Политика безопасности и шифрования
Последнее обновление: 31 октября 2025
Стандарты шифрования
Мы применяем отраслевые стандарты шифрования для защиты ваших данных на всех уровнях:
- HTTPS/TLS 1.3: Все соединения используют шифрование TLS 1.3 для защиты данных при передаче между вашим устройством и нашими серверами.
- Хеширование паролей: Все пароли хешируются с использованием bcrypt с 10 раундами соли, что делает их необратимыми и безопасными.
- Шифрование хранилища: Данные хранятся в зашифрованных базах данных MongoDB с GridFS для хранения файлов, обеспечивая защиту данных в состоянии покоя.
- Данные при передаче: Все коммуникации API защищены через HTTPS, предотвращая атаки man-in-the-middle.
Политика ведения журналов
Мы поддерживаем прозрачные практики ведения журналов для обеспечения безопасности и конфиденциальности:
Что мы записываем
- Хешированные IP-адреса (SHA-256) для ограничения скорости и предотвращения злоупотреблений
- Временные метки действий (создание, получение, загрузка) для аналитики
- Типы действий (просмотр, клик, загрузка) для статистики использования
- Журналы ошибок для отладки и улучшения сервиса
Что мы не записываем
- Полные IP-адреса (хранятся только хешированные версии)
- Содержимое URL, текст буфера обмена или содержимое файлов (кроме хранения)
- Пароли никогда не записываются, только хранятся как хеши bcrypt
- Личная информация помимо того, что вы добровольно делитесь
Аудиты безопасности
Мы проводим регулярные проверки безопасности и ведем аудиторские следы:
- Проверка кода: Все изменения кода проходят peer review перед развертыванием в production.
- Сканирование зависимостей: Автоматическое сканирование уязвимостей всех npm зависимостей с использованием npm audit и Dependabot.
- Заголовки безопасности: Реализация комплексных заголовков безопасности, включая CSP, HSTS, X-Frame-Options и другие.
- Тестирование на проникновение: Регулярное тестирование безопасности для выявления и устранения уязвимостей до их эксплуатации.
Безопасность инфраструктуры
Наша инфраструктура построена с безопасностью в качестве приоритета:
- Безопасный хостинг: Размещен на инфраструктуре корпоративного уровня с защитой от DDoS и правилами брандмауэра.
- Безопасность базы данных: MongoDB с аутентификацией, авторизацией и зашифрованными соединениями. TTL-индексы для автоматического истечения данных.
- CDN и защита от ботов: Cloudflare CDN с локальной графической CAPTCHA для предотвращения злоупотреблений и обеспечения доступности сервиса.
- Мониторинг 24/7: Мониторинг в реальном времени состояния сервиса, частоты ошибок и событий безопасности.
Хранение и удаление данных
Мы реализуем автоматическое удаление данных для минимизации их хранения:
- Короткие ссылки: необязательное истечение (или сохранение до удаления)
- Содержимое буфера обмена: 1-168 часов (определяется пользователем)
- Файлы: максимум 24 часа хранения
- Аналитика: агрегированные данные хранятся 90 дней, отдельные события удаляются через 30 дней
Реагирование на инциденты
В случае инцидента безопасности у нас есть процедуры для быстрого реагирования: немедленное расследование, сдерживание проблемы, уведомление затронутых пользователей при необходимости и анализ после инцидента для предотвращения будущих происшествий.
Соответствие и лучшие практики
Мы следуем лучшим отраслевым практикам и соблюдаем соответствующие нормы защиты данных. Наш сервис разработан с принципами privacy-by-design, минимизируя сбор данных и максимизируя контроль пользователя.
Контакт по вопросам безопасности
Если вы обнаружили уязвимость безопасности, пожалуйста, сообщите об этом ответственно через наш веб-сайт. Мы ценим исследователей безопасности и признаем ваш вклад.