К данным твоей команды относимся как к своим.
Шифрование там, где нужно, хостинг данных в ЕС (Франкфурт), вход по magic-link с 2FA и контакт по безопасности, который реально отвечает. Ниже — ответы простым языком, включая то, что ещё не построено.
Защита данных
Современная, «скучная» криптография там, где надо. Без хитрых схем — только то, чего ждут аудиторы и твой CISO.
Шифрование at rest
AES-256 на каждом томе БД, блобе и бэкапе. Ключи управляются и ротируются через облачный KMS твоего региона.
Шифрование в транзите
Только TLS 1.3, с HSTS. Также пиннинг сертификатов в нативных мобильных клиентах.
Бэкапы с проверкой
Инкрементальные и полные бэкапы, зашифрованы и хранятся в отдельном облачном аккаунте, с регулярными учениями по восстановлению.
Аудит-лог
Каждый доступ к админ-поверхностям, смена роли, экспорт данных — пишутся в append-only лог с хранением до 12 месяцев. Владелец может стримить его в SIEM.
Идентификация и доступ
RBAC по командам уже сейчас. SSO и SCIM — в roadmap для команд, которым это нужно.
Роли под твою орг-структуру
Owner / Admin / Lead / Member с областью видимости по командам. Тимлид в Хельсинки не видит, что делает Берлин, пока ты не разрешишь.
SAML SSO + SCIM (в планах)
Запланировано: подключение Okta, Google Workspace, Microsoft Entra ID или любого SAML-IdP, со SCIM 2.0 для авто-деактивации мест при уходе из IdP. Пока недоступно — сообщим, когда выйдет.
Двухфакторная аутентификация
TOTP 2FA через приложение-аутентификатор с кодами восстановления — уже встроено. WebAuthn (YubiKey, Touch ID) и обязательная MFA на весь воркспейс — в разработке.
Сессии под контролем
Каждая активная сессия видна в аккаунте — устройство, локация, последняя активность. Выход в один клик удалённо.
Приватность
Данные команды — твои. Храним их по понятному DPA, в ЕС, и удаляем по твоей команде.
DPA в один клик
Стандартный DPA в духе ЕС, подписывается из настроек биллинга. Без юридической переписки.
Хранение данных в ЕС
EU (Франкфурт) сейчас. Регион US — в roadmap, без зафиксированной даты; данные не покидают свой регион ни для хранения, ни для бэкапов.
Удаление значит удаление
Удаление аккаунта стирает данные в течение 30 дней — включая бэкапы на следующей ротации. Пришлём подтверждение, когда исчезнет последний байт.
Не продаём, не показываем рекламу, не обучаем
Данные никогда не продаются, не используются для обучения моделей и не передаются третьим. Список субпроцессоров — небольшой: инфраструктура (AWS, Cloudflare, Stripe) и несколько операционных провайдеров — полный перечень опубликован.
Где живут твои данные.
Воркспейс работает в ЕС (Франкфурт) сейчас. Больше регионов — в roadmap; мы не переносим данные, не предупредив.
Нашёл уязвимость?
Отвечаем в течение 24 часов и упоминаем исследователей, сообщивших ответственно. Без юридического давления — быстрый и уважительный процесс.
Пиши security@altorbit.app — шифруй нашим PGP-ключом →
6B5C 2D8E 9F4A 1C7B
E03D 5A91 B2F8 6C42
— full key: keys.openpgp.org