WhatsApp
Почта
Избранное
Сравнение
Ваша корзина пуста!
Корзина
  • Политика безопасности

Политика безопасности

1) Назначение

Мы принимаем меры для защиты аккаунтов пользователей, заказов и персональных данных, а также для предотвращения несанкционированного доступа к системам сайта.

2) Что мы защищаем

Мы стремимся защищать:

  • данные аккаунта (email/телефон, история заказов, адрес доставки);

  • информацию о заказах и оплате (без хранения полных данных банковских карт);

  • служебные данные (журналы событий, технические идентификаторы, настройки).

Важно: мы не запрашиваем и не храним CVV/CVC и полные реквизиты банковских карт на стороне сайта. Оплата обрабатывается через платёжных провайдеров (если используется онлайн-оплата).

3) Основные меры безопасности

Мы используем (или планируем использовать) следующие меры:

  • Шифрование трафика: доступ к сайту по HTTPS (TLS).

  • Хранение паролей: пароли не хранятся в открытом виде; применяется стойкое хеширование.

  • Контроль доступа: разграничение прав (пользователь/менеджер/администратор), принцип минимально необходимых прав.

  • Защита сессий/токенов: ограничение времени жизни, обновление, отзыв при подозрении на компрометацию.

  • Журналы и мониторинг: фиксация ключевых событий (входы, смена пароля, попытки подбора, изменения заказов), реагирование на аномалии.

  • Резервное копирование: регулярные бэкапы и проверка восстановления.

  • Обновления: своевременная установка обновлений серверного ПО и зависимостей.

  • Защита от злоупотреблений: лимиты запросов, защита от брутфорса, базовая фильтрация подозрительного трафика.

  • Безопасная разработка: код-ревью, проверка критичных изменений, устранение уязвимостей.

4) Что может сделать пользователь для своей безопасности

Рекомендуем:

  • использовать уникальный сложный пароль и не передавать его третьим лицам;

  • не вводить пароль на подозрительных сайтах и не переходить по сомнительным ссылкам;

  • при подозрении на взлом сразу сменить пароль и написать в поддержку.

5) Сообщения об уязвимостях (Responsible Disclosure)

Мы приветствуем сообщения об уязвимостях и ошибках безопасности.

Как сообщить:

  • отправьте письмо на [help@spalm.kz] с темой: Security report: [кратко]

  • укажите: шаги воспроизведения, затронутые URL/раздел, возможный риск, скриншоты (если уместно), контакты для обратной связи.

Что разрешено при проверке:

  • тестирование только на собственных аккаунтах/данных;

  • минимальные действия для подтверждения проблемы;

  • немедленное прекращение тестов при риске ущерба.

Что запрещено:

  • доступ к чужим данным, изменение/удаление данных, остановка сервиса;

  • массовое сканирование/флуд запросами;

  • социальная инженерия сотрудников/клиентов;

  • публикация уязвимости до согласования.

Мы постараемся подтвердить получение обращения и обработать его в разумные сроки.

6) Инциденты и уведомления

При выявлении инцидента безопасности мы:

  • ограничиваем воздействие (блокируем доступ, отзываем сессии/токены, исправляем причину);

  • при необходимости уведомляем затронутых пользователей и/или уполномоченные органы в соответствии с применимыми требованиями законодательства.

7) Сторонние сервисы

Для части функций могут применяться сторонние сервисы (платежи, доставка, аналитика, хостинг). Мы выбираем поставщиков, которые заявляют о соблюдении мер безопасности, и ограничиваем передачу данных необходимым минимумом.

8) Обновления политики

Мы можем обновлять эту политику. Актуальная версия всегда размещается на сайте с указанием даты вступления в силу.

Мы используем файлы cookie и похожие технологии, чтобы сайт работал корректно, запоминал ваши введенные данные и настройки (например, язык и корзину) и помогал нам улучшать сервис с помощью статистики. Вы можете принять все cookie, настроить их или отключить необязательные в настройках браузера. Продолжая пользоваться сайтом, вы соглашаетесь с использованием cookie в соответствии с нашей Политикой конфиденциальности.