Информационная безопасность — LabReadAI

1. Защита канала передачи данных

• Все соединения с сайтом labreadai.com осуществляются исключительно по протоколу HTTPS с шифрованием по стандарту TLS 1.2/1.3 и современными наборами шифров (AES-GCM, CHACHA20).
• Сертификат TLS выдан доверенным удостоверяющим центром; срок действия отслеживается автоматически.
• Применяется политика HSTS (Strict-Transport-Security) с длительным сроком и предзагрузкой — браузер не позволяет открыть сайт по незашифрованному HTTP.
• Применяются заголовки безопасности: Content-Security-Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Cross-Origin-Resource-Policy, Referrer-Policy.

2. Безопасность платёжных данных

Сервис LabReadAI не собирает, не передаёт и не хранит реквизиты банковских карт пользователей. Платёжный процесс полностью изолирован на стороне процессинговой компании АО «ТБанк» (Tinkoff Касса):

• Ввод реквизитов карты происходит на защищённой странице Tinkoff Касса; данные не пересекают периметр Исполнителя.
• Применяется протокол 3-D Secure 2 (Visa Secure, Mastercard Identity Check, МИР Accept) — подтверждение оплаты пуш-уведомлением или одноразовым кодом.
• Платёжный процессор сертифицирован по стандарту PCI DSS уровня 1 (наивысший) — это требование международных платёжных систем для приёма карт онлайн.
• Исполнитель получает от Tinkoff Касса только обезличенные сведения: идентификатор операции, статус, сумму и маскированный номер карты (например, 4*** **** **** 1234) — для целей бухгалтерского учёта и оформления возвратов.

3. Защита данных в хранении

• Файлы, загружаемые пользователем, удаляются с серверов немедленно после извлечения текстовых данных и формирования Результата.
• Результат расшифровки хранится строго ограниченное время (7 дней) и автоматически удаляется по истечении срока.
• Доступ к серверной инфраструктуре защищён аутентификацией; журналирование операций позволяет отслеживать любые действия с данными.
• Базы данных, содержащие технические идентификаторы и сведения о платежах, размещаются на серверах в Российской Федерации.
• Резервные копии шифруются и хранятся отдельно от основной инфраструктуры.

4. Контроль доступа

• Доступ к административным интерфейсам предоставляется только Исполнителю и защищён двухфакторной аутентификацией.
• Сервис не имеет публичного интерфейса для просмотра пользовательских файлов или Результатов сторонними лицами.
• Уникальная ссылка на Результат генерируется криптографически стойким способом и не подбираема перебором.
• Передача такой ссылки третьим лицам осуществляется пользователем по собственному усмотрению и под собственную ответственность.

5. Реагирование на инциденты

В случае обнаружения инцидента информационной безопасности (несанкционированного доступа, утечки данных) Исполнитель в кратчайшие сроки принимает меры по локализации, устранению последствий и уведомлению затронутых пользователей и Роскомнадзора в порядке и сроки, установленные законодательством Российской Федерации (ч. 3.1 ст. 21 ФЗ-152).

6. Рекомендации пользователю

• Не передавайте уникальную ссылку на Результат третьим лицам, если не хотите делиться её содержанием.
• Используйте актуальные версии браузеров — это обеспечивает корректную работу современных стандартов шифрования.
• Не используйте публичные Wi-Fi сети без VPN при работе с медицинскими данными.
• При получении подозрительных писем «от LabReadAI» с просьбой ввести данные карты — это фишинг; Исполнитель никогда не запрашивает реквизиты карт по email или телефону.

7. Контакт по вопросам безопасности

Если вы обнаружили уязвимость или подозреваете инцидент безопасности, сообщите об этом по адресу: info@labreadai.com