Անվտանգություն
Վերջին վերանայում՝ 2026 թ. մայիսի 6
Անվտանգությունը հիմնարար է CarFix.am-ի կառուցման համար։ Հարթակը մշակում է մեքենայի լուսանկարներ, VIN-ներ, կոնտակտային տվյալներ և, մեր գործընկերների համար, պահանջագրերի և վաճառողի ապրանքների տվյալներ։ Ստորև ներկայացնում ենք իրականացված վերահսկողությունների հստակ ակնարկը։
Տվյալների փոխանցում
CarFix.am-ի բոլոր կապերը կոդավորված են TLS 1.2+-ով։ HTTP շերտը պաշտպանված է HSTS-ով, անվտանգ cookie-ներով և ժամանակակից անվտանգության headers-ով (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy)։
Տվյալների պահպանում
Օգտատերերի տվյալները և վերբեռնված լուսանկարները պահվում են կոդավորված Amazon Web Services համակարգերում (RDS for PostgreSQL՝ KMS-կառավարվող կոդավորմամբ, S3՝ SSE-S3 սերվերային կոդավորմամբ)։ Կրկնօրինակները կոդավորված են և պահվում են 30 օր։
Նույնականացում և մուտքի վերահսկում
Գաղտնաբառերը հաշվարկվում են bcrypt-ով՝ ուժեղ work-factor-ով։ Սեսիաները օգտագործում են HTTP-only, SameSite cookie-ներ, ստորագրված NextAuth-ով։ Արտադրությանն օպերատորի մուտքը պաշտպանված է բազմագործոն նույնականացմամբ և նվազագույն արտոնության IAM դերերով։
Ենթակառուցվածք
Արտադրությունը գործում է AWS-ում (eu-central / us-east) կիրառվող բեռի բաշխիչի հետևում կառավարվող սերտիֆիկատներով, մասնավոր ենթացանցերում՝ առանց ուղղակի տվյալների բազայի հասանելիության։ Հաշվարկը գտնվում է կարկատված, ամրացված EC2 instance-ներում; տեղակայումները անցնում են CI-ով՝ պարտադիր linting-ով, թեստերով և անվտանգության վերանայմամբ ամեն թողարկման ժամանակ։
Ծրագրային անվտանգություն
Մենք օգտագործում ենք պարամետրացված տվյալների բազայի մուտք (Prisma), խիստ մուտքի վավերացում (Zod) ամեն սերվերային մուտքի կետում, rate limit մուտքի և ձևի ուղարկման endpoint-ների վրա, և ագրեսիվ ելքի մաքրում էլ. փոստի հոսքում։ Կոդը ստատիկ վերլուծվում և վերանայվում է OWASP Top 10 խոցելիությունների համար ամեն փոփոխության ժամանակ։
AI-ի անվտանգություն
AI-ի կողմից գեներացված ելքերը հստակ նշված են ամբողջ արտադրանքում։ Մենք երբեք չենք պահում վճարային քարտեր, բիոմետրիկ տվյալներ կամ պետական ID-ներ։ Լուսանկարները հնարավոր դեպքերում անջատվում են նույնականացման տվյալներից և օգտագործվում մոդելի բարելավման համար միայն ապանույնականացումից հետո։
Միջադեպերի արձագանք
Մենք վերահսկում ենք արտադրությունը կառուցվածքային գրառումներով և ազդարարումներով։ Ցանկացած հաստատված անվտանգության միջադեպ հետաքննվում է; տուժած օգտատերերը և Հայաստանի Անձնական Տվյալների Պաշտպանության Գործակալությունը ծանուցվում են հայկական և ԵՄ օրենքով սահմանված ժամկետներում։
Խոցելիության հաղորդում
Մենք ողջունում ենք հետազոտողների հաղորդագրությունները։ Խնդրում ենք գրել security@carfix.am -ին հստակ նկարագրությամբ և վերարտադրման քայլերով։ Մենք ընդունում ենք հաղորդագրությունները երկու աշխատանքային օրվա ընթացքում և իրավական գործողություններ չենք ձեռնարկի բարեխիղճ հետազոտողների դեմ, որոնք հետևում են պատասխանատու հրապարակմանը։
Համապատասխանություն
CarFix.am-ը գործում է Հայաստանի օրենքի ներքո և համապատասխանում է GDPR-ին ԵՄ/ԵՏՏ այցելուների համար։ Մեր տվյալների մշակողները (AWS, Google և այլն) պարտավորված են արդյունաբերության ստանդարտ տվյալների մշակման պայմանագրերով։