Безопасность и комплаенс
Последнее обновление:
Операторы перемещают реальные деньги через nuke.ai. Безопасность платформы — это несущая гарантия за каждым брендом, который мы поднимаем. На этой странице зафиксированы контролы, которые мы запускаем, стандарты, которым мы себя обязали, и процесс реагирования, когда что-то ломается. Она намеренно конкретна: расплывчатые страницы про безопасность — это маркер вендоров, у которых контролов на самом деле нет.
1. Резидентность данных
Данные операторов и игроков хранятся в регионе, соответствующем юрисдикции лицензии бренда. Бренды EU хранятся в регионах EU; бренды LATAM — в North-America-South; бренды Азии — в регионах AP. Кросс-региональная репликация — opt-in, никогда не по умолчанию. Бэкапы наследуют те же региональные ограничения; внерегиональные DR-копии шифруются at-rest ключами KMS, привязанными к региону.
2. Шифрование
TLS 1.3 с HSTS preload на каждом публичном эндпоинте; только шифры с perfect-forward-secrecy. At-rest используется AES-256-GCM с envelope-шифрованием — column-level ключи для платёжных инструментов и KYC-записей, schema-level ключи для всего остального. Ротация ключей автоматическая, цикл 90 дней; ручная ротация — один вызов API для инцидент-реагирования.
3. Контроль доступа
Доступ к консоли на стороне оператора требует SSO (Google Workspace, Okta, Azure AD) и обязывает MFA. Права — RBAC, семь дефолтных ролей плюс конструктор кастомных. Каждое административное действие — изменение конфига, выплата, KYC override, деплой бренда — порождает неизменяемую запись в журнале аудита, видимую и админам оператора, и поддержке nuke.ai при триаже инцидента.
4. Пентесты
Внешние пентесты проводятся ежеквартально независимой компанией с CREST-аккредитацией. Находки фиксируются во внутреннем CVE-реестре; критические/высокие закрываются в рамках SLA (24 ч / 7 д соответственно) и попадают в engineering changelog. Редактированное резюме доступно security-командам операторов под NDA.
5. Сертификации
ISO 27001 в дорожной карте. Скоуп PCI-DSS ограничен токенизационным шлюзом — данные карт операторов не проходят через прикладные серверы nuke.ai. Compliance-отчёты доступны под NDA.
6. Раскрытие уязвимостей
Исследователи безопасности могут сообщать о находках на [email protected]. Мы обязуемся подтверждать получение в течение 72 часов, давать статус по устранению в течение 14 дней и упоминать внешних исследователей в публичном security-чейнджлоге (с их согласия).
7. Реагирование на инциденты
Инциденты Sev-1 (выходы из строя, затрагивающие операторов, утечки данных) подтверждаются в течение 15 минут, обновления status-page каждые 30 минут до восстановления, публичный пост-мортем в течение 5 рабочих дней. Инциденты Sev-2 (деградация производительности, частичный отказ функционала) подтверждаются в течение часа. Текущий статус платформы публикуется в плашке статуса на главной и обновляется при каждом релизе.
8. Контакты
Запросы по безопасности: [email protected].
Общий комплаенс: [email protected].