Безопасность данных

Действует с 1 мая 2026 г.

Версия 1.0

Кратко — что важно знатьTL;DR
  • Все данные передаются по TLS 1.3, хранятся с шифрованием AES-256
  • Серверы размещены в Yandex Cloud (регион Москва) — соответствие 152-ФЗ
  • Пароли хешируются через bcrypt (12 раундов) — мы не видим ваш пароль
  • Конфиденциальный режим (Team+) — данные обрабатываются только российскими моделями
  • Удаление аккаунта: soft delete + полное удаление через 30 дней
  • Найдили уязвимость? Пишите на security@cruxa.app

#1. Шифрование данных

1.1. В транзите

Все соединения между браузером и серверами Cruxa защищены по протоколу TLS 1.3. Мы не поддерживаем устаревшие версии TLS 1.0 и 1.1.

Это означает, что данные, которые вы отправляете и получаете (включая содержимое ваших запросов к AI), не могут быть перехвачены в пути.

1.2. В хранилище

Данные на дисках зашифрованы с использованием AES-256:

  • PostgreSQL — основная база данных с пользовательскими данными и историей
  • Object Storage (S3-совместимый) — хранилище файлов (загружаемые документы, изображения)

Ключи шифрования управляются через Yandex Lockbox — сервис управления секретами, изолированный от production-серверов.

#2. Российское хранение данных

Cruxa работает в регионе Москва Yandex Cloud. Это означает:

  • Все пользовательские данные физически хранятся на территории РФ
  • Соответствие требованиям Федерального закона 152-ФЗ об обработке персональных данных
  • Данные не покидают РФ для хранения (только для AI-обработки зарубежными моделями при стандартном режиме)

Конфиденциальный режим (Team+ тарифы)

Пользователи тарифов Team, Business и Enterprise могут активировать Конфиденциальный режим. В этом режиме:

  • Запросы обрабатываются только российскими моделями — GigaChat (Sber)
  • Данные не покидают юрисдикцию РФ ни для хранения, ни для обработки
  • Подходит для работы с коммерческой тайной и чувствительными данными

#3. Аутентификация

3.1. Пароли

Пароли пользователей никогда не хранятся в открытом виде. Мы используем алгоритм хеширования bcrypt с 12 раундами — стандарт индустрии, устойчивый к брутфорс-атакам.

Это значит: даже если база данных Cruxa будет скомпрометирована, атакующий получит только хеши, которые практически невозможно обратить в исходный пароль за разумное время.

3.2. OAuth (Yandex ID, VK ID)

При входе через Yandex ID или VK ID пароль не создаётся в Cruxa вообще — аутентификацию полностью контролирует соответствующий провайдер.

3.3. Двухфакторная аутентификация (2FA)

Поддержка 2FA (TOTP-приложения типа Google Authenticator) планируется в ближайших обновлениях. Следите за новостями в Telegram-канале.

3.4. Сессии

  • Сессии имеют ограниченное время жизни
  • При смене пароля все активные сессии инвалидируются
  • Вы можете завершить все сессии вручную через Settings → Security

#4. Инфраструктура

4.1. Yandex Cloud

Cruxa работает на Yandex Cloud — единственном российском cloud-провайдере, имеющем аттестат соответствия ФСТЭК для хранения персональных данных по 1-му уровню защищённости.

Используемые сервисы:

  • Yandex Managed Service for PostgreSQL — база данных с автоматическими backup
  • Yandex Object Storage — хранилище файлов (S3-совместимый, шифрование AES-256)
  • Yandex Certificate Manager — управление TLS-сертификатами
  • Yandex Lockbox — хранение секретов и ключей

4.2. Сетевая изоляция

Сервисы Cruxa работают в изолированной Virtual Private Cloud (VPC):

  • Production-базы данных недоступны из публичного интернета
  • Доступ к серверам возможен только через VPN с многофакторной аутентификацией
  • Разделение сред: production / staging / development полностью изолированы

4.3. Управление секретами

API-ключи, пароли от баз данных и другие секреты хранятся в Yandex Lockbox и никогда не попадают в код или логи. Ротация ключей проводится регулярно.

#5. Удаление данных

5.1. Удаление аккаунта

При удалении аккаунта через Settings → Account → Delete account:

  1. Немедленно: аккаунт деактивируется, вход невозможен
  2. В течение 30 дней: аккаунт можно восстановить (обратитесь на support@cruxa.app)
  3. Через 30 дней: полное удаление всех данных из production-базы
  4. Через 60 дней: данные удаляются из backup-копий

5.2. Удаление конкретных данных

Вы можете удалить историю задач без удаления аккаунта через Settings → History → Clear all.

Для удаления конкретных записей или данных — обратитесь на dpo@cruxa.app.

#6. Соответствие 152-ФЗ

Cruxa соответствует требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

  • Данные хранятся на серверах в РФ (Yandex Cloud, Москва)
  • Определены цели и правовые основания обработки
  • Назначен ответственный за обработку ПДн (DPO)
  • Предусмотрен порядок реализации прав субъектов ПДн
  • Уведомление Роскомнадзора об операторе ПДн

Подробнее — в Политике конфиденциальности.

#7. Ответственное раскрытие уязвимостей

Если вы обнаружили уязвимость в системе безопасности Cruxa — пожалуйста, сообщите нам до публичного раскрытия.

Как сообщить:

  • Email: security@cruxa.app
  • Опишите уязвимость, шаги для воспроизведения и потенциальный impact
  • Мы отвечаем в течение 72 часов и держим вас в курсе статуса

Мы просим:

  • Не использовать уязвимость для получения доступа к данным других пользователей
  • Не публиковать информацию об уязвимости до её исправления
  • Не проводить DDoS-атаки или иные деструктивные действия

Мы обязуемся:

  • Рассмотреть каждое обращение
  • Исправить критические уязвимости в приоритетном порядке
  • Уведомить вас о результатах

Формальная bug bounty программа находится в разработке.

#8. Аудит и мониторинг

  • Логирование: все действия администраторов с production-данными логируются
  • Мониторинг аномалий: подозрительная активность (множественные попытки входа, необычные паттерны) автоматически блокируется
  • Security review: регулярный аудит кода и инфраструктуры
  • Обновления зависимостей: критические security-патчи применяются в течение 24-48 часов

#9. Контакты по безопасности

ВопросКонтакт
Уязвимости и инцидентыsecurity@cruxa.app
Персональные данные / DPOdpo@cruxa.app
Юридические вопросыlegal@cruxa.app
Общая поддержкаsupport@cruxa.app
Исполнитель

ИП Липадат Евгений Анатольевич

ОГРНИП
326774600334271
ИНН
772838486467
Адрес
108834, г. Москва, р-н Коммунарка, ул. Эдварда Грига, д. 17, кв. 529
Email
legal@aureth.ru
Ссылка скопирована
Безопасность данных · Cruxa | Cruxa