Содержание:

• Использование капчи
• Лимиты доступа
• Защита от DDoS-атак и взлома

Использование капчи

Для защиты от взлома авторизация клиента в Личном кабинете на сайте защищена невидимой капчей. Участнику Программы лояльности (ПЛ) нет необходимости вводить какие-то символы из искаженной строки или выставлять флаг «Я не робот», т.к. невидимая капча самостоятельно распознает его поведение и, в случае подозрительных действий (например, последовательного ввода неверных авторизационных данных), выдает стандартные задания для проверки (распознавание текста, картинок и пр.).

Данный механизм позволяет защитить Систему от несанкционированного доступа компьютерных ботов и в то же время не доставляет неудобств реальным пользователям. Для настройки капчи достаточно зарегистрировать свой сайт на официальном ресурсе Google и подключить плагин капчи, указав в настройках полученные при регистрации ключи капчи.

Лимиты доступа

В cистеме Loymax предусмотрен ряд ограничений, блокирующих многократно повторяющиеся действия со стороны пользователей. Данные ограничения позволяют защитить Систему от атак взломщиков и включают:

• ограничение на количество регистраций и авторизаций в Личном кабинете с одного IP-адреса;
• ограничение на количество попыток ввода пароля при идентификации пользователя;
• ограничение на количество попыток смены пароля и номера телефона;
• ограничение на количество попыток запроса и ввода кода подтверждения;
• ограничение на количество попыток замены карты.

Настройка лимитов доступна в административной панели АРМ. Для каждого лимита можно задать:

• граничное значение,
• период времени, в течение которого ведется подсчет действий пользователя,
• время блокировки с точностью до минут.

Кроме того, для каждого лимита можно настроить отправку уведомления, информирующего о срабатывании ограничения, чтобы администратор, например, смог своевременно отреагировать на несанкционированные действия в Системе.

Список особо важных лимитов представлен в разделе Лимиты.

Защита от DDoS-атак и взлома

• Защита на базе платформы Qrator ограждает Систему Loymax от атак типа "распределенный отказ в обслуживании", когда злоумышленники выводят из строя систему потоком запросов.
• Защита веб-приложений от взлома осуществляется специальным сервисом AntiBot, который проводит многофакторный анализ данных о трафике и блокирует любую нежелательную автоматизированную активность. Сервис защищает от парсеров, сканеров уязвимостей, утилит для целевых атак (включая атаки нулевого дня), массовых регистраций, других атак на бизнес‑логику приложений и угроз из списка OWASP Automated Threats to Web Applications.
• Ведется постоянный аудит, логирование и мониторинг работы сервера и доступности к сервисам Системы.
• Специальный сервис Центр мониторинга и реагирования на инциденты ИБ (Security Operation Center) осуществляет постоянный мониторинг и проактивное предотвращение угроз, анализ вторжений и инцидентов безопасности.
• Все данные хранятся в дата-центре, соответствующему стандарту Uptime Institute Tier III: Operational Sustainability (статус Silver), со строгим пропускным режимом и круглосуточной охраной.