Безопасность платформы
Меры защиты данных, средств и цифровых активов пользователей. Узнайте, как Платформа Lootly обеспечивает безопасность на всех уровнях.
Последнее обновление: 28 июня 2026 года
1. Подход к безопасности
Безопасность пользователей - один из главных приоритетов Платформы Lootly. Мы выстраиваем многоуровневую систему защиты, которая обеспечивает сохранность ваших данных, средств и цифровых активов на всех этапах работы с площадкой - от регистрации до завершения сделки.
Lootly - маркетплейс цифровых товаров (игровые аккаунты, ключи активации, подписки, внутриигровые предметы). Поскольку через площадку проходят как персональные данные, так и денежные средства пользователей, мы применяем комплекс организационных и технических мер защиты, соответствующих применимым требованиям о защите данных.
1.1 Принципы безопасности
| Принцип | Описание |
|---|---|
| Эшелонированная защита | Несколько независимых уровней защиты данных и средств |
| Минимум доверия | Каждый запрос проходит проверку подлинности и прав доступа |
| Минимальные привилегии | Доступ предоставляется только в объёме, необходимом для задачи |
| Безопасность по умолчанию | Защитные механизмы заложены в архитектуру платформы |
| Безопасный отказ | При сбое система блокирует операцию, а не пропускает её |
1.2 Область применения
Меры безопасности, описанные в настоящем документе, распространяются на основной сайт Платформы Lootly, а также на витрины официальных партнёров Lootly. Партнёрские витрины работают на той же инфраструктуре и под теми же мерами защиты, что и основная площадка.
2. Шифрование данных и трафика
2.1 Шифрование при передаче
Весь трафик между вашим устройством и Платформой Lootly передаётся по защищённому соединению с использованием протокола TLS. Это исключает перехват и подмену данных в процессе передачи.
| Механизм | Назначение |
|---|---|
| TLS-шифрование | Защита всех соединений с платформой |
| Принудительный HTTPS | Автоматический перевод соединений на защищённый протокол |
| Современные шифры | Используются только актуальные криптографические алгоритмы |
| Прямая секретность (PFS) | Компрометация ключа не раскрывает прошлые сессии |
2.2 Шифрование при хранении
Конфиденциальные данные пользователей хранятся в зашифрованном виде. Доступ к ключам шифрования строго ограничен и контролируется.
- Персональные и чувствительные данные шифруются на уровне хранилища
- Платёжные реквизиты не хранятся в открытом виде
- Резервные копии и журналы защищаются шифрованием
- Ключи шифрования периодически ротируются
2.3 Хранение паролей
Защита паролей:
- Пароли никогда не хранятся в открытом виде
- Для хранения применяется криптографическое хеширование (bcrypt) с индивидуальной солью для каждого пользователя
- Исходный пароль невозможно восстановить из хеша - даже сотрудники платформы не имеют доступа к паролям пользователей
- Проверка пароля происходит путём сравнения хешей
3. Защита аккаунта
Защита вашего аккаунта - совместная задача платформы и пользователя. Мы предоставляем надёжные инструменты, а вы выбираете удобные для себя методы входа и дополнительной защиты.
3.1 Методы входа
| Метод | Описание |
|---|---|
| Email и пароль | Классический вход с надёжным паролем |
| Passkey / WebAuthn | Беспарольный вход по биометрии или аппаратному ключу |
| Google (OAuth) | Вход через проверенный аккаунт Google |
| Telegram | Вход через привязанный аккаунт Telegram |
3.2 Двухфакторная аутентификация (2FA)
Двухфакторная аутентификация добавляет дополнительный уровень защиты: даже если пароль станет известен третьим лицам, для входа потребуется второй фактор.
