Безопасность данных
UMAI Health работает с данными пациентов. Ниже — технические и организационные меры защиты.
Шифрование
Данные шифруются AES-256 в состоянии покоя (at rest) и передаются по TLS 1.3 (in transit). Сертификаты обновляются автоматически; HSTS включён для всего домена.
Изоляция клиник
Каждая клиника — изолированный арендатор. На уровне СУБД PostgreSQL включён Row Level Security: врач одной клиники физически не может запросить данные другой клиники, даже если попробует.
Резервные копии
Ежедневные автоматические бэкапы базы данных и хранилища документов. Текущий retention — 30 дней (уточняется по запросу клиники в договоре).
Журнал аудита
Каждый доступ к персональным данным пациента записывается: кто, когда, к какому разделу карты. Журнал недоступен для удаления даже администратору клиники.
Соответствие законодательству
Платформа построена в соответствии с Законом Республики Казахстан «О персональных данных и их защите» (№ 94-V от 21 мая 2013 года). Обработка данных пациентов ведётся на основании их согласия (или согласия родителя — для детей).
Локализация данных
По умолчанию данные клиентов хранятся на серверах в ЕС. Для клиник, которым требуется хранение данных на территории Казахстана, доступен вариант развёртывания на локальных серверах РК — обсуждается на этапе договора.
Технические контроли
| Контроль | Реализация |
|---|---|
| Аутентификация | Supabase Auth + magic links / SMS (2FA опционально) |
| Управление ролями | RBAC: мама, папа, координатор, врач, руководитель |
| Пароли и токены | Bcrypt-хеширование; ротация refresh-токенов |
| DDoS / брут-форс | Rate-limiting на API; WAF на уровне CDN |
| Уязвимости | Еженедельный scan зависимостей; patch-релизы в течение 72 часов |
Частые вопросы
Передаются ли данные третьим лицам?
Нет, кроме случаев, предусмотренных законом. Данные пациента принадлежат клинике; UMAI Health — оператор обработки. Мы не продаём данные и не используем их для рекламы.
Что происходит при разрыве договора с клиникой?
Данные пациентов передаются клинике в экспорте (CSV + PDF документы) и удаляются с наших серверов в течение 30 дней.
Как мама может удалить свои данные?
Через кабинет: «Настройки → Удалить аккаунт». Удаление — безвозвратное; данные анонимизируются в медицинской истории клиники согласно требованиям хранения медкарт.
Контакт DPO
По вопросам обработки персональных данных пишите на security@umai-health.kz. Ответ — в течение 3 рабочих дней.