🟡 STAGING·Тестовый стенд. Не вводите реальные ПД клиентов — данные будут стёрты при переезде.
DèlaCRM

Безопасность

Мы относимся к данным наших клиентов как к своим собственным. Ниже — основные практики и контакт для responsible disclosure.

Где живут данные

  • Российский регион — Yandex Cloud (Москва), регистр ПДн Роскомнадзора.
  • EU-регион (планируется в фазе 12) — Hetzner DE, отдельные процессоры.

Шифрование

  • TLS 1.3 на всех публичных endpoint'ах через Caddy ACME.
  • AES-256 at rest для дисков managed PostgreSQL и Object Storage.
  • App-level шифрование через Yandex KMS для секретов (TOTP, OAuth-токены).
  • Argon2id для хешей паролей через better-auth.

Изоляция арендаторов

Каждое рабочее пространство (tenant) изолировано на уровне базы данных через PostgreSQL Row Level Security с принудительной политикой FORCE ROW LEVEL SECURITY. Приложение работает под non-superuser ролью без права BYPASSRLS — пользователь технически не может прочитать данные другого tenant'а через приложение.

Резервные копии

  • Managed PostgreSQL: автоматические снапшоты ежедневно + WAL archiving (PITR).
  • Object Storage: версионирование + lifecycle policy (хранение 90 дней).

Аудит

Каждое существенное действие (создание сделки, изменение роли, приглашение, согласие на обработку ПДн) пишется в неизменяемый журнал событий с IP, user-agent и timestamp. Owner'у это видно на странице /settings/audit.

Responsible disclosure

Если вы обнаружили уязвимость — пожалуйста, напишите на security@dela-crm.ru. Мы отвечаем в течение 48 часов и публикуем фикс с упоминанием исследователя (по желанию).

Контакт по 152-ФЗ

Запросы на удаление/исправление персональных данных — на тот же адрес. Мы отвечаем в пределах сроков, установленных Федеральным законом «О персональных данных».