Безопасность и доверие
Безопасность — не функция, которую мы добавили позже. Это фундамент, на котором построена вся платформа. Каждое архитектурное решение начинается с защиты данных.
Эшелонированная защита
Шесть уровней безопасности
От шифрования до мониторинга — ваши данные защищены на каждом уровне.
Шифрование
- AES-256 шифрование всех хранимых данных (at rest)
- TLS 1.3 для защиты данных при передаче (in transit)
- Шифрованное хранение SMTP-учётных данных для каждого арендатора
- Генерация токенов с использованием криптографически стойких алгоритмов
Аутентификация
- JWT access + refresh токены с механизмом отзыва
- Хеширование паролей алгоритмом Argon2id
- Многофакторная аутентификация: TOTP, Email OTP, WebAuthn
- Управление сессиями с кэшированием и коротким TTL
Авторизация (RBAC)
- Встроенные роли: Администратор, Аналитик, Менеджер, Наблюдатель
- Настраиваемые роли с гранулярными правами доступа
- Политики контроля доступа на уровне ресурсов через Cerbos PDP
- Области видимости данных: ВСЕ / КОМАНДА / ОТДЕЛ / СВОИ / НАСТРАИВАЕМЫЕ
Изоляция арендаторов
- Row-Level Security — каждый запрос фильтруется по идентификатору арендатора
- Промежуточный слой проверки доступа к арендатору с кэшированием
- 4-уровневый доступ по подписке: ПОЛНЫЙ → ТОЛЬКО ЧТЕНИЕ → ТОЛЬКО БИЛЛИНГ → ПРИОСТАНОВЛЕН
- Полная изоляция данных между организациями
Мониторинг и аудит
- Полный журнал аудита: создание пользователей, изменение настроек, действия с данными
- Метрики производительности: время ответа, активные соединения, ресурсы системы
- Дашборды мониторинга с агрегацией логов в реальном времени
- Структурированное JSON-логирование для анализа и отладки
Безопасность API
- Rate limiting (ограничение частоты запросов) с поддержкой Redis
- Защита от CSRF атак с помощью Double Submit Cookie
- HTTP-заголовки безопасности (HSTS, X-Frame-Options, CSP)
- Валидация всех входных данных API на уровне схемы
- Санитизация SQL-идентификаторов для предотвращения инъекций
Инфраструктура
Стек промышленного уровня
Каждый компонент выбран за надёжность, производительность и безопасность в боевых условиях.
База данных
PostgreSQL
Кэширование и очереди
Redis + BullMQ
Контейнеризация
Docker Compose
Обратный прокси
Nginx
Мониторинг
Prometheus + Grafana + Loki
Контроль доступа
Cerbos PDP
Развёртывание
Ваши данные — ваши правила
Выберите, где и как хранятся ваши данные. Все варианты включают одинаковые гарантии безопасности.
SaaS (Облако)
Управляемый хостинг с автоматическими обновлениями, бэкапами и мониторингом. Данные изолированы на уровне базы данных через Row-Level Security.
- Автоматические обновления
- Управляемые бэкапы
- Мониторинг 24/7
- Изоляция арендаторов
On-Premises
Разверните на собственной инфраструктуре с Docker или Kubernetes. Полный контроль над данными, сетью и соответствием требованиям.
- Данные на ваших серверах
- Docker / Kubernetes
- Свои сетевые политики
- Возможность изоляции от интернета
Ответственное раскрытие уязвимостей
Обнаружили уязвимость? Мы серьёзно относимся к каждому сообщению о безопасности. Пожалуйста, отправьте отчёт на security@kpi-cloud.ru. Мы ответим в течение 24 часов.
Есть вопросы о нашей безопасности?