1. Обзор
Эта страница описывает меры безопасности, защищающие ваши данные в Brainpercent, управляемом компанией Brainpercent, LLC (Делавэр, США). Мы описываем только то, что реально существует сегодня. Мы не заявляем о сертификациях, которыми не обладаем. О том, как мы обрабатываем персональные данные, см. нашу Политику конфиденциальности и Дополнение об обработке данных (DPA).
2. Шифрование
Ваши данные зашифрованы на каждом этапе:
- При хранении: шифрование AES-256 для базы данных и файлового хранилища (Supabase Postgres и Storage, размещены в ЕС, регион Франкфурт).
- Токены подключенных аккаунтов: OAuth-токены ваших подключенных социальных аккаунтов дополнительно шифруются на уровне приложения с помощью AES-256-GCM с уникальным вектором инициализации и тегом аутентификации для каждого секрета.
- При передаче: TLS 1.2 или выше для всех соединений между вашим браузером, нашими серверами и нашими поставщиками услуг.
3. Контроль доступа
Доступ к вашим данным ограничен на нескольких уровнях:
- Безопасность на уровне строк: механизм row-level security (RLS) в Postgres ограничивает каждый запрос вашим собственным пользователем на уровне базы данных, поэтому один пользователь не может читать строки другого.
- Разделение ролей: клиенты базы данных разделены по ролям. Клиент, работающий в вашем браузере, никогда не имеет административных учетных данных; привилегированные операции выполняются только на стороне сервера.
- Зашифрованные секреты: API-ключи и секреты окружения хранятся в зашифрованном виде в Vercel и Supabase и никогда не попадают в систему контроля версий.
4. Безопасность приложения
Приложение и его интеграции защищены:
- Заголовки безопасности: HSTS и дополнительные заголовки безопасности устанавливаются в ответах для принудительного HTTPS и снижения типичных векторов веб-атак.
- Проверка подписей вебхуков: входящие вебхуки (Stripe, Inngest) проверяются по их криптографическим подписям до какой-либо обработки.
- Ограничение частоты запросов: распределенное ограничение частоты на эндпоинтах аутентификации замедляет подбор учетных данных и брутфорс-атаки.
5. Безопасность платежей
Данные платежных карт полностью обрабатываются Stripe, платежным процессором с сертификацией PCI-DSS. Номера карт никогда не попадают на наши серверы, и мы никогда их не храним. Мы храним только нечувствительные идентификаторы, предоставляемые Stripe (например, идентификаторы клиента и подписки).
6. Мониторинг и реагирование на инциденты
Мы отслеживаем проблемы и обязуемся уведомлять вас, когда это важно:
- Мониторинг ошибок: ошибки приложения фиксируются и отслеживаются через Sentry.
- Уведомление об утечках: если утечка данных затронет ваши персональные данные, мы уведомим затронутых пользователей и соответствующие органы в течение 72 часов, где этого требует закон (например, статья 33 GDPR).
7. Текущие ограничения
Мы предпочитаем честность театру безопасности. Вот чего у нас пока нет:
- Компания с одним оператором: Brainpercent в настоящее время создается и управляется одним человеком. Нет круглосуточной команды безопасности и разделения обязанностей между несколькими сотрудниками. Доступ к продакшену ограничен этим одним человеком, что также сводит внутреннюю поверхность атаки к минимуму.
- SOC 2 / ISO 27001: пока недоступно. Мы не заявляем о SOC 2, ISO 27001 или любой другой сертификации, которой не обладаем, и мы не проходили сторонний тест на проникновение.
8. Ответственное раскрытие
Если вы считаете, что нашли уязвимость безопасности, напишите на edward@brainpercent.com с темой «Security».
Приложите шаги воспроизведения. Пожалуйста, не получайте доступ к данным других пользователей, не ухудшайте работу Сервиса и не разглашайте проблему публично, пока у нас не будет разумной возможности ее исправить. Мы читаем каждый отчет и стремимся ответить в течение 72 часов.