目标型号
新的RESTART站点应设计为安全的企业平台:
L0 — 基础设施安全 L1 — 站点防御/应用程序安全 L2 — 152-FZ 合规性 L3 — AI 治理 L4 — 事件调查 运营 — 监控、备份、自我修复、审计L0 - 基础设施
TLS 1.2/1.3、自动续订证书、HSTS 预加载、带有 OWASP CRS 的 WAF、防火墙默认拒绝、仅 SSH 密钥、Fail2Ban/CrowdSec、事件日志记录、可用性监控、漏洞扫描、文件完整性监控、加密备份、恢复演练、生产/暂存/开发隔离、在存储库外部存储机密。
L1 - Web应用程序保护
基于Nonce的CSP、HSTS、X-Content-Type-Options、X-Frame-Options或frame-ancestors、Referrer-Policy、Permissions-Policy、CSRF、每个端点速率限制、反机器人、模式验证、清理输入/文件名、安全上传、CORS白名单、安全重定向、日志中没有个人数据、管理界面的MFA/RBAC。
L2 - 152-FZ 合规性
PD 政策、同意 PD、不存在 Cookie 和跟踪器的政策、DSAR 表格、处理目的登记册、同意日志、检查不存在 Cookie 和跟踪器的日志、存储期限、删除/去个性化机制、PD 操作的审核日志、检查 RKN 的通知、定期 152-FZ 检查、24/72 小时响应事件的规定。
L3 — AI Governance
对于人工智能功能:人工智能系统的注册、目标的描述、个人数据使用的指示、禁止无正当理由将个人数据转移到外部人工智能模型、防止数据泄露的提示、RAG隐私控制、带屏蔽的人工智能日志、DPIA和人类参与重大决策。
L4——事件调查
Detect → Triage → Classify → Contain → Notify → Investigate → Report → Remediate有必要提供严重性评分、“是/否 PD”分类、在 24 小时内准备向 RKN 发出的通知、在 72 小时内提供内部调查报告、证据追踪、事件后补救和更新风险登记册。
前端组件
/components/legal/PrivacyPolicyLink.tsx /components/legal/ConsentCheckbox.tsx /components/legal/NoCookieNotice.tsx /components/security/NoThirdPartyTrackerGate.tsx /components/forms/SecureLeadForm.tsx /components/forms/SecureVacancyForm.tsx /components/forms/SecurePartnerForm.tsx /components/dsar/DsarRequestForm.tsx /components/company/ItAccreditationInfo.tsx /components/company/TechnologyDisclosure.tsx /components/company/PricingPrinciples.tsx后端模块
services/legal-documents services/forms services/consents services/no-cookie-audit services/dsar services/processing-registry services/audit-events services/incidents services/ai-governance services/notifications services/rkn-check最小数据库结构
legal_documents consent_events no_cookie_audit form_submissions dsar_requests processing_registry audit_events incident_events ai_system_registry external_processors retention_rulesAcceptance criteria
| 堵塞 | 准备就绪标准 |
|---|---|
| Legal | 所有文件均已发布且无需注册即可使用 |
| Consent | 所有表格都有单独的复选框和同意日志 |
| Cookie | 该网站不提供 Cookie、分析、营销和像素 |
| DSAR | PD 主题申请表正在运行 |
| Security | 启用 CSP/HSTS/速率限制/CSRF/架构验证 |
| Logs | 日志中没有开放的电话号码、电子邮件、全名 |
| Encryption | 数据库中的PD经过加密或同等措施保护 |
| RKN | 已准备好目标登记册以通知 RKN |
| Incident | 有 24/72 小时时间表 |
| IT accreditation | 有一个有关 IT 组织的开放信息页面 |
| AI | 所有AI功能均包含在AI系统注册表中 |
Footer
LLC“RESTART”OGRN 5157746164703 · INN 9705056320 · KPP 770501001 115054,莫斯科,vn.ter.g。市辖区 Zamoskvorechye, st. Bolshaya Pionerskaya,40 号,1 号楼,场地。 1Н 电子邮箱:info@restart.re · 电话: 个人数据处理政策 · 同意处理个人数据 · 不使用 cookie 和跟踪器 · 个人数据主体的申请 · 有关 IT 认证组织的信息 · 有关所使用技术的信息 · 有关服务成本的信息监管框架和来源
该文件的编写考虑了:
- 2006 年 7 月 27 日第 152-FZ 号联邦法“关于个人数据”;
- 艺术。 18.1 152-FZ - 发布个人数据处理政策以及有关个人数据保护实施要求的信息;
- 艺术。 22 152-FZ - Roskomnadzor 关于个人数据处理的通知;
- 艺术。 21 152-FZ - 在 24/72 小时内向 Roskomnadzor 发出有关 PD 事件的通知;
- 俄罗斯数字发展部于 2025 年 6 月 2 日发布的第 511 号命令,关于俄罗斯 IT 组织官方网站的附加要求;
- LLC“RESTART”法人实体统一国家登记册的最新摘录,日期为 2026 年 5 月 16 日,编号为 YuE9965-26-89588541;
- 用于定期站点检查、同意日志、检查是否存在 cookie 和跟踪器、DSAR 和人工智能治理的内部模型。
该文档必须保持最新,并通过处理个人数据、使用的服务、托管、CRM、分析、邮件和人工智能工具的实际流程进行验证。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
