Експорт на лични данни
Всеки потребител може да поиска пълен експорт на собствените си данни направо от приложението — без email до поддръжка, без формуляри. JSON формат, който се чете и от хора, и от програми. (GDPR чл. 15 + 20)
Сигурност
Изпити с лични данни.
Сигурност не е по избор.
Прозрачен преглед на архитектурата, GDPR съвместимостта и сигурностните мерки. Така вашето училище може да вземе добре информирано решение.
Архитектура
Слоеста защита от устройството до базата
01
Устройство на потребителя
Native приложение или web браузър — с криптирана връзка от първия байт.
02
Криптиране на връзката
Цялата комуникация се шифрова. Сертификатите се обновяват автоматично преди изтичане.
03
Защита от прекомерен трафик
На всеки тип заявка има лимит. Защита срещу автоматизирани атаки и прекомерно натоварване.
04
Сървър за приложението
Безопасно повторно подаване, контрол на достъпа според ролята, записване на чувствителните действия.
05
База данни
Изолирана среда с автентикация. Ежедневен снимков архив, възстановяване по всяка минута от деня.
06
Управление на сесии
Една активна сесия на потребител. При нов вход — старите се прекратяват автоматично.
GDPR
Самообслужване в приложението
Не правим GDPR като последваща мисъл. Самообслужващи се инструменти за експорт и изтриване — директно от приложението. Без email до поддръжка, без бюрократични форми.
Заявка за изтриване
Потребителят инициира изтриване на акаунта си от настройките. Заявката минава кратко одобрение за audit цели. При одобрение — пълно каскадно изтриване на всички лични данни. (GDPR чл. 17)
Право на достъп
Потребителят вижда какви данни съхраняваме за него — имена, имейл, оценки, изпити, файлове. Прозрачно, в JSON експорт. (GDPR чл. 15)
Минимизиране на данни
Не събираме излишни данни. Не правим tracking, не fingerprinting, не рекламно поведение. Само това, което е необходимо за работата на изпита.
Договор за обработка на данни
Стандартен DPA шаблон за всяко училище-клиент. Дефинира роли (controller, processor), цели на обработка, периоди на съхранение, политика за изтриване.
Известяване при инцидент
При сигурностен инцидент — в рамките на 72 часа уведомяваме засегнатите училища с детайли: какво се случи, какви данни са засегнати, какви мерки сме взели. (GDPR чл. 33)
Операционна сигурност
Защита в реална употреба
Криптирани връзки навсякъде
Целият трафик се шифрова с модерни протоколи. По-старите версии са изключени. Сертификатите се обновяват автоматично 30 дни преди изтичане.
Лимити срещу прекомерен трафик
На всеки тип заявка — основно API, файлове, управление — има отделни лимити. Защита от brute force и прекомерно натоварване.
Заключване по IP
По избор: училището може да заключи изпитите си само за IP адресите от собствената си мрежа. Ученикът не може да полага от вкъщи, дори да е логнат.
Една активна сесия
При нов вход за същия потребител, всички предишни сесии се прекратяват автоматично. Защита срещу споделени credentials.
Безопасно повторно подаване
Подаването на изпит е защитено от дублиране. Дори когато мрежата накара клиента да повтори много пъти, отговорите стигат до сървъра еднократно.
Прозрачност за всичко важно
Всяко чувствително действие се записва — кой го е направил, кога, върху какво. Директорът на училището вижда историята на всичко в рамките на училището. Записите не се изтриват.
Архиви
Тествани архиви, не просто скрипт
Архив без тестван процес за възстановяване е като парашут, който никога не сте отваряли. Правим периодични тестови възстановявания — възстановяваме на тестова среда, потвърждаваме че данните са пълни и консистентни.
- Ежедневен снимков архив на цялата база
- Компресирани, със 30-дневна история
- Възстановяване по всяка минута от деня
- Тестван процес на възстановяване — не само архивиране
- Архив преди всеки production deployment
- По избор: външен архив на отделна локация
GDPR
Самообслужваща съвместимост
Шифр.
Криптирани връзки навсякъде
24ч
Минимална история на архивите
100%
Записани чувствителни действия
Имате конкретни изисквания?
Свържете се за подробен преглед на сигурността или за DPA шаблон.
Свържете се с нас