хешуванням bcrypt; паролі ніколи не зберігаються у відкритому вигляді.
• Багатофакторна аутентифікація (MFA) доступна для всіх акаунтів клієнтів.
• Рольова модель доступу (RBAC): адміністратори HQ, регіональні менеджери, співробітники магазину та переглядачі мають чітко розмежовані права.
• SSO через OAuth / OpenID Connect підтримується в корпоративних планах.
• Тайм-аут сесій, розпізнавання пристроїв при вході та блокування акаунту захищають від атак підбору облікових даних.

Внутрішній доступ до даних клієнтів

• Доступ до виробничих систем обмежений визначеним колом інженерів, вимагає SSO та MFA, і надається за принципом мінімальних прав за замовчуванням. Усі дії з підвищеними правами фіксуються в журналі подій.
• Перегляди доступу проводяться регулярно та при кожній зміні персоналу. Звільнення негайно відкликає доступ.
• Дані клієнтів ніколи не копіюються на локальні пристрої або особисті акаунти.

Де зберігаються дані

• Дані клієнтів за замовчуванням розміщуються в ЄС на інфраструктурі Hetzner у Німеччині / Фінляндії.
• Дані не покидають ЄС/ЄЕЗ без відповідного механізму передачі (Стандартних договірних застережень ЄС).
• Хостинг у США може бути обговорений для корпоративних клієнтів із суворими вимогами до резидентності даних.

GDPR (ЄС та Велика Британія)

PlanoHero діє як GDPR-сумісний обробник даних із хостингом в ЄС, підписаними Угодами про обробку даних та Стандартними договірними застереженнями. Права суб'єктів даних - доступ, виправлення, видалення, обмеження, перенесення та заперечення - підтримуються на запит через обліковий запис PlanoHero або на адресу [email protected].

Законодавство США (CCPA/CPRA та закони штатів)

PlanoHero відповідає вимогам Каліфорнійського закону про конфіденційність споживачів у редакції Каліфорнійського закону про права на конфіденційність (разом - «CCPA/CPRA»). При обробці персональних даних мешканців Каліфорнії від імені клієнтів PlanoHero виступає як «постачальник послуг» у розумінні CCPA/CPRA.

• Без продажу та передачі: PlanoHero не продає персональні дані та не «передає» їх для міжконтекстної поведінкової реклами у розумінні CCPA/CPRA.
• Обмеження використання: персональні дані клієнтів використовуються виключно для надання договірних послуг - ніколи для маркетингу, профілювання або навчання сторонніх AI-моделей.
• Підтримка прав споживачів: PlanoHero допомагає клієнтам реагувати на верифіковані запити споживачів за CCPA/CPRA - право на доступ, видалення, виправлення та обмеження використання й розкриття конфіденційних персональних даних.
• Договірні гарантії: угоди з клієнтами містять положення про постачальника послуг, передбачені CCPA/CPRA, включаючи обмеження на зберігання, об'єднання та подальше розкриття персональних даних.

Програма конфіденційності PlanoHero розроблена для підтримки зростаючої мережі законів штатів США про конфіденційність на єдиній узгодженій основі. Це охоплює Закон Вірджинії про захист персональних даних споживачів (VCDPA), Закон Колорадо про конфіденційність (CPA), Закон Коннектикуту про конфіденційність даних (CTDPA), Закон Юти про конфіденційність споживачів (UCPA) та Закон Техасу про конфіденційність та безпеку даних (TDPSA) та інші. Дані клієнтів є конфіденційними за договором, використання обмежене наданням послуги, права суб'єктів даних підтримуються, а клієнти повідомляються про інциденти безпеки своєчасно незалежно від штату проживання постраждалих осіб.

Власність та використання даних

• Клієнти є власниками своїх даних. Всі дані планограм, магазинів, товарів та виконання залишаються власністю клієнта.
• PlanoHero не продає, не орендує та не ліцензує дані клієнтів третім особам і не використовує їх для реклами.
• Дані клієнтів не використовуються для навчання сторонніх AI-моделей.
• Дані можуть бути експортовані у будь-який час і видаляються після завершення підписки.

Субпроцесори

PlanoHero співпрацює з обмеженим колом ретельно відібраних субпідрядників з обробки даних, кожен з яких охоплений Угодою про обробку даних, що включає Стандартні договірні застереження ЄС там, де це застосовно.

Організаційна безпека

• Всі співробітники та довгострокові підрядники підписують угоди про конфіденційність до отримання доступу до систем.
• Навчання з питань безпеки проводиться під час онбордингу та регулярно оновлюється.
• Робочі станції мають повне шифрування диска, блокування екрану, захист від шкідливого програмного забезпечення та своєчасне встановлення оновлень.
• Доступ надається через задокументовані процеси прийому, переведення та звільнення співробітників з обов'язковим подвійним підтвердженням для виробничих привілеїв.

Реагування на інциденти

• Задокументований план реагування на інциденти охоплює виявлення, оцінку та пріоритизацію, стримування, ліквідацію, відновлення та постінцидентний розбір.
• Сигнали безпеки моніторяться безперервно; чергові інженери залучаються до інцидентів.
• У разі підтвердженого інциденту безпеки, що зачіпає дані клієнтів, постраждалі клієнти будуть повідомлені без зайвих затримок відповідно до вимог GDPR - як правило, протягом 72 годин.
• Кожен значний інцидент завершується без звинувачень постмортемом, а пункти дій відстежуються до повного виконання.