безопасность

Безопасность встроена в архитектуру, а не добавлена поверх неё.

Шифрование данных, изоляция клиентов и регулярные независимые аудиты — принципы, на которых строится платформа с первого дня.

Шифрование данных

Весь трафик передаётся по TLS 1.3. Данные в состоянии покоя шифруются AES-256, ключи ротируются автоматически каждые 90 дней.

Изоляция клиентов

Данные и трафик каждого проекта логически изолированы на уровне базы данных и очередей — доступ к чужим данным архитектурно исключён.

Подписанные вебхуки

Каждое исходящее событие подписывается HMAC-SHA256 — получатель может проверить, что запрос действительно пришёл от Hexly.

Контроль доступа

Ролевая модель доступа с детализацией до отдельного проекта, SSO через SAML и журнал всех административных действий.

Изоляция секретов

API-ключи хранятся в отдельном защищённом хранилище и никогда не отображаются в логах или интерфейсе после создания.

Резервное копирование

Ежедневные резервные копии конфигурации проектов с хранением 30 дней и возможностью восстановления на конкретный момент времени.

соответствие требованиям

Аудиты и сертификация

Платформа проходит регулярные независимые проверки безопасности инфраструктуры и процессов обработки данных.

SOC 2 Type II

Ежегодный аудит контроля безопасности, доступности и конфиденциальности данных независимой аудиторской компанией.

Соответствие 152-ФЗ

Обработка персональных данных клиентов из РФ возможна в выделенном контуре с размещением на серверах в юрисдикции РФ по плану Enterprise.

Тестирование на проникновение

Внешние пентесты инфраструктуры проводятся дважды в год независимой командой; сводный отчёт доступен клиентам Enterprise по запросу.

ответственное раскрытие

Нашли уязвимость?

Мы благодарны исследователям безопасности и рассматриваем каждое обращение в течение 48 часов.

i

Опишите уязвимость и шаги для воспроизведения на security@hexly.dev. Мы не преследуем исследователей, действующих добросовестно и в рамках политики ответственного раскрытия, и предлагаем вознаграждение за критические уязвимости.

Нужен подробный отчёт о безопасности для due diligence?

Клиентам Enterprise доступен полный пакет документов: отчёт SOC 2, результаты пентестов и опросник по безопасности.