ScoutAtlas
Юридическое · краткие резюме простым языком над каждым разделом

Scout Atlas юридическое.

Сначала простой язык, потом формальный. Мы относимся к юридическим страницам как к продуктам — читаемым, версионированным и честным относительно того, что мы делаем и чего не делаем.

Plain summary

Мы относимся к безопасности как к продуктовой фиче. На этой странице — суб-обработчики, SLA по инцидент-респонсу и правила программы раскрытия уязвимостей. Текстовый нарратив — на публичной странице безопасности.

Суб-обработчики

Мы уведомляем админов аккаунтов минимум за 30 дней до любого изменения списка суб-обработчиков. Live-список зеркалируется на /security/sub-processors.json.

  • Supabase — БД Postgres, аутентификация, row-level security. Регион ЕС для европейских клубов, регион США — по запросу.
  • Vercel — хостинг приложения и edge-доставка для маркетингового сайта и аутентифицированной оболочки.
  • Stripe — обработка платежей для self-serve пробников. PCI-DSS Level 1.
  • Resend — транзакционные письма (magic-link, уведомления аккаунта, дайджесты).
  • Cloudflare — DNS и защита от DDoS.

Инцидент-респонс

  • Детекция. Алерты в реальном времени по аномалиям аутентификации, всплескам ошибок и паттернам доступа к БД. Ротация founder-on-call 24/7.
  • Триаж. Серьёзность классифицируется в течение 30 минут (S1/S2/S3) по публичному ранбуку.
  • Раскрытие. Затронутые клубы уведомляются в течение 72 часов с момента подтверждения инцидента, касающегося их данных, с техническими деталями.
  • Post-mortem. Письменный post-mortem публикуется затронутым клубам в течение 14 дней с действиями по исправлению и сроками.

Раскрытие уязвимостей

Мы ведём открытую программу. Пишите на security@scoutatlas.co с шагами воспроизведения и (где применимо) PoC-нагрузкой.

  • Подтверждаем получение в течение 48 часов.
  • Берём на себя сроки исправления в течение 7 дней, масштабированные по серьёзности.
  • Указываем исследователей в changelog, когда патчи отгружены — с разрешения.
  • Обязуемся не предъявлять юридических претензий добросовестным исследователям, соблюдающим правила программы.

Вне области

Следующее явно вне области программы: атаки denial-of-service, социальная инженерия персонала, уязвимости в сторонних сервисах, уже публично раскрытые, и тестирование физической безопасности.

Шифрование

  • TLS 1.3 в транзите, только современные cipher-suite, HSTS preload.
  • AES-256-GCM на покое для чувствительных колонок.
  • End-to-end шифрование сообщений Deal Room с per-room ключами, которые мы не можем читать.
  • Per-club key envelope для opt-in приватных потоков (GPS, биометрия, медицинские).

Аудиты

  • Аудит готовности SOC 2 Type II — Q4 2026.
  • Независимый пентест — ежегодно со второго года (2027).
  • Квартальный внутренний обзор прав доступа и аудит-логов.

Оператор: Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (“Oney AŞ”), акционерное общество, учреждённое по законодательству Турецкой Республики, с зарегистрированным офисом в Стамбуле, Турция.

Последнее обновление · 5 мая 2026 · контакт: legal@scoutatlas.co