SafeLaw
ISP-01 · Соответствие PCI DSS: Req 12.1

Политика информационной безопасности

Принципы и требования к защите информации, включая платёжные данные пользователей SafeLaw.

ООО «SELLAI» (SELLAI LLC)

Сервис SafeLaw (safelaw.ai)

ИНН 312530703, г. Нукус, Республика Каракалпакстан, Узбекистан

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Документ ISP-01

Версия 1.0

Дата ввода в действие: 15 мая 2026 г.

Соответствие: PCI DSS v4.0.1, SAQ A

1. Назначение и цели

Настоящая Политика информационной безопасности (далее — Политика) устанавливает основные принципы, требования и направления деятельности ООО «SELLAI» (SELLAI LLC, ИНН 312530703, далее — Компания) в области защиты информации, в том числе платёжных данных держателей карт (Cardholder Data, далее — CHD), обрабатываемых в рамках предоставления сервиса SafeLaw (safelaw.ai).

Основные цели Политики:

  • обеспечение конфиденциальности, целостности и доступности информационных активов Компании;
  • защита данных платёжных карт пользователей в соответствии с требованиями стандарта PCI DSS v4.0.1 (уровень самооценки SAQ A);
  • соблюдение законодательства Республики Узбекистан, включая Закон РУз «О персональных данных» от 02.07.2019 № ЗРУ-547;
  • формирование единых правил информационной безопасности для всех работников, подрядчиков и третьих сторон Компании;
  • снижение операционных, финансовых и репутационных рисков, связанных с обработкой информации.

2. Область применения

Политика обязательна для исполнения:

  • всеми штатными и внештатными работниками Компании;
  • всеми подрядчиками, консультантами и иными третьими лицами, имеющими доступ к информационным активам Компании;
  • во всех информационных системах, обрабатывающих данные пользователей сервиса SafeLaw, включая системы, размещённые у третьих сторон (TPSP).

Положения Политики распространяются на все формы обработки информации: электронную, бумажную и устную.

3. Термины и определения

PAN (Primary Account Number) — основной номер платёжной карты (12–19 цифр).

CHD (Cardholder Data) — данные держателя карты: PAN, имя держателя, срок действия, сервисный код.

SAD (Sensitive Authentication Data) — чувствительные аутентификационные данные: CVV/CVC, PIN, данные магнитной полосы.

CDE (Cardholder Data Environment) — среда обработки данных платёжных карт. В случае Компании CDE минимизирована: PAN и SAD никогда не передаются и не хранятся на серверах Компании, а обрабатываются исключительно платёжным шлюзом эквайера (TPSP).

TPSP (Third-Party Service Provider) — поставщик услуг, имеющий доступ к данным платёжных карт либо могущий повлиять на безопасность CDE Компании.

PCI DSS — Payment Card Industry Data Security Standard, международный стандарт безопасности данных индустрии платёжных карт.

SAQ A — Self-Assessment Questionnaire A, опросник самооценки соответствия PCI DSS для мерчантов с полным аутсорсингом обработки CHD.

MFA (Multi-Factor Authentication) — многофакторная аутентификация.

Информационный актив — любая информация и её носители, имеющие ценность для Компании.

Инцидент информационной безопасности — одно или несколько нежелательных или непредвиденных событий, угрожающих безопасности информации.

4. Принципы информационной безопасности

Деятельность Компании в области информационной безопасности основывается на следующих принципах:

4.1. Конфиденциальность

Информация ограниченного доступа предоставляется только тем лицам, которым она необходима для выполнения служебных обязанностей (принцип «need-to-know»).

4.2. Целостность

Информационные активы защищаются от несанкционированного изменения, искажения или уничтожения. Применяются механизмы контроля версий, журналирования действий и проверки целостности.

4.3. Доступность

Информационные системы и данные доступны уполномоченным пользователям тогда, когда это необходимо для выполнения служебных обязанностей. Обеспечиваются резервное копирование, отказоустойчивость и план непрерывности деятельности.

4.4. Минимизация данных

Компания не собирает, не хранит и не обрабатывает данные платёжных карт (PAN, SAD) на собственной инфраструктуре. Обработка платежей полностью передана PCI DSS-сертифицированному TPSP — банку-эквайеру АКБ «Ипак Йули» через redirect flow.

4.5. Защита по умолчанию (Security by Default)

Новые системы, приложения и сервисы проектируются и развёртываются с включёнными по умолчанию мерами безопасности.