- Поддержка одноразовых кодов из приложений-аутентификаторов (TOTP)
- Резервные коды восстановления для аварийного доступа
- Уведомления о входе с новых устройств
3.3 Passkey и WebAuthn
Преимущества Passkey:
- Устойчивость к фишингу - ключ привязан к домену и не работает на поддельных сайтах
- Удобство - вход по отпечатку, распознаванию лица или аппаратному ключу
- Без пароля - исключается утечка и перебор пароля
- Поддержка современных платформ и аппаратных ключей стандарта FIDO2
3.4 Надёжные пароли
Рекомендации по составлению пароля:
- Используйте уникальный пароль, который не применяется на других сайтах
- Длина от 12 символов, сочетание букв разного регистра, цифр и символов
- Не используйте легко угадываемые комбинации и личные данные
- Храните пароли в проверенном менеджере паролей
3.5 Управление сессиями
Доступ к платформе организован через токены доступа (access) и обновления (refresh) с ограниченным сроком жизни. Это сокращает окно возможной атаки и позволяет безопасно завершать сессии.
- Короткий срок жизни токена доступа
- Возможность просматривать активные сессии и завершать их
- Уведомления о входах с новых устройств и из новых регионов
4. Безопасность платежей и работа эскроу
4.1 Принцип работы эскроу
Платформа Lootly использует механизм эскроу - удержание средств покупателя до подтверждения получения товара. Это защищает обе стороны сделки.
Как работает эскроу:
- Средства покупателя удерживаются на эскроу-счёте сразу после оплаты
- Продавец отгружает цифровой товар, зная, что оплата уже зарезервирована
- Средства передаются продавцу только после подтверждения получения покупателем
- При возникновении спора средства остаются заблокированными до его разрешения
4.2 Защита сделок
- Прямые переводы между пользователями вне платформы не используются и не защищены эскроу
- Все расчёты по сделкам проходят через защищённый эскроу-механизм
- При технических сбоях предусмотрен возврат удержанных средств
- Платёжные реквизиты обрабатываются защищённым образом и не хранятся в открытом виде
4.3 Споры
Если сделка пошла не по плану, покупатель или продавец может открыть спор. До его разрешения средства остаются на эскроу-счёте, что исключает их потерю любой из сторон.
5. Защита от мошенничества и мониторинг
5.1 Мониторинг активности
Платформа непрерывно отслеживает признаки подозрительной активности, чтобы своевременно выявлять и пресекать мошеннические действия.
| Сигнал | Описание |
|---|---|
| Аномальная частота операций | Слишком много действий за короткое время |
| Несоответствие региона | Вход или операции из нетипичной локации |
| Новое устройство | Запрос дополнительного подтверждения |
| Нетипичное поведение | Отклонение от обычного профиля активности |
| Связанные аккаунты | Выявление связей с ранее заблокированными аккаунтами |
5.2 Проактивные меры
- Дополнительная проверка при операциях повышенного риска
- Ограничение или временная блокировка при выявлении угроз
- Ручная модерация подозрительных сделок и аккаунтов
- Верификация пользователей для повышения доверия и снятия ограничений
5.3 Верификация
Прохождение верификации повышает уровень доверия к аккаунту, снижает риск мошенничества и расширяет доступные на платформе возможности.
6. Разграничение доступа и инфраструктурная безопасность
6.1 Разграничение доступа
Доступ к данным и функциям платформы предоставляется по принципу минимальных привилегий. Каждый запрос проверяется на наличие прав на выполнение операции.
- Роли пользователей (покупатель, продавец, модерация и др.) с разными правами
- Проверка прав доступа на каждый запрос
- Доступ сотрудников к данным ограничен и журналируется
6.2 Инфраструктурная безопасность
- Изоляция компонентов платформы и контроль межсервисного взаимодействия
- Защита внутренних служб от прямого доступа извне
- Журналирование событий безопасности и контроль целостности
- Регулярное обновление компонентов и устранение уязвимостей
7. Безопасность партнёрских витрин
Официальные партнёры Lootly работают на собственных витринах под своими доменами, используя единую инфраструктуру и единые меры безопасности Платформы Lootly.
- Те же механизмы шифрования трафика и защиты данных, что и на основном сайте
- Та же модель аутентификации, эскроу и защиты сделок
- Единые стандарты разграничения доступа и мониторинга
Перед вводом учётных данных на партнёрской витрине убедитесь, что вы находитесь на официальном домене партнёра Lootly.
8. Рекомендации пользователям
8.1 Безопасная торговля
Рекомендуется:
- Проводить сделки только через платформу и эскроу-механизм
- Проверять рейтинг и отзывы продавца
- Внимательно читать описание товара
- Сохранять переписку до завершения сделки
Не рекомендуется:
- Переводить средства напрямую продавцу вне платформы
- Передавать логин, пароль или коды подтверждения третьим лицам
- Переходить по подозрительным ссылкам из сообщений
- Принимать решения под давлением и в спешке
8.2 Защита от фишинга
Как не стать жертвой фишинга:
- Проверяйте домен сайта: основной адрес платформы - lootly.net, партнёрские витрины открываются под официальными доменами партнёров
- Платформа Lootly никогда не запрашивает ваш пароль или коды подтверждения вне формы входа
- Не вводите учётные данные на сайтах, в подлинности которых вы не уверены
- С осторожностью относитесь к письмам и сообщениям, требующим срочных действий
8.3 Защита устройства
- Используйте актуальную версию браузера и операционной системы
- Не устанавливайте подозрительные расширения и программы
- Включите двухфакторную аутентификацию там, где это возможно
- Используйте менеджер паролей вместо хранения паролей в браузере
8.4 Признаки компрометации аккаунта
Действуйте немедленно, если заметили:
- Уведомление о входе, который вы не совершали
- Изменение email или пароля без вашего ведома
- Операции, которые вы не проводили
- Незнакомые устройства в списке активных сессий
При первых признаках компрометации смените пароль, завершите все активные сессии, проверьте настройки 2FA и обратитесь в поддержку по адресу support@lootly.net.
9. Программа ответственного раскрытия уязвимостей
Мы приветствуем добросовестные сообщения о потенциальных уязвимостях и готовы взаимодействовать с исследователями безопасности.
Как сообщить об уязвимости:
- Направьте описание на адрес support@lootly.net с пометкой об уязвимости
- Приложите достаточно информации для воспроизведения проблемы
Мы просим:
- Не разглашать уязвимость публично до её устранения
- Не получать доступ к данным других пользователей и не нарушать работу сервиса
- Дать нам разумное время на исправление
Мы обязуемся:
- Не преследовать исследователей за добросовестное раскрытие
- Оперативно реагировать на полученные сообщения
- Информировать о ходе устранения проблемы
10. Инциденты и реагирование
Платформа Lootly ведёт постоянный мониторинг событий безопасности и придерживается отработанного порядка реагирования на инциденты.
| Этап | Действия |
|---|---|
| Обнаружение | Выявление инцидента через мониторинг или обращение пользователя |
| Оценка | Классификация и определение приоритета |
| Сдерживание | Изоляция угрозы и блокировка вредоносной активности |
| Устранение | Ликвидация причины и закрытие уязвимости |
| Восстановление | Возврат сервиса к штатной работе |
| Анализ | Разбор инцидента и улучшение мер защиты |
При инцидентах, затрагивающих ваши данные, мы действуем в соответствии с применимыми требованиями о защите данных и информируем затронутых пользователей в установленном порядке.
11. Контакты
По всем вопросам безопасности, а также для сообщения о подозрительной активности, инцидентах или уязвимостях обращайтесь в поддержку Платформы Lootly:
- Email: support@lootly.net
Последнее обновление: 28 июня 2026 года
Мы постоянно совершенствуем систему безопасности Платформы Lootly. Если у вас есть вопросы или предложения, свяжитесь с нами по адресу support@lootly.net.
Безопасность
Сообщайте о проблемах безопасности, подозрительной активности и уязвимостях. Мы оперативно отреагируем на ваше обращение.
support@lootly.netОб уязвимостях сообщайте в рамках ответственного раскрытия на support@lootly.net.