Checkify
Доверие и безопасность

Безопасность

Checkify специально создана для снижения риска раскрытия данных: персональные данные остаются на устройстве пользователя, и компании могут проверять их, не долгосрочные хранители данных.

Меры безопасности Ответственное раскрытие информации

На этой странице описывается наш подход к обеспечению безопасности на высоком уровне. Точные меры контроля могут различаться в зависимости от требований к развертыванию и интеграции.

Принципы безопасности

Минимизация хранения данных

По умолчанию используются доказательства (например, «Старше 18»), а не необработанные личные данные. Пользователи должны явно дать согласие на любой обмен данными.

Сильная аутентификация

Идентификация, привязанная к устройству, биометрическая защита/защита PIN-кодом и ограниченные по времени токены снижают риск захвата учетной записи и повторного воспроизведения.

Эшелонированная защита

Многоуровневый контроль над хранилищем устройства, криптографией, транспортной безопасностью, защитой серверов и возможностью аудита.

Ключевые элементы управления

Создан для проверки конфиденциальности

1) Хранение на первом месте

  • Личные данные по умолчанию хранятся на устройстве пользователя.
  • Защищены с помощью безопасного хранилища ОС и механизмов блокировки устройства.
  • Доступ ограничен PIN-кодом и биометрическими проверками, если это поддерживается.

2) Криптография и целостность

  • Запросы и ответы подписываются, чтобы обеспечить защиту от несанкционированного доступа.
  • Запросы, ограниченные по времени, снижают риск повторного воспроизведения.
  • Идентификаторы ссылок обеспечивают возможность отслеживания без раскрытия ненужных данных.

3) Транспортная безопасность

  • Трафик, зашифрованный при передаче (TLS) для приложений, API и потоков информационной панели.
  • Области действия токена и короткий срок действия токена снижают риск перехвата.
  • Строгий запрос проверка и проверка подписей на стороне сервера.

4) Аутентификация и авторизация

  • Сеансы на основе JWT для APIs и доступа к бизнес-панели.
  • Ролевой доступ для бизнес-действий (например, создание запросов, просмотр журналов).
  • Бизнес-действия, привязанные к проверенной личности пользователя.

5) Готовое к аудиту журналирование

  • События включают временные метки, результаты и ссылки на запросы/ответы.
  • Предназначены для расследований и обеспечения соответствия требованиям. отчетность.
  • В журналах, где это возможно, избегаются ненужные личные данные.

6) Усиление безопасности платформы

  • Ограничение скорости и предотвращение злоупотреблений на чувствительных конечных точках.
  • Мониторинг и оповещение о необычной активности.
  • Регулярные обновления зависимостей и проверка безопасности критических потоков.

Выборочное раскрытие информации (что предприятия могут запрашивать)

Компании могут запрашивать конкретные доказательства (например, возрастной порог, место жительства, право на участие) и, при необходимости, запрашивать конкретные данные. Пользователи видят полный запрос и должны дать явное согласие, прежде чем что-либо будет передано. Checkify предназначен для поддержки потоков с приоритетом доказательства для минимизации раскрытия данных.

Угрозы, против которых мы разрабатываем

Воспроизведение и злоупотребление QR

Истекающие запросы, проверка сервера и подписанные полезные данные снижают ценность скопированных/пересылаемых кодов.

Захват аккаунта

Идентификация, привязанная к устройству + биометрические/ПИН-проверки + кратковременные токены помогают предотвратить несанкционированный доступ.

Чрезмерный сбор данных

Потоки Proof-first и явное согласие снижают вероятность хранения конфиденциальных данных там, где они не нужны.

Часто задаваемые вопросы по безопасности

Храните ли вы личные данные на своих серверах?

Checkify разработан таким образом, что личные данные по умолчанию остаются на устройстве пользователя. Если данные на стороне сервера необходимы по оперативным причинам (например, события аудита, запросы ссылок), мы сводим к минимуму личные данные и концентрируемся на доказательствах и метаданных.

Может ли компания запросить конкретные данные пользователя?

Да — компании могут запросить конкретные доказательства и, при необходимости, конкретные данные. Пользователи просматривают каждый запрос и должны дать явное согласие, прежде чем что-либо будет передано.

Как предотвратить несанкционированный доступ?

Запросы и ответы разрабатываются таким образом, чтобы их можно было криптографически проверить, они ограничены по времени и проверены получателем. Это делает подделку обнаруженной и снижает ценность воспроизведения.

Ответственное раскрытие информации

Если вы считаете, что обнаружили уязвимость безопасности, сообщите об этом ответственно. Мы оперативно рассмотрим отчеты и будем работать с вами над проверкой и устранением проблем.

Как сообщить о проблемах

  • Электронная почта: security@checkify.me (рекомендуется)
  • Включите шаги по воспроизведению, воздействию и любые подтверждающие доказательства
  • Пожалуйста, избегайте доступа к реальным пользовательским данным и их изменения.

Что происходит дальше

  • Мы подтверждаем получение и сортируем отчет
  • Мы проверяем, исправляем и внедряем меры по снижению риска, если это необходимо
  • При необходимости мы можем координировать сроки публичного раскрытия информации

У вас еще нет специального электронного письма для обеспечения безопасности? Замените его контролируемым адресом, который вы контролируете.