5. Защита данных платёжных карт

5.1. Архитектура минимизации CDE

Компания реализует архитектуру с минимальной CDE:

  • пользователь инициирует оплату на сайте safelaw.ai;
  • сайт перенаправляет (HTTP 302 redirect) пользователя на платёжную страницу, размещённую на инфраструктуре банка-эквайера (АКБ «Ипак Йули»);
  • ввод номера карты, срока действия, CVV и иных платёжных реквизитов осуществляется исключительно на стороне банка-эквайера;
  • после завершения операции (успех/отказ) пользователь возвращается на safelaw.ai с идентификатором транзакции; PAN и SAD не передаются на серверы Компании.

Данная архитектура соответствует критериям применимости опросника SAQ A в редакции PCI DSS v4.0.1 r1 (январь 2025).

5.2. Запрет на хранение и обработку CHD

Категорически запрещается:

  • сохранять PAN, CVV/CVC, PIN-коды, данные магнитной полосы в каких-либо системах, базах данных, логах, файлах резервных копий или иных хранилищах Компании;
  • принимать платёжные реквизиты по электронной почте, мессенджерам, телефону, бумажным носителям или иным каналам, минующим платёжный шлюз эквайера;
  • создавать снимки экрана платёжных страниц, содержащие платёжные реквизиты пользователей;
  • разрабатывать или внедрять механизмы, которые могли бы привести к попаданию PAN или SAD в инфраструктуру Компании, без предварительной оценки соответствия PCI DSS уровня SAQ A-EP или SAQ D.

5.3. Маскирование и токенизация

В случае, если в системах Компании отображается информация о платёжной операции (например, в личном кабинете пользователя или в служебных отчётах), допускается отображение только последних 4 цифр PAN. Иные элементы PAN маскируются.

5.4. Передача данных

Все каналы передачи данных между Компанией и пользователями, а также между Компанией и TPSP, защищаются протоколом TLS версии 1.2 или выше. Передача нешифрованных данных запрещена.

6. Управление доступом

6.1. Идентификация и аутентификация

Каждому пользователю информационных систем Компании присваивается уникальный идентификатор. Использование общих, групповых или анонимных учётных записей запрещено.

6.2. Парольная политика

  • минимальная длина пароля — 12 символов;
  • пароль должен содержать символы как минимум двух категорий (буквы и цифры);
  • пароли изменяются не реже одного раза в 90 дней либо при условии динамического анализа состояния безопасности учётной записи;
  • при первой авторизации пользователь обязан сменить пароль, выданный администратором;
  • хранение паролей в открытом виде запрещено; применяется хэширование с использованием стойких алгоритмов (bcrypt, Argon2 или эквивалентных).

6.3. Многофакторная аутентификация (MFA)

Многофакторная аутентификация обязательна для:

  • доступа к административным консолям и серверам Компании;
  • доступа к Google Workspace, Cloudflare, Namecheap, репозиториям исходного кода и иным критическим сервисам;
  • удалённого доступа к корпоративным ресурсам;
  • доступа к личному кабинету банка-эквайера и иным платёжным сервисам.

6.4. Принцип минимальных привилегий

Права доступа предоставляются исходя из служебной необходимости. Привилегированные учётные записи (administrator, root, owner) используются только для выполнения соответствующих задач и не используются для повседневной работы.

6.5. Управление учётными записями

  • создание учётных записей осуществляется по письменному обращению руководителя на основании служебной необходимости;
  • права доступа пересматриваются не реже одного раза в шесть месяцев;
  • при увольнении работника или прекращении договора с подрядчиком учётные записи блокируются в день прекращения отношений;
  • неактивные учётные записи блокируются через 90 дней неиспользования.

7. Криптографическая защита

  • для шифрования данных при передаче применяется TLS 1.2 или TLS 1.3 с использованием криптостойких шифров;
  • для хэширования паролей применяются алгоритмы bcrypt, Argon2 либо PBKDF2;
  • криптографические ключи хранятся отдельно от защищаемых ими данных, доступ к ключам имеют только уполномоченные лица;
  • используются современные TLS-сертификаты от доверенных удостоверяющих центров; сертификаты обновляются до истечения срока действия.

8. Управление уязвимостями

  • операционные системы и программное обеспечение серверов обновляются не реже одного раза в месяц; критические обновления безопасности устанавливаются в течение 30 дней с момента выхода;
  • используется межсетевой экран приложений (WAF) Cloudflare для защиты публичных веб-ресурсов;
  • регулярно (не реже раза в квартал) выполняется сканирование на уязвимости публичных веб-сервисов;
  • при выявлении критических уязвимостей принимаются меры по их устранению в кратчайшие сроки.

9. Физическая безопасность

Информационные системы Компании размещаются в дата-центре поставщика хостинговых услуг (Netcup GmbH, Германия), который обеспечивает соответствующие меры физической безопасности (контроль доступа, видеонаблюдение, защита от пожара, резервное электропитание). Компания не имеет собственного серверного оборудования.

Рабочие места работников должны быть защищены от несанкционированного доступа: при отсутствии работника на рабочем месте экран блокируется, бумажные документы убираются.

10. Управление инцидентами

Все инциденты информационной безопасности обрабатываются в соответствии с отдельным документом — «План реагирования на инциденты информационной безопасности» (IRP-01). Работники обязаны незамедлительно сообщать о любых подозрениях на инцидент по адресу safelawinfo@gmail.com

11. Управление третьими сторонами

Взаимодействие с поставщиками услуг (TPSP), имеющими доступ к данным Компании или влияющими на безопасность CDE, регламентируется отдельным документом — «Политика управления поставщиками услуг» (TPSP-01).

Ключевые TPSP Компании: АКБ «Ипак Йули» (платёжный эквайер), Cloudflare, Inc. (WAF/CDN), Netcup GmbH (хостинг), Google LLC (Workspace, Vertex AI), Anthropic PBC (Claude API), OpenAI, OpCo, LLC (GPT API), Namecheap, Inc. (доменный регистратор).

12. Обучение и осведомлённость

  • все работники проходят первичный инструктаж по информационной безопасности при приёме на работу;
  • повторное обучение проводится не реже одного раза в год;
  • работники, имеющие доступ к чувствительным данным, проходят дополнительные тематические тренинги;
  • обучение охватывает темы: парольная безопасность, фишинг, социальная инженерия, безопасное использование электронной почты, обработка инцидентов.

13. Соответствие законодательству

Компания соблюдает требования законодательства Республики Узбекистан, в том числе:

  • Закона РУз «О персональных данных» № ЗРУ-547 от 02.07.2019;
  • Закона РУз «Об информации» № 530-I от 11.12.2003;
  • Закона РУз «Об электронной коммерции» № ЗРУ-792 от 22.05.2022;
  • требований Центрального банка Республики Узбекистан в части защиты платёжной информации;
  • требований международного стандарта PCI DSS v4.0.1 в части, применимой к мерчантам уровня SAQ A.

14. Роли и ответственность

14.1. Директор Компании

Несёт общую ответственность за информационную безопасность Компании, утверждает настоящую Политику и связанные документы, выделяет ресурсы для её реализации.

14.2. Ответственный за информационную безопасность

Назначается приказом директора. Координирует деятельность по информационной безопасности, организует обучение, ведёт расследование инцидентов, контролирует соответствие требованиям PCI DSS. До назначения отдельного сотрудника функции исполняет директор Компании.

14.3. Все работники

  • соблюдают настоящую Политику и связанные с ней документы;
  • незамедлительно сообщают о подозрениях на инциденты информационной безопасности;
  • используют информационные активы Компании только в служебных целях;
  • обеспечивают сохранность учётных данных и не передают их третьим лицам.

15. Нарушения Политики

Нарушение положений настоящей Политики влечёт ответственность в соответствии с трудовым законодательством Республики Узбекистан, условиями трудового или гражданско-правового договора, а в установленных законом случаях — административную и уголовную ответственность.

16. Пересмотр и обновление

Настоящая Политика пересматривается не реже одного раза в 12 месяцев, а также при существенных изменениях бизнес-процессов, информационной инфраструктуры, нормативно-правовой базы или после крупных инцидентов информационной безопасности. Контроль соблюдения данного требования возлагается на ответственного за информационную безопасность.

17. Сведения о документе

Версия

Дата

Изменения

Утвердил

1.0

15.05.2026

Первичное утверждение документа

Жумамуратов Р.

Утверждение документа

Настоящий документ утверждён директором ООО «SELLAI» (SELLAI LLC) и вступает в силу с даты подписания. Документ подлежит обязательному ознакомлению всем персоналом, подрядчиками и иными лицами, имеющими доступ к информационным активам ООО «SELLAI».

Директор ООО «SELLAI»:

_________________________ / Жумамуратов Р.

(подпись) (расшифровка)

Дата: «_____» _____________ 2026 г.

М.П.

Связанные политики

AUP-01
Политика допустимого использования
IRP-01
План реагирования на инциденты
TPSP-01
Управление поставщиками услуг
Сообщить об уязвимости, инциденте или задать вопрос аудитору: safelawinfo@gmail.com