Data HandlingОбработка данных
Encryption at RestШифрование в покое
All persistent data is encrypted using AES-256-GCM with envelope encryption. Encryption keys are managed through a dedicated KMS with automatic rotation. Database volumes use full-disk encryption independent of application-layer controls.Все персистентные данные шифруются алгоритмом AES-256-GCM с envelope-шифрованием. Ключи управляются выделенным KMS с автоматической ротацией. Тома баз данных используют полнодисковое шифрование независимо от контролей прикладного уровня.
Encryption in TransitШифрование при передаче
All external connections enforce TLS 1.3 with forward secrecy. Internal service-to-service traffic uses mTLS. Weak cipher suites and protocol downgrades are rejected at the edge. HSTS is enforced with a minimum max-age of one year.Все внешние соединения используют TLS 1.3 с прямой секретностью. Внутренний межсервисный трафик защищён mTLS. Слабые шифронаборы и понижение протоколов отклоняются на edge-уровне. HSTS включён с минимальным max-age в один год.
Data ClassificationКлассификация данных
Message content processed for moderation is ephemeral and never written to persistent storage. Organization metadata, configuration, and audit records are stored with strict tenant isolation. No customer data is used for model training or shared across tenants.Содержимое сообщений, обрабатываемых для модерации, является эфемерным и не записывается в персистентное хранилище. Метаданные организации, конфигурация и аудит-записи хранятся со строгой изоляцией арендаторов. Данные клиентов не используются для обучения моделей и не передаются между арендаторами.
Tenant IsolationИзоляция арендаторов
Every API request is scoped to a verified org_id at the authentication layer. Cross-tenant access is architecturally impossible — there is no shared namespace, no admin override, and no global query path. Access controls default to deny.Каждый API-запрос привязан к верифицированному org_id на уровне аутентификации. Кросс-тенантный доступ архитектурно исключён: нет общего пространства имён, нет административного обхода, нет глобальных запросов. Контроль доступа по умолчанию — запрет.
Decision Contract and Audit IntegrityКонтракт решений и целостность аудита
Tamper-Evident Audit ChainЗащищённая от подмены цепочка аудита
Every moderation decision, policy change, and administrative action produces an immutable audit record. Records are cryptographically chained — any modification or deletion of an intermediate entry invalidates the chain and triggers an integrity alert.Каждое решение модерации, изменение политики и административное действие порождает неизменяемую аудит-запись. Записи криптографически связаны — любое изменение или удаление промежуточной записи инвалидирует цепочку и вызывает алерт целостности.
Cryptographic VerificationКриптографическая верификация
Decision records include hash-linked evidence references, actor identity, timestamp, and policy version at time of execution. Customers can independently verify any decision against the published contract schema without relying on platform trust alone.Записи решений включают хеш-связанные ссылки на доказательства, идентификатор актора, метку времени и версию политики на момент исполнения. Клиенты могут независимо верифицировать любое решение по опубликованной схеме контракта без опоры только на доверие к платформе.
Access ControlКонтроль доступа
Role-Based Access ControlРолевой контроль доступа
Three discrete privilege tiers — Creator, Org Admin, Member — each with explicit capability boundaries enforced at runtime. No implicit privilege escalation. Role assignments are logged and auditable. API tokens inherit the issuing identity's scope.Три чётких уровня привилегий — Creator, Org Admin, Member — с явными границами возможностей, проверяемыми во время выполнения. Неявное повышение привилегий исключено. Назначения ролей логируются и аудируемы. API-токены наследуют scope выпустившей их учётной записи.
4-Eyes Approval WorkflowПроцедура двойного подтверждения (4-Eyes)
Destructive and high-impact operations require approval from a second authorized principal before execution. The initiator cannot self-approve. Approval requests expire after a configurable timeout. All approval and rejection events are recorded in the audit chain.Деструктивные и высокоимпактные операции требуют подтверждения вторым уполномоченным лицом до исполнения. Инициатор не может утвердить собственный запрос. Запросы на утверждение истекают после настраиваемого таймаута. Все события утверждения и отклонения фиксируются в цепочке аудита.
Multi-Factor AuthenticationМногофакторная аутентификация
MFA is enforced for all dashboard access and sensitive API operations. Supported factors include TOTP authenticator apps and WebAuthn hardware keys. Session tokens are short-lived with strict inactivity timeouts.MFA обязательна для доступа к панели управления и чувствительных API-операций. Поддерживаемые факторы: TOTP-приложения и аппаратные ключи WebAuthn. Сессионные токены краткосрочны со строгими таймаутами неактивности.
Webhook VerificationВерификация вебхуков
Inbound webhook callbacks are verified using HMAC-SHA256 signatures. Replay attacks are mitigated via timestamp validation with a strict tolerance window. Payloads with missing, expired, or invalid signatures are rejected and logged. Default behavior is deny.Входящие webhook-вызовы верифицируются подписями HMAC-SHA256. Replay-атаки нейтрализуются валидацией меток времени со строгим допустимым окном. Запросы с отсутствующей, просроченной или невалидной подписью отклоняются и логируются. Поведение по умолчанию — отказ.
InfrastructureИнфраструктура
Cloud Provider and ResidencyОблачный провайдер и резидентность данных
Production infrastructure runs on major cloud providers with data residency in the EU (Frankfurt). Dedicated deployments with custom data residency requirements are available for Enterprise and Government tiers. No customer data leaves the designated region.Продуктивная инфраструктура размещена у крупных облачных провайдеров с резидентностью данных в ЕС (Франкфурт). Выделенные развёртывания с настраиваемыми требованиями к резидентности доступны для тарифов Enterprise и Government. Данные клиентов не покидают назначенный регион.
Redundancy and AvailabilityРезервирование и доступность
Services are deployed across multiple availability zones with automated failover. Database backups are encrypted and replicated to a geographically separate region. Recovery point objective (RPO) is under 1 hour; recovery time objective (RTO) is under 4 hours for standard tiers.Сервисы развёрнуты в нескольких зонах доступности с автоматическим переключением при отказе. Резервные копии баз данных зашифрованы и реплицированы в географически отдельный регион. Целевая точка восстановления (RPO) — менее 1 часа; целевое время восстановления (RTO) — менее 4 часов для стандартных тарифов.
ComplianceСоответствие стандартам
Incident ResponseРеагирование на инциденты
SLASLA
Penetration TestingТестирование на проникновение
SecuriLayer undergoes third-party penetration testing on a regular cadence. Scope covers external attack surface, API endpoints, authentication flows, and tenant isolation boundaries. Findings are triaged within 48 hours. Critical and high-severity issues are remediated before the next production release. Summary reports are available to Enterprise and Government customers under NDA.SecuriLayer проходит тестирование на проникновение независимыми третьими сторонами на регулярной основе. Область охвата включает внешнюю поверхность атаки, API-эндпоинты, потоки аутентификации и границы изоляции арендаторов. Находки приоритизируются в течение 48 часов. Критические уязвимости и уязвимости высокой степени устраняются до следующего продуктивного релиза. Сводные отчёты доступны клиентам Enterprise и Government по NDA.
Responsible DisclosureОтветственное раскрытие уязвимостей
We welcome security research conducted in good faith. If you discover a vulnerability, report it to security@securilayer.dev. We acknowledge receipt within 2 business days, provide an initial assessment within 5 business days, and will not pursue legal action against researchers who follow responsible disclosure practices. Public disclosure is coordinated after a fix is deployed.Мы приветствуем исследования безопасности, проведённые добросовестно. Если вы обнаружили уязвимость, сообщите на security@securilayer.dev. Мы подтверждаем получение в течение 2 рабочих дней, предоставляем первичную оценку в течение 5 рабочих дней и не преследуем исследователей, следующих практикам ответственного раскрытия. Публичное раскрытие координируется после развёртывания исправления.