Сигурност и доверие
Кратко и честно описание какво правим, за да пазим данните за вашите превозни средства - инфраструктура, контроли и стандарти. Без маркетингови празни приказки.
Какво реално работи в продукция
Без полу-истини. Същите отговори, които даваме и при security questionnaires от корпоративни клиенти.
Encryption in transit
TLS via Let's Encrypt for all web traffic. The Codec 8E ingest socket on port 5027 runs in a private network segment, and tracker traffic over 1NCE SIMs is constrained to our endpoint.
Per-tenant database isolation
Each customer workspace lives in its own MariaDB 11.4 database. A workspace cannot read or write any other workspace's data at the database level, not just at the application level.
EU hosting on Hetzner
The application and GPS ingest listener run on a Hetzner Cloud CPX22 instance in Nuremberg, Germany. Hetzner data centres are ISO/IEC 27001 certified. Data does not leave the EU.
Daily backups
Full application and database backups run daily and are retained for 14 days. Backups are encrypted at rest. We test restore procedures regularly.
Hashed passwords + MFA on admin
User passwords are stored with bcrypt. Time-based two-factor authentication is available to all users and required for super-admin (/bss) accounts.
Role-based access control
Granular permissions inside each workspace. Vehicles can be shared read-only via tokenised links. Audit logging records every administrative action.
Segregated OS users
The application runs under a non-root user managed by CloudPanel. Database, web and queue workers run with the minimum privileges they need.
Secrets out of source control
Credentials and API keys live in environment variables on the server, never in git. Access to the production server is keyed and limited to named operators.
CSRF + rate limiting
CSRF tokens on every state-changing form. Login, register and contact endpoints are rate-limited to slow credential-stuffing and abuse attempts.
Audit logging
Administrative actions, logins and security-relevant events are written to a tamper-evident audit log retained for at least 12 months.
Какво покриваме
Спрямо стандартите, за които процуръмънт екипите питат. Не твърдим това, което не държим.
| Стандарт | Статус | Бележки |
|---|---|---|
| EU GDPR | Съответства | Действаме като processor за клиентските данни. Готов DPA за подпис. |
| Закон за защита на личните данни (БГ) | Съответства | Локални задължения покрити. Регистрация в КЗЛД. |
| ISO/IEC 27001 (Хостинг) | Наследено | Data центровете на Hetzner Cloud са ISO 27001 сертифицирани. |
| SOC 2 Type I (SimpleGPS) | Планирано | Цел: в рамките на 12 месеца. |
| PCI-DSS | Не е в обхват | Картовите данни се обработват изцяло от Stripe - не виждаме номера на карти. |
За procurement папка
- Споразумение за обработка на данни (DPA)Готов за подпис
- ПодизпълнителиДоставчиците, с които споделяме данни
- Политика за поверителностКакво събираме и защо
- SLAUptime и срокове за отговор
- Политика за допустимо ползванеКакво е разрешено
- Общи условияТърговски условия
- Описание на услугатаКакво прави услугата и как се доставя
Контакт
Въпроси за сигурност, докладване на уязвимости или съдействие за procurement.
- Запитвания
- support@simplegps.bg
- Уязвимости
- support@simplegps.bg
- SLA за отговор
- 48 часа, работни дни
- Disclosure прозорец
- 90 дни, координирано