Политика за ползване на бисквитки

ФОНДАЦИЯ "ЦЕНТЪР ЗА ПРЕДПРИЕМАЧЕСТВО И УПРАВЛЕНСКО РАЗВИТИЕ-БЪЛГАРИЯ", наричано в настоящата декларация „Дружеството“.

Адрес на управление: ул. "Бигла", 6, р-н Лозенец, гр. София, България, ЕИК: 175069673

Електронна поща: [email protected]

Интернет страница: https://bgjobsportal.bg

Телефон: +359 2 819 4343

За контакти относно защитата на Вашите лични данни: [email protected]

Какво представляват бисквитките и как работят?

Бисквитките са малки текстови файлове, които се изпращат от уеб сайтовете до компютъра или устройството на потребителя и се съхраняват във файловата директория на браузъра, който потребителят използва. Те събират информация за начина на използването на сайта с цел разпознаване на потребителя и подобряване на работата със сайта. Чрез тази информация посетителите на уеб сайта не могат да бъдат идентифицирани лично. Тази информация включва най-често включва: вид на устройството, от което потребителят осъществява достъп до платформата (например компютър, мобилен телефон, таблет и др.); вид на операционната система; вид на браузъра; конкретни действия, които се предприемат, включително посетените страници, честотата и продължителността на посещенията на уеб сайта; дата и продължителност на посещенията. Бисквитките позволяват на уебсайта да запаметява вашите действия и предпочитания (като например потребителско име, език, размер на шрифта и други настройки за показване) за определен период от време, за да не се налага да ги въвеждате всеки път, когато посещавате сайта или преминавате от една страница към друга.

За какво се използват бисквитките?

Бисквитките се използват за адаптиране съдържанието на уеб сайта към предпочитанията на индивидуалния потребител и оптимизиране работата с определения уеб сайт. Използват се още за изготвянето на анонимна обща статистика, която ни помага да разберем как потребителят работи с уеб сайтовете, което помага за подобряването на тяхната структура и съдържание, като в същото време няма достъп до личната потребителска информация.

Бисквитки, използвани от партньори на оператор на един уебсайт, включително без ограничение потребителите на уебсайта, са обект на техни собствени политики за поверителност.

Съдържат ли бисквитките лична информация?

Личната информация, която се акумулира чрез бисквитките, може да бъде използвана само за извършване на определени операции за потребителя. Такава информация се криптира по начин, който прави достъпа до нея от неоторизирани лица невъзможен.

Какви бисквитки използваме?

Нашата платформа използва общо 11 бисквитки, от които 7 са активни при нормално използване и 4 са условни (използват се само при специфични операции).

Строго необходими бисквитки (не изискват съгласие)

Тези бисквитки са съществени за функционирането на приложението:

1. Session Token Cookie (authjs.session-token / __Secure-authjs.session-token)

Цел: Съхранява криптиран JWT токен с данни за потребителската сесия (ID, имейл, име, роли, език, 2FA статус)
Продължителност: 1 ден (без "Запомни ме") / 30 дни (със "Запомни ме")
Сигурност: httpOnly, secure (продукция), sameSite: lax
Библиотека: NextAuth.js v5 (Auth.js)

2. CSRF Token Cookie (authjs.csrf-token / __Host-authjs.csrf-token)

Цел: Защита срещу Cross-Site Request Forgery атаки чрез метод на двойно изпращане
Продължителност: Сесия
Сигурност: httpOnly, secure (продукция), sameSite: lax
Формат: hash1|hash2 (два хеша, разделени с вертикална черта)
Библиотека: NextAuth.js v5 (Auth.js)

3. Callback URL Cookie (authjs.callback-url / __Secure-authjs.callback-url)

Цел: Съхранява URL за пренасочване по време на OAuth автентикация
Продължителност: ~15 минути
Сигурност: secure (продукция), sameSite: lax
Библиотека: NextAuth.js v5 (Auth.js)

4. PKCE Code Verifier (authjs.pkce.code_verifier / __Secure-authjs.pkce.code_verifier)

Цел: Съхранява PKCE верификатор за OAuth 2.0 сигурност (RFC 7636)
Продължителност: 15 минути
Сигурност: httpOnly, secure (продукция), sameSite: lax, SHA-256 криптиране
Библиотека: NextAuth.js v5 (Auth.js)

5. OAuth State Cookie (authjs.state / __Secure-authjs.state)

Цел: OAuth 2.0 state параметър за верификация (CSRF защита)
Продължителност: 15 минути
Сигурност: httpOnly, secure (продукция), sameSite: lax
Кога се използва: Само по време на OAuth вход (Google)
Библиотека: NextAuth.js v5 (Auth.js)

6. OAuth Nonce Cookie (authjs.nonce / __Secure-authjs.nonce)

Цел: OpenID Connect защита срещу replay атаки
Продължителност: ~15 минути
Сигурност: httpOnly, secure (продукция), sameSite: lax
Кога се използва: Само по време на OpenID Connect потоци (Google OAuth)
Библиотека: NextAuth.js v5 (Auth.js)

7. OAuth Metadata Cookie (auth:meta)

Цел: Съхранява роля и предпочитания при регистрация чрез OAuth (роля, "запомни ме", име на компания)
Продължителност: ~15 минути
Необходимост: OAuth доставчиците не позволяват персонализирани параметри, затова използваме тази бисквитка

8. Two-Factor Authentication Cookie (2fa-verified)

Цел: Проследява завършването на 2FA за текущата сесия
Продължителност: 1-30 дни (съвпада с auth сесията)
Сигурност: httpOnly, secure (продукция), sameSite: lax, HMAC-SHA256 подпис
Кога се използва: Само когато потребителят има активирана 2FA

Функционални бисквитки (може да изискват съгласие)

9. Language Preference Cookie (logged_out_language)

Цел: Съхранява предпочитание за език на интерфейса за неавтентикирани потребители
Продължителност: 1 година
Валидни стойности: bg, en, vi, ru, uk, ro, sq, hy (по подразбиране: bg)
Сигурност: httpOnly, secure (продукция), sameSite: lax
Забележка: След вход, предпочитанието за език се съхранява в базата данни

Управление на съгласието

10. Cookie Consent Cookie (cc_cookie)

Цел: Съхранява предпочитанията на потребителя за съгласие (GDPR/CCPA съответствие)
Продължителност: ~182 дни (6 месеца)
Категории: necessary (задължителни), analytics (анализ)
Библиотека: Vanilla CookieConsent
Съдържание: JSON с категории, дата на съгласие, ID на съгласие, език

Условни бисквитки (не се използват в момента)

11. WebAuthn Challenge Cookie (authjs.webauthn-challenge / __Secure-authjs.webauthn-challenge)

Статус: ⚠️ НЕ Е ВНЕДРЕНА
Цел: Би съхранявала challenge за WebAuthn/passkey автентикация
Забележка: Схемата на базата данни включва таблица Authenticator, но функцията все още не е имплементирана

Класификация според GDPR

Строго необходими бисквитки (не изискват съгласие)

Тези бисквитки са съществени за функционирането на приложението:

authjs.session-token - Автентикация
authjs.csrf-token - Сигурност (CSRF защита)
authjs.callback-url - OAuth функционалност
authjs.state - OAuth сигурност
authjs.nonce - OAuth сигурност
authjs.pkce.code_verifier - OAuth сигурност
auth:meta - OAuth функционалност
2fa-verified - Сигурност (2FA верификация)

Функционални бисквитки (може да изискват съгласие)

Тези бисквитки подобряват потребителското изживяване, но не са строго необходими:

logged_out_language - Запомня предпочитание за език (1 година продължителност може да изисква съгласие в някои юрисдикции)

Управление на съгласието

cc_cookie - Проследява кои категории бисквитки потребителят е одобрил

Как можете да изтривате бисквитки, които са вече на вашия компютър?

Общи стъпки за Windows:

Отидете на работната си станция
Изберете C:\the "Windows File"
Отворете файла "temporary internet Files"
Изберете всички файлове (CTRL + A)
Изберете опцията "Изтрий"

Как можете да откажете или да бъдете информирани за наличието на бисквитки?

Internet Explorer 5

Изберете "Инструменти" → "Интернет опции" → "Сигурност" → "Персонализиране на нивото", от падащото меню изберете "позволи бисквитки на твоя компютър", изберете "питам за" за да бъдете информирани или да деактивирате (откажете) всички бисквитки.

Internet Explorer 6, 7 или 8

Изберете бутона "Инструменти" → "Интернет опции" → "Конфиденциалност" и след това нивото, което желаете.

Mozilla Firefox

Изберете "Инструменти" → "Възможности". В раздел "Поверителност" махнете отметката от "Приемам бисквитките".

Google Chrome

Изберете "Персонализация и контрол Google Chrome", кликнете върху "Настройки". В раздела "Поверителност" изберете "Настройки на съдържанието" и сложете отметка на "Блокиране на бисквитки и данни от трети страни (уебсайтове)".

Safari

Изберете "Предпочитания" → "Поверителност" → "Блокиране на бисквитки".

Изтриване на бисквитки

По правило апликациите, използвани за сърфиране в уеб сайтове, позволяват запазването на бисквитки по подразбиране. Тази настройка може да бъде променена така, че автоматичното запаметяване на бисквитки да бъде блокирано в уеб браузъра или потребителят да бъде информиран всеки път, преди бисквитките да бъдат запаметени на компютъра. Детайлна информация за различните начини за работа с бисквитки може да бъде открита в настройките на апликацията уеб браузъра. Ограничаването на бисквитките може да се отрази на някои функционалности на уеб сайта.

Сигурност на бисквитките

✅ Силни практики за сигурност

HttpOnly флагове: Всички чувствителни бисквитки за автентикация използват httpOnly: true (предотвратява XSS атаки)
Secure в продукция: Бисквитки само през HTTPS чрез secure: true
SameSite защита: Всички бисквитки използват sameSite: "lax" за предотвратяване на CSRF атаки
Cookie префикси: Продукцията използва __Secure- и __Host- префикси за подобрена сигурност на ниво браузър
HMAC подписване: 2FA бисквитката използва криптографско подписване
Кратки срокове: OAuth бисквитките изтичат след 15 минути (минимален прозорец за атака)
PKCE имплементация: OAuth използва SHA-256 PKCE за защита на authorization code (RFC 7636)
Двойно изпращане на CSRF: CSRF токенът използва индустриален стандартен метод на двойно изпращане

Технически бележки

Ограничения за размер на бисквитки

Session Token: ~1,280 символа (криптиран JWT)
PKCE Verifier: ~485 символа (криптиран JWE)
Общо ограничение: Повечето браузъри поддържат ~4KB на бисквитка, ~10KB общо на домейн
Текуща употреба: В рамките на ограниченията

Съвместимост с браузъри

Всички бисквитки използват стандартни атрибути, поддържани от модерни браузъри:

httpOnly: Поддържа се от всички модерни браузъри
secure: Поддържа се от всички модерни браузъри
sameSite: Поддържа се от всички модерни браузъри (с резервно поведение)

Влияние върху производителността

Бисквитките се изпращат с всяка HTTP заявка към домейна
Общ размер на бисквитки: ~2KB в типична сесия
Минимално влияние върху производителността на заявките

Версия на документа: 1.0
Последна актуализация: 30.11.2025 г.