Дата размещения: 16 апреля 2026 г.
1. Введение
AssessLearn обрабатывает данные, влияющие на кадровые решения: результаты аттестаций, поведенческие метрики, протоколы прохождения. Мы осознаем чувствительность этих данных и выстраиваем защиту на каждом уровне – от инфраструктуры до организационных процессов.
Настоящий документ описывает подход AssessLearn к обеспечению безопасности данных. Он предназначен для администраторов организаций-клиентов, их служб информационной безопасности и юридических подразделений.
2. Инфраструктура и хранение данных
2.1. Размещение
Все данные хранятся на серверах, расположенных на территории Российской Федерации (провайдер – Timeweb Cloud), в соответствии с требованиями ч. 5 ст. 18 Федерального закона No 152-ФЗ "О персональных данных".
Трансграничная передача персональных данных не осуществляется. Сторонние сервисы, получающие доступ к обезличенным данным (Яндекс.Метрика), также размещают серверы на территории РФ.
2.2. Резервное копирование
Резервные копии баз данных создаются на регулярной основе. Копии хранятся на отдельных серверах, расположенных на территории РФ. При прекращении договора с организацией-клиентом резервные копии, содержащие ее данные, удаляются в течение 90 дней в рамках планового цикла ротации.
2.3. Разделение сред
Производственная, тестовая и разработочная среды разделены. Реальные данные клиентов не используются в тестовых и разработочных средах.
3. Изоляция данных
3.1. Мультитенантная архитектура
Платформа построена по мультитенантной модели: все организации используют единую инфраструктуру, но данные каждой организации логически изолированы. Каждый запрос к данным фильтруется по идентификатору организации. Администратор одной организации не имеет доступа к данным другой организации.
3.2. Ролевая модель
Доступ к данным разграничен на основе ролей:
Администратор организации – управляет сотрудниками, курсами, назначениями и отчетами своей организации. Не имеет доступа к данным других организаций.
Сотрудник – имеет доступ только к своим назначениям, курсам и результатам в рамках организации, к которой привязан.
Администратор платформы – операционное управление платформой. Действия журналируются в аудит-логе.
4. Аутентификация и контроль доступа
4.1. Пароли
Пароли хранятся в виде хешей с использованием алгоритма bcrypt с солью. Платформа не хранит пароли в открытом виде. При проверке пароля используется timing-safe сравнение, исключающее утечку информации о существовании учетной записи.
4.2. Вход в систему
Поддерживаются два способа аутентификации: по паролю и по одноразовой ссылке (magic link). Одноразовая ссылка генерируется с использованием 256 бит криптографической энтропии, хранится в базе данных в виде SHA-256 хеша, действует 15 минут и может быть использована только один раз.
4.3. Токены доступа
Аутентификация на основе JWT-токенов. Access-токен имеет ограниченный срок жизни (1 час). Refresh-токен хранится в httpOnly cookie, защищенном от доступа из JavaScript. Реализована ротация refresh-токенов: при обнаружении повторного использования отозванного токена все активные сессии пользователя немедленно инвалидируются.
4.4. Защита от перебора
Применяется ограничение частоты запросов (rate limiting) на эндпоинтах аутентификации: не более 10 попыток входа и не более 5 попыток регистрации / запроса одноразовой ссылки за 15 минут с одного IP-адреса и email.
4.5. Корпоративная аутентификация
Для организаций на тарифном плане "Корпоративный" доступна аутентификация через SSO/SAML 2.0, позволяющая использовать корпоративный каталог учетных записей.
5. Защита каналов передачи данных
5.1. Шифрование при передаче
Все соединения между браузером пользователя и серверами Платформы защищены протоколом TLS (HTTPS). Незашифрованные HTTP-соединения не поддерживаются.
5.2. HTTP-заголовки безопасности
Платформа устанавливает защитные HTTP-заголовки:
X-Frame-Options: DENY– защита от встраивания страниц Платформы в iframe (clickjacking);X-Content-Type-Options: nosniff– предотвращение интерпретации ответов в неожиданном формате;Referrer-Policy: strict-origin-when-cross-origin– ограничение передачи информации о посещенных страницах;Permissions-Policy– блокировка доступа к камере, микрофону и геолокации (Платформа не использует эти функции).
5.3. Защита API
API-запросы защищены проверкой аутентификации и авторизации на каждом эндпоинте. CORS-политика ограничивает доступ к API с внешних доменов.
6. Безопасность данных сессий
6.1. Сбор поведенческих метрик
Поведенческие метрики (тайминги, клики, переключения вкладок, события ввода) собираются исключительно в контексте прохождения курса или аттестации. Платформа не отслеживает действия сотрудника за пределами окна курса.
6.2. Целостность данных сессии
События сессии передаются на сервер с порядковыми номерами (sequence numbers), что обеспечивает обнаружение пропущенных или дублированных событий. При потере соединения события буферизуются локально и отправляются при восстановлении связи.
6.3. Идентификация устройства
Для защиты от прохождения аттестации другим лицом Платформа формирует составной идентификатор устройства на основе параметров браузера и графического адаптера. Эти данные используются для сопоставления сессий одного сотрудника и выявления подозрительных паттернов (разные устройства в коротком интервале, признаки виртуальной машины или headless-браузера). Камера и микрофон не используются.
7. Журналирование и аудит
7.1. Журнал действий администратора
Все действия администраторов организаций журналируются: создание и удаление сотрудников, назначение курсов, изменение настроек, экспорт данных. Записи журнала содержат идентификатор пользователя, тип действия, дату и время.
7.2. Журнал входов
Фиксируются все попытки входа в систему: успешные и неуспешные, IP-адрес, user-agent, дата и время.
7.3. Неизменяемость
Записи аудит-лога не подлежат удалению или изменению через интерфейс Платформы.
8. Организационные меры
8.1. Доступ к производственным данным имеет ограниченный круг лиц, непосредственно вовлеченных в поддержку и эксплуатацию Платформы.
8.2. Действия с привилегированным доступом (в том числе имперсонация – вход под учетной записью организации-клиента для целей поддержки) журналируются в аудит-логе.
8.3. Привилегированный доступ используется исключительно для целей технической поддержки и устранения инцидентов и не предоставляется для иных целей.
9. Правовое соответствие
9.1. Обработка персональных данных осуществляется в соответствии с Федеральным законом No 152-ФЗ "О персональных данных".
9.2. Платформа зарегистрирована как система обработки персональных данных. Данные хранятся на территории РФ.
9.3. Между Платформой (обработчик) и организацией-клиентом (оператор) действуют Условия обработки персональных данных (DPA), определяющие состав данных, цели, сроки и меры защиты.
9.4. Платформа предоставляет инструменты, позволяющие организации-клиенту соблюдать требования законодательства в отношении данных своих сотрудников: просмотр, экспорт, удаление данных через интерфейс администратора.
10. Реагирование на инциденты
10.1. При обнаружении инцидента безопасности (неправомерный доступ, утечка, нарушение целостности данных) Платформа уведомляет затронутые организации-клиенты в течение 24 часов.
10.2. Уведомление содержит: описание инцидента, предполагаемый масштаб, принятые и планируемые меры.
10.3. Платформа содействует организациям-клиентам в уведомлении Роскомнадзора и субъектов данных, если такое уведомление требуется.
11. Что Платформа не делает
Для ясности и устранения возможных опасений:
- не записывает видео и аудио с камеры или микрофона сотрудника;
- не делает скриншотов экрана;
- не устанавливает программное обеспечение на устройства сотрудников;
- не отслеживает действия сотрудников за пределами окна прохождения курса;
- не передает данные за пределы Российской Федерации;
- не использует данные сотрудников организаций-клиентов для обучения моделей машинного обучения;
- не продает и не передает данные третьим лицам в маркетинговых или рекламных целях.
12. Обратная связь
Если вы обнаружили уязвимость или у вас есть вопросы по безопасности Платформы, направьте сообщение на contact@aslearn.ru с пометкой "Безопасность". Мы рассмотрим обращение в приоритетном порядке.
13. Реквизиты
Индивидуальный предприниматель Дербин Александр Олегович
ИНН: 773134780009
ОГРНИП: 323774600089991
Адрес: г. Москва, муниципальный округ Кунцево
Email: contact@aslearn.ru
г. Москва
16 апреля 2026 г.