MultiBotHub
На главную

Политика безопасности

Дата публикации: 22 февраля 2026 г.

Редакция: 1.0

Настоящая Политика безопасности описывает организационные и технические меры, которые ООО «Промейкап» (далее — «Оператор») применяет для обеспечения безопасности данных в сервисе MultiBot Hub (далее — «Сервис»).

1. Принципы безопасности

  • Конфиденциальность — доступ к данным получают только авторизованные пользователи с соответствующими правами
  • Целостность — данные защищены от несанкционированного изменения
  • Доступность — Сервис обеспечивает бесперебойный доступ к данным
  • Минимизация — собирается только та информация, которая необходима для работы Сервиса

2. Шифрование и передача данных

  • Все соединения с Сервисом защищены протоколом HTTPS (TLS 1.2+)
  • Принудительный редирект с HTTP на HTTPS
  • Поддержка HSTS (HTTP Strict Transport Security) с включённым preload
  • Токены авторизации передаются исключительно через HttpOnly cookies, недоступные из JavaScript

3. Аутентификация и авторизация

  • Пароли хешируются по алгоритму SHA-256 с солью — хранение в открытом виде исключено
  • Аутентификация через JWT-токены с серверной подписью (секретный ключ хранится в переменных окружения)
  • Разграничение прав доступа по модели RBAC (ролевое управление доступом): Admin, Manager, Operator
  • Ограничение количества попыток входа (Rate Limiting) для защиты от brute-force атак
  • Логирование всех неудачных попыток авторизации

4. Защита от атак

  • CSRF-защита — все мутирующие запросы проверяются на наличие CSRF-токена
  • XSS-защита — заголовок X-XSS-Protection, экранирование пользовательского ввода
  • Clickjacking-защита — заголовок X-Frame-Options: DENY
  • Content-Type Sniffing — заголовок X-Content-Type-Options: nosniff
  • Валидация данных — серверная валидация всех входных данных, проверка MIME-типа загружаемых файлов
  • Referrer-Policy — strict-origin-when-cross-origin
  • Permissions-Policy — запрещены камера, микрофон, геолокация

5. Хранение данных

  • Все данные хранятся на серверах, расположенных на территории Российской Федерации
  • Регулярное резервное копирование баз данных
  • Загружаемые файлы хранятся в изолированных директориях с запретом на исполнение через .htaccess
  • Переменные окружения (API-ключи, секреты) хранятся в .env-файлах, исключённых из системы контроля версий

6. Мониторинг и аудит

  • Ведение журнала безопасности: неудачные попытки входа, подозрительные запросы, изменения критичных настроек
  • Аудит-лог действий пользователей — все изменения в Сервисе логируются с указанием автора, времени и IP-адреса
  • Мониторинг доступности Сервиса

7. Реагирование на инциденты

7.1. В случае обнаружения инцидента безопасности (утечка данных, несанкционированный доступ) Оператор обязуется:

  • Незамедлительно принять меры по устранению инцидента
  • Уведомить затронутых пользователей в течение 72 часов
  • Уведомить Роскомнадзор в установленные законом сроки (в соответствии с 152-ФЗ)
  • Провести внутреннее расследование и принять корректирующие меры

8. Обнаружение уязвимостей

8.1. Если вы обнаружили уязвимость в Сервисе, пожалуйста, сообщите нам по адресу security@multibothub.ru. Мы рассмотрим каждое обращение и примем необходимые меры.

8.2. Просим вас не использовать обнаруженные уязвимости для нанесения вреда Сервису или его пользователям.

9. Обновление политики

9.1. Оператор оставляет за собой право обновлять настоящую Политику. Актуальная версия размещена по адресу multibothub.ru/legal/security.

Контакты

ООО «Промейкап»
ИНН 9713011844 / ОГРН 1247700180078
127247, г. Москва, Дмитровское шоссе, д. 81, этаж 8, офис 810
E-mail: support@multibothub.ru
По вопросам безопасности: security@multibothub.ru