Шифрование данных, изоляция клиентов и регулярные независимые аудиты — принципы, на которых строится платформа с первого дня.
Весь трафик передаётся по TLS 1.3. Данные в состоянии покоя шифруются AES-256, ключи ротируются автоматически каждые 90 дней.
Данные и трафик каждого проекта логически изолированы на уровне базы данных и очередей — доступ к чужим данным архитектурно исключён.
Каждое исходящее событие подписывается HMAC-SHA256 — получатель может проверить, что запрос действительно пришёл от Hexly.
Ролевая модель доступа с детализацией до отдельного проекта, SSO через SAML и журнал всех административных действий.
API-ключи хранятся в отдельном защищённом хранилище и никогда не отображаются в логах или интерфейсе после создания.
Ежедневные резервные копии конфигурации проектов с хранением 30 дней и возможностью восстановления на конкретный момент времени.
Платформа проходит регулярные независимые проверки безопасности инфраструктуры и процессов обработки данных.
Ежегодный аудит контроля безопасности, доступности и конфиденциальности данных независимой аудиторской компанией.
Обработка персональных данных клиентов из РФ возможна в выделенном контуре с размещением на серверах в юрисдикции РФ по плану Enterprise.
Внешние пентесты инфраструктуры проводятся дважды в год независимой командой; сводный отчёт доступен клиентам Enterprise по запросу.
Мы благодарны исследователям безопасности и рассматриваем каждое обращение в течение 48 часов.
Опишите уязвимость и шаги для воспроизведения на security@hexly.dev. Мы не преследуем исследователей, действующих добросовестно и в рамках политики ответственного раскрытия, и предлагаем вознаграждение за критические уязвимости.
Клиентам Enterprise доступен полный пакет документов: отчёт SOC 2, результаты пентестов и опросник по безопасности.