Обезличенная страница договора для объяснения защиты данных в Dogovorik

Dogovorik · безопасность

Безопасность договорных данных без скрытых обещаний

Показываем, что уже реализовано в приложении, а какие требования — хранение, SSO, интеграции и дополнительные контроли — сначала должны пройти B2B-пилот.

Обсудить требования безопасности

Публичная страница не заявляет сертификацию, которой нет в подтверждённой технической документации.

Подтверждено текущей архитектурой

Что уже работает в production

Ниже только проверяемые границы приложения — без обещаний сертификации или enterprise-функций, которых нет в коде.

TLS на внешнем соединении

Production-сервер принимает HTTPS с сертификатом Let’s Encrypt и перенаправляет HTTP на HTTPS.

Доступ проверяет сервер

Операции с документом выполняются в контексте сессии и конкретного ресурса, а не по одному клиентскому экрану.

Upload после аккаунта

Публичные страницы используют отдельные обезличенные примеры. Пользовательский файл добавляется в авторизованном кабинете.

Разделение файла и метаданных

Файлы upload хранятся в S3-совместимом объектном хранилище; метаданные и права доступа — в PostgreSQL.

Путь запроса

Доступ проверяется до работы с ресурсом

Схема показывает фактические границы сервиса, а не модель сертификации.

  1. 01

    Браузер

    HTTPS-сессия

  2. 02

    Next.js server

    Auth и resource checks

  3. 03

    PostgreSQL

    Метаданные и права

  4. 04

    S3 storage

    Пользовательские файлы

B2B target-state

Что требуется согласовать отдельно

Эти пункты не считаются готовыми возможностями только потому, что они нужны enterprise-клиенту.

Размещение и срок хранения

Фиксируются для конкретной компании до загрузки пилотной выборки.

SSO и управление учётными записями

Не заявляются как готовая функция; сначала описывается требуемый протокол и lifecycle доступа.

Ключи и дополнительные контроли

Требования к владению ключами, ротации и подтверждениям включаются в отдельный scope.

Интеграции и экспорт данных

Источники, направления обмена и журналирование согласуются до оценки сроков.

Документы и вопросы

Перед передачей договоров

Можно загрузить файл до регистрации?

Нет. Публичные примеры используют отдельные обезличенные данные. Пользовательский upload требует авторизованную сессию.

Где хранятся загруженные файлы?

Для upload используется S3-совместимое объектное хранилище, а метаданные и права доступа находятся в PostgreSQL. Конкретные требования к размещению согласуются до B2B-пилота.

Есть ли SSO и сертификация?

Публично они не заявляются как готовые возможности. SSO, требования к ключам, срокам хранения и подтверждениям соответствия фиксируются как отдельный scope пилота.

Security review

Зафиксируем требования до пилота

Ответим по текущей архитектуре и отдельно обозначим, что требует разработки или подтверждения.

Обсудить требования безопасности