Попробовать бесплатно
ВойтиПопробовать бесплатно
Технические меры защиты данных

Как мы защищаем ваши данные

Вы доверяете нам доступ к рекламным кабинетам, CRM и аналитике. На этой странице — конкретные меры, которые мы применяем для защиты этих данных.

Что реализовано на платформе

Технические меры на уровне трафика, хранения, авторизации и инфраструктуры

Шифрование данных

TLS 1.3 для всего трафика. OAuth-токены интеграций хранятся в зашифрованном виде (AES-256). Пароли — bcrypt с фактором 12.

Безопасная авторизация

Двухфакторная аутентификация (2FA). OAuth 2.0 для всех интеграций. JWT с автоматической ротацией ключей. Защита от brute-force через rate limit.

Изоляция данных

Мультитенантная архитектура: данные каждого воркспейса изолированы на уровне базы. Доступ к чужим данным невозможен на уровне запросов.

Аудит действий

Все действия пользователей (логин, смена пароля, подключение интеграций, экспорт данных) фиксируются в неизменяемом логе с указанием IP и устройства. Срок хранения — 12 месяцев.

Безопасные cookies

Auth-cookies помечены HttpOnly, Secure и SameSite=Strict. Защита от CSRF — double-submit cookie + X-Requested-With.

Защита периметра

Cloudflare WAF на входе, защита от DDoS и автоматическая блокировка IP при превышении лимитов. nginx с настроенными security headers (HSTS, CSP, X-Frame-Options).

Соответствие требованиям

Мы работаем по требованиям российского закона о персональных данных (152-ФЗ). Для пользователей в ЕС и США применимы дополнительные права по GDPR и CCPA — см. /privacy.

152-ФЗ
Документ — Политика обработки ПДн (/privacy). Обработка ведётся в соответствии с требованиями закона.
TLS 1.3 + HSTS
Принудительный HTTPS на всех страницах с HSTS-preloaded.
OAuth 2.0
Безопасное подключение к 48+ рекламным и аналитическим платформам.
Открытая политика

Полный список subprocessors, целей обработки и сроков хранения — на странице /privacy.

Наши инженерные практики

Принцип минимальных привилегий

OAuth-разрешения запрашиваем только те, без которых сервис не работает. Внутри команды доступ к продакшен-данным разграничен по ролям.

Параметризованные запросы и валидация ввода

Все запросы к базе — через параметры. Серверная санитизация HTML. CSP для защиты от XSS.

Ротация секретов

JWT-ключи ротируются раз в 90 дней с overlap-периодом 7 дней. Ключ шифрования OAuth-токенов — раз в 180 дней с фоновым перешифрованием.

Reproducible builds и аудит зависимостей

CI запускает сканер уязвимостей в зависимостях при каждом merge. Сборка контейнеров детерминирована.

Нашли уязвимость?

Мы ценим вклад исследователей безопасности. Если вы обнаружили уязвимость в нашей системе, пожалуйста, сообщите нам конфиденциально.

Если вы добросовестно следовали этому каналу раскрытия, мы не будем инициировать в отношении вас юридических действий.

security@admetric.pro