БЕЗОПАСНОСТЬ ДАННЫХ

Где хранятся данные пациентов.
Кто их видит. Что вы получаете при отключении.

Без маркетинговых формулировок. Конкретные технологии, конкретные ФЗ, конкретные процедуры. Серверы только в РФ — Yandex Cloud, Москва, УЗ-2 для медицинских данных.

АРХИТЕКТУРА

От браузера администратора до диска в Москве — 5 слоёв защиты

Каждый слой делает ровно одну вещь и проверяется отдельно. Если хоть один даёт сбой — следующий должен удержать.

Браузер администратора / врача

HTTPS-only (TLS 1.2+). Сессионный токен в HttpOnly-cookie с SameSite=Strict — недоступен JavaScript-у на странице, защита от XSS-кражи сессии.

↓

Edge-слой (TLS terminator)

Yandex Cloud Application Load Balancer. Принимает только HTTPS, отбрасывает HTTP. Rate limit 5 попыток логина / минуту с одного IP — защита от brute-force.

↓

Backend (FastAPI)

JWT-подписанный токен с tenant_id и ролью. Каждый запрос пропускается через RBAC-policy (Владелец / Администратор / Врач) и tenant-scope guard — ваша клиника физически не может прочитать данные другой клиники.

↓

PostgreSQL Managed (Yandex Cloud)

Multi-tenant изоляция через tenant_id во всех таблицах + tenant-scope helper в коде. Пароли пользователей PBKDF2-SHA256 с уникальной солью. Ежедневные резервные копии шифруются и хранятся в РФ.

↓

Аудит-лог (152-ФЗ ст. 19)

Каждое открытие карты пациента, изменение записи приёма, экспорт данных — записывается в неизменяемый журнал: кто, когда, с какого IP, что изменил. Доступ к журналу — только владелец клиники.

ИНФРАСТРУКТУРА

Где физически лежат данные ваших пациентов

Не «в облаке». Не «у партнёра». Конкретные дата-центры на территории РФ — это требование 152-ФЗ ст. 18 п. 5 для персональных данных российских граждан.

PRIMARY

Yandex Cloud · Москва

Дата-центр Yandex Cloud в Москве. Сертификация УЗ-2 (специальный уровень для медицинских данных). Compliance-pack 152-ФЗ.

· Managed PostgreSQL (база данных)
· Object Storage (файлы и резервные копии)
· Application Load Balancer (TLS terminator)
· Compute Cloud (backend FastAPI)

BACKUP

Off-site backup в РФ

Резервная копия ежедневно реплицируется во второй ЦОД на территории РФ. Все backup-ы шифруются на уровне приложения перед записью.

· Полный pg_dump каждые 24 часа
· Шифрование AES-256 перед отправкой
· Хранение 30 дней (можно расширить по запросу)
· Регулярные drill-восстановления

Что это значит для проверки Росздравнадзора: можем по запросу предоставить договор с Yandex Cloud, документы о сертификации УЗ-2 и схему хранения. Все эти бумаги нужны, если к вам приходят с проверкой.

ДОСТУП

Кто и как видит данные пациентов

Принцип минимальной видимости: каждая роль внутри клиники видит ровно то, что нужно для её работы.

Роль	Что видит	Чего НЕ видит
Владелец клиники	Все данные клиники, все аудит-логи, все финансы	Данные других клиник на платформе
Администратор	Расписание, контакты пациентов, статусы визитов	Содержание ЭМК, медицинские диагнозы пациентов других врачей
Врач	Свои визиты, ЭМК своих пациентов, история процедур	ЭМК пациентов других врачей (если не на совместном приёме)
Сотрудники MedPlatform	Технические логи, метаданные, ничего из ПДн пациентов	Имена, телефоны, диагнозы пациентов клиник

Сотрудник MedPlatform может получить доступ к ПДн пациента только по письменному запросу владельца клиники (например, при техническом инциденте) — и каждый такой доступ записывается в аудит-лог, видимый владельцу.

ЮРИДИЧЕСКАЯ РАМКА

Чем подкрепляется compliance

Не «соответствует 152-ФЗ» абстрактно. Конкретные документы, статьи, процедуры.

Договор-поручение на обработку ПДн

Подписывается между ООО «Медплатформа» (процессор) и вашей клиникой (оператор) при подключении пилота. По 152-ФЗ ст. 6 п. 3.

Шаблон высылается до пилота для согласования вашим юристом.

Согласие пациента на спецкатегорию ПДн

Состояние здоровья — специальная категория по 152-ФЗ ст. 10. Шаблон согласия встроен в платформу — пациент подписывает при первом визите.

Электронное согласие = действительное; бумажный вариант тоже доступен.

Политика обработки ПДн

Опубликована на /privacy.html. Включает цели обработки, категории субъектов, сроки хранения, способы уничтожения.

Обновляется при изменении продукта. История версий доступна по запросу.

Регистрация в РКН

ООО «Медплатформа» регистрируется в Реестре операторов ПДн Роскомнадзора. По 152-ФЗ ст. 22.

Номер реестра будет публично указан после регистрации.

ВЫХОД

Что произойдёт с данными при отключении

Не «обсудим скидку». Не «подождите менеджера». Не «пришлите запрос — рассмотрим». Конкретный процесс, прописанный в договоре.

DAY 1

Вы инициируете отключение

Через UI («Отключить пилот» в настройках) или письмом владельца на info@med-platform-ai.ru. Подтверждение отключения — в течение 1 рабочего дня.

DAY 1–2

Полная выгрузка данных в CSV

Пациенты, визиты, ЭМК, протоколы инъекций, аудит-лог — всё в архивированном CSV/JSON. Структура совместима с импортом в любую другую МИС или в Excel.

DAY 2–32

Резервный период (30 дней)

Backup хранится 30 дней — на случай если вы найдёте, что что-то не выгрузилось, или передумаете возвращаться. Можно продлить до 1 года по письменному запросу.

DAY 32+

Безвозвратное удаление

Данные клиники физически удаляются из всех баз и backup-копий по требованиям 152-ФЗ ст. 21. Письменное подтверждение удаления высылается на email владельца.