S.03 / Xavfsizlik amaliyotiDOC · UZ · MMXXVI

Audit darajasida — dizayn bo'yicha.

Aktiv ma'lumoti — kompaniyaning yuragi. Quyida biz uni qanday himoya qilishimiz: arxitektura, jarayonlar va hodisalarga javob — yashirmasdan tushuntiramiz.

Kuchga kirgan 2026-05-01Versiya 1.0Yurisdiksiya O'zbekiston Respublikasi
§01 · S.03

Asosiy tamoyillar

Xavfsizlik — qo'shimcha funksiya emas, arxitekturaning poydevori. Biz quyidagi to'rt tamoyilga rioya qilamiz:

  • Tenant izolyatsiyasihar bir mijoz ma'lumotlar bazasi qatori va saqlash bucket darajasida ajratilgan.
  • Eng kam imtiyozhar bir xodim va xizmat faqat o'ziga zarur huquqqa ega bo'ladi.
  • Doim shifrlanganma'lumot transport va disk darajasida shifrlanadi — istisnosiz.
  • Auditga tayyorhar bir muhim amal o'zgartirib bo'lmaydigan jurnalga yoziladi.
§02 · S.03

Infratuzilma

Platforma zamonaviy bulut provayderlarida joylashgan, sertifikatlangan datacenter'larda ishlaydi.

Asosiy region
EU-Frankfurt
Mahalliy hosting Enterprise uchun
Transport
TLS 1.3
HSTS · faqat HTTPS · HTTP/3
Disk darajasida
AES-256
Ma'lumotlar bazasi · fayl · zaxira
Zaxira
RPO 1 soat
35 kun saqlash · har kuni test
§03 · S.03

Kirish va autentifikatsiya

Foydalanuvchi kirishi Keycloak orqali boshqariladi — sanoat standarti bo'lgan identifikatsiya server.

  • Ikki bosqichli autentifikatsiya (TOTP, SMS yoki passkey).
  • Sessiya tokenlari qisqa muddatli, refresh-token bilan rotatsiyalanadi.
  • Brute-force va credential stuffing'ga qarshi rate-limiting.
  • Korxona mijozlari uchun SSO (SAML / OIDC) Enterprise tarifida.
§04 · S.03

Multi-tenant izolyatsiya

Har bir tenant ma'lumoti boshqalardan to'liq ajratilgan. Bu — server tomonidagi qattiq qoida, frontend filtri emas.

Row-level securityHibernate filter har bir SQL so'roviga avtomatik tenant_id qoshadi. Tenant'lararo join — texnik jihatdan mumkin emas.

Fayl saqlashda har bir tenant alohida bucket'ga ega. Xabar shinasidagi (RabbitMQ) marshrutlar ham tenant doirasida cheklangan.

§05 · S.03

Xavfsiz dasturlash

Kod yozishdan deploy'gacha har bir bosqichda xavfsizlik tekshiruvi:

  • Har bir PR uchun majburiy code review — kamida bitta katta dasturchi.
  • Avtomatik SAST va bog'liqlik skanlari (Snyk, Dependabot).
  • Production sirlari .env emas, vault'da — rotatsiya har 90 kunda.
  • Yiliga kamida bir marta tashqi penetration test.
§06 · S.03

Kuzatuv va jurnallar

Platformada nima sodir bo'layotganini doim bilamiz:

  • Markazlashgan log agregatsiyasi — har bir API chaqiruv qayd qilinadi.
  • Real-vaqt anomaliya aniqlash — odatdan tashqari kirish va yuk uchun.
  • Audit jurnali o'zgartirib bo'lmaydigan storage'da — soliq tekshirgani bo'yicha 5 yil.
§07 · S.03

Hodisaga javob

Xavfsizlik hodisasi yuz bersa — quyidagi tartib bo'yicha ishlaymiz:

1 · Aniqlash
< 15 daqiqa
Avtomatik signal yoki bildirgi
2 · Xabar
< 24 soat
Ta'sirlangan tenantlarga email
3 · Tiklash
< 4 soat
Zaxiradan tiklash · maqsad RTO
4 · Tahlil
< 14 kun
Ochiq post-mortem · oldini olish
§08 · S.03

Muvofiqlik

Biz hozirda ISO 27001 va SOC 2 Type II sertifikatlariga tayyorgarlik ko'ryapmiz. Sertifikatlar olinishi 2026 yil 4-chorakda rejalashtirilgan.

O'zbekiston «Shaxsiy ma'lumotlar to'g'risida»gi qonun talablariga to'liq rioya qilamiz. DPA (ma'lumotni qayta ishlash shartnomasi) — Business va Enterprise tariflarida mavjud.

§09 · S.03

Zaiflik haqida xabar berish

Agar Gavkhar Office'da xavfsizlik zaifligini topsangiz — iltimos, security@gavkhar.org orqali yuboring. Javob beramiz va birga tuzatamiz.

Mas'uliyatli oshkor qilish — biz uchun qadrli. Bug bounty dasturi 2026 yil 3-chorakda ochiladi — tafsilotlar shu sahifada chiqadi.

Yuridik savol bormi?

Maxfiylik, shartnoma yoki xavfsizlik bo'yicha yozing — javob ish kuni ichida.

legal@gavkhar.org
L.01Maxfiylik siyosatiO'qishL.02Foydalanish shartlariO'qish