Серверы в России,
обещания — не превышают факты
Что у нас уже есть, что в работе, и от чего мы сознательно отказываемся. Без enterprise-сертификатов «для галочки» и обещаний, которые мы не держим.
Россия. VTS Timeweb. Без оговорок.
- Хостинг — VTS Timeweb, дата-центры на территории РФ
- Backup ежедневно, хранение 14 дней
- Канал зашифрован TLS 1.3, HSTS включён
- Пароли — bcrypt (cost factor 12)
На текущий момент odolopo не зарегистрирован в Реестре операторов персональных данных Роскомнадзора. Подача документов запланирована на Q3 2026.
Это не значит «вне закона» — общие требования 152-ФЗ (хранение в РФ, согласие на обработку, право на удаление) мы соблюдаем. Регистрация в реестре — отдельная формальная процедура, которую мы не ускоряем без необходимости.
Что есть, что будет, что не делаем
Три категории — без премиальных enterprise-формулировок. Если колонки «в планах» или «не делаем» вас не устраивают, скажите — обсудим индивидуально.
В работе сейчас
- Серверы в России (Timeweb)
Хостинг — VTS Timeweb, дата-центры на территории РФ. Соответствует требованию 152-ФЗ о хранении персональных данных российских граждан внутри страны.
- Шифрование канала (HTTPS / TLS 1.3)
Весь трафик между браузером и app.odolopo.com защищён TLS 1.3. HSTS включён, HTTP-запросы перенаправляются на HTTPS.
- Хеширование паролей (bcrypt)
Пароли хранятся как bcrypt-хеш с cost factor 12. Восстановление исходного пароля невозможно — даже у нас.
- Ежедневный backup
Резервные копии БД создаются раз в сутки на стороне Timeweb. Срок хранения — 30 дней. Восстановление производится по запросу через поддержку.
- Шифрование данных at-rest
Диски серверов и backup'ов зашифрованы на уровне хостинга Timeweb. Содержимое БД недоступно при физическом доступе к диску.
В планах
- Регистрация оператора персональных данныхQ3 2026
Подача документов в Реестр операторов персональных данных Роскомнадзора. До завершения процедуры обработка ведётся в рамках общих требований 152-ФЗ.
- Двухфакторная аутентификация (TOTP)Q3 2026
Поддержка Google Authenticator, Яндекс Ключ и других совместимых приложений. Включается в настройках кабинета.
- SSO через Яндекс IDQ4 2026
Вход в кабинет через привязанный Яндекс-аккаунт без пароля. Соответствие политике Яндекс OAuth.
- Внешний security-аудитQ4 2026 (при достижении 50+ платящих клиентов)
Независимый пентест и code review с публикацией summary-отчёта. Запланирован после достижения 50+ платящих клиентов.
Сознательно не делаем
- SOC 2 / ISO 27001 сертификация
Не входит в краткосрочные планы. SOC 2 ориентирован на US-рынок, ISO 27001 требует штата 10+ и зрелого процесса. Не наш случай на 2026 год.
- Хранение реквизитов банковских карт
Не принимаем платежи картами — только по счёту для юрлиц. PCI-DSS не требуется и не получаем.
Третьи лица
Помимо odolopo и Timeweb, отдельные сценарии задействуют следующие сервисы:
- DaDataЗачем: Автозаполнение реквизитов клиента по ИНН (выписка из ЕГРЮЛ)Что передаём: ИНН вашего клиента — отправляется в DaData, возвращаются юр-реквизиты
- TimewebЗачем: Хостинг и резервное копированиеЧто передаём: Все данные кабинета (на их инфраструктуре, договор с условиями обработки)
- ResendЗачем: Транзакционные письма: подтверждение email, восстановление пароля, уведомления, заявки с /demo формыЧто передаём: Email-адрес и текст письма
Сообщить о проблеме
Если вы security-researcher или клиент и обнаружили уязвимость — напишите на отдельный канал, не на общую поддержку. Отвечаем в течение рабочего дня.
security@odolopo.comDPA (Data