Обновлено: 26 апреля 2026 г.

Политика информационной безопасности

AG0NTS обрабатывает чувствительные данные клиентов и их пользователей — диалоги, документы, ключи интеграций, финансовые операции. Настоящий документ описывает технические и организационные меры, которые мы применяем для их защиты, и порядок безопасной передачи конфиденциальной информации между Плательщиком, Платформой и банком-эквайером.

1. Защита передачи данных

  • Весь трафик между браузером Пользователя, Платформой и API шифруется по протоколу TLS версии 1.2 и выше. Страницы с устаревшими шифрами или без HTTPS недоступны.
  • Сертификаты выпущены доверенным удостоверяющим центром, обновляются автоматически. HSTS включён на всех публичных доменах.
  • Платёжные операции проходят через банк-эквайер АО «ТБанк» (лицензия Банка России № 2673) с применением технологии 3-D Secure 2.0: подтверждение операции отправляется Плательщику банком-эмитентом картой по SMS или push-уведомлению. Карточные реквизиты вводятся на платёжной форме банка-эквайера и в инфраструктуру AG0NTS не попадают.

2. Защита данных в покое

  • Секреты интеграций (API-ключи LLM, MCP, CRM) шифруются at-rest по алгоритму AES-256-GCM. Мастер-ключ хранится отдельно от базы данных, ротируется по расписанию.
  • Пароли пользователей хранятся в виде хешей argon2id; восстановление оригинального пароля невозможно.
  • Резервные копии БД и файлового хранилища шифруются и хранятся отдельно от продуктивной инфраструктуры.

3. Изоляция тенантов

  • Каждый рабочий контейнер выполняется с правами unprivileged user, с read-only rootfs и сетевым egress-firewall — внешние соединения разрешены только на whitelisted адреса.
  • Логически данные разных тенантов разделены на уровне БД (per-tenant row-level scoping) и хранилища векторов Qdrant.
  • Доступ сотрудников AG0NTS к данным тенантов ограничен принципом минимально необходимых прав и журналируется.

4. Журнал аудита

Все привилегированные операции — вход в Личный кабинет, изменение тарифа, выгрузка данных, MCP-вызов, операции с платёжной информацией — фиксируются в неперезаписываемом журнале аудита с привязкой к пользователю, IP, времени и хешу payload. Журнал доступен Заказчику для выгрузки в целях соответствия 152-ФЗ и внутренних расследований.

5. Защита от мошенничества

  • Антифрод-система банка-эквайера проверяет все платежи: подозрительные операции отклоняются автоматически.
  • На стороне Платформы применяется rate-limiting на чувствительных эндпоинтах (попытки входа, инициация платежа, отправка подтверждений).
  • На критических действиях (смена пароля, изменение биллинговой информации) — обязательное подтверждение по e-mail.

6. Соответствие законодательству

  • 152-ФЗ «О персональных данных» — Россия;
  • 54-ФЗ «О ККТ» — фискализация платежей;
  • GDPR — для тенантов из ЕС: право на доступ, исправление, удаление данных;
  • ст. 9 Федерального закона № 161-ФЗ «О национальной платёжной системе» — порядок информирования об операциях.

7. Реагирование на инциденты

Об обнаружении уязвимости или попытке несанкционированного доступа просим сообщать на адрес thedon2200@gmail.com с пометкой «Security». Срок первичного ответа — не более 24 часов. Программа bug-bounty готовится к запуску в 2026 году.

8. Контакты

Все вопросы по информационной безопасности — thedon2200@gmail.com.