Политика информационной безопасности
Меры, принимаемые платформой ctf.eh.su для обеспечения безопасности операций с банковскими картами и защиты персональных данных.
Общие положения
Настоящая Политика описывает меры, принимаемые платформой ctf.eh.su для обеспечения безопасности операций с использованием банковских карт и защиты персональных данных пользователей.
Порядок оплаты и безопасность платежей
Оплатить взнос можно банковскими картами платёжных систем Visa, Mastercard и МИР. Для оплаты вы будете перенаправлены на защищённый сервер платёжной системы Unitpay.
Платёжная система Unitpay обладает подтверждённым сертификатом соответствия требованиям стандарта PCI DSS в части хранения, обработки и передачи данных держателей карт. Стандарт PCI DSS поддерживается международными платёжными системами Visa, Mastercard, МИР. Система Unitpay является участником программы непрерывного соответствия Compliance Control PCI DSS Compliance Process (P.D.C.P.).
Ваши конфиденциальные данные (реквизиты карты) не поступают на серверы платформы ctf.eh.su — их обработка производится исключительно на стороне процессингового центра Unitpay и полностью защищена.
Технология 3D-Secure
Если ваша банковская карта подключена к услуге 3D-Secure (Verified by Visa / Mastercard SecureCode / МИР Accept), вы будете автоматически перенаправлены на страницу банка-эмитента для прохождения дополнительной аутентификации. Информацию о методах аутентификации уточняйте в банке, выдавшем карту.
Меры безопасности платформы
- HTTPS (TLS 1.2/1.3): все данные передаются по зашифрованному каналу. SSL-сертификат выдан Let's Encrypt;
- Хэширование паролей: пароли хранятся исключительно в виде хэша (bcrypt), восстановление исходного пароля невозможно;
- Защита от CSRF: все формы защищены токенами для предотвращения межсайтовой подделки запросов;
- Изоляция файлов: загруженные файлы (чеки, аватары) хранятся в директориях, недоступных для прямого обращения через браузер;
- Ограничение доступа: конфигурационные файлы заблокированы на уровне веб-сервера;
- Валидация данных: все входящие данные проходят серверную валидацию для предотвращения SQL-инъекций и XSS-атак.
Рекомендации пользователям
- используйте надёжный уникальный пароль для учётной записи;
- не сообщайте свои учётные данные третьим лицам;
- при оплате убедитесь, что в адресной строке отображается
https://unitpay.ru; - не производите оплату с общедоступных устройств;
- при подозрении на несанкционированный доступ немедленно смените пароль и обратитесь в поддержку.
Сообщение об уязвимостях
Если вы обнаружили уязвимость в инфраструктуре платформы (не в соревновательном задании), сообщите об этом на admin@eh.su с темой «Security». Обращение будет рассмотрено в течение 48 часов.
Соревновательные задания (уязвимые сайты) специально созданы для взлома в рамках соревнования. Их взлом не является нарушением и поощряется.