Сигурност
Сигурност и доверие
Кратко и честно описание на това какво правим, за да пазим данните за вашите превозни средства - инфраструктура, контроли и спазвани стандарти. Без маркетингови празни приказки.
Контроли в продукция
Кратко описание на това какво реално работи днес. Същите отговори, които даваме и в security questionnaires.
Encryption in transit
TLS via Let's Encrypt for all web traffic. The Codec 8E ingest socket on port 5027 runs in a private network segment, and tracker traffic over 1NCE SIMs is constrained to our endpoint.
Per-tenant database isolation
Each customer workspace lives in its own MariaDB 11.4 database. A workspace cannot read or write any other workspace's data at the database level, not just at the application level.
EU hosting on Hetzner
The application and GPS ingest listener run on a Hetzner Cloud CPX22 instance in Nuremberg, Germany. Hetzner data centres are ISO/IEC 27001 certified. Data does not leave the EU.
Daily backups
Full application and database backups run daily and are retained for 14 days. Backups are encrypted at rest. We test restore procedures regularly.
Hashed passwords + MFA on admin
User passwords are stored with bcrypt. Time-based two-factor authentication is available to all users and required for super-admin (/bss) accounts.
Role-based access control
Granular permissions inside each workspace. Vehicles can be shared read-only via tokenised links. Audit logging records every administrative action.
Segregated OS users
The application runs under a non-root user managed by CloudPanel. Database, web and queue workers run with the minimum privileges they need.
Secrets out of source control
Credentials and API keys live in environment variables on the server, never in git. Access to the production server is keyed and limited to named operators.
CSRF + rate limiting
CSRF tokens on every state-changing form. Login, register and contact endpoints are rate-limited to slow credential-stuffing and abuse attempts.
Audit logging
Administrative actions, logins and security-relevant events are written to a tamper-evident audit log retained for at least 12 months.
Съответствие
Какво покриваме спрямо стандартите, за които процуръмънт екипите питат. Не твърдим това, което не държим.
| Стандарт / рамка | Статус | Бележки |
|---|---|---|
| EU GDPR | Compliant | Действаме като processor за клиентските данни. Готов DPA за подпис. |
| Закон за защита на личните данни (БГ) | Compliant | Локални задължения покрити. Регистрация в КЗЛД. |
| ISO/IEC 27001 (хостинг) | Inherited | Data центровете на Hetzner Cloud са ISO 27001 сертифицирани. |
| SOC 2 Type I (SimpleGPS) | Планирано | Цел: в рамките на 12 месеца. |
| PCI-DSS | Не е в обхват | Картовите данни се обработват изцяло от Revolut Business. Ние никога не виждаме номера на карти. |
Доверен стек
Доставчиците зад услугата. Пълният списък и ролите им - в subprocessors.
Документи
Готови за прикачване към procurement папка.
- Data Processing Addendum (DPA)Готов за подпис.
- SubprocessorsДоставчиците, с които споделяме данни.
- Политика за поверителностКакво събираме и защо.
- SLAUptime и срокове за отговор.
- Acceptable UseКакво е разрешено и какво не.
- Общи условияТърговски условия.
- Service DescriptionКакво прави услугата и как се доставя.
Контакт
Въпроси за сигурност, докладване на уязвимости или съдействие за procurement.
- Запитвания
- support@simplegps.bg
- Уязвимости
- support@simplegps.bg
- SLA за отговор
- 48 часа, работни дни
- Disclosure прозорец
- 90 дни, координирано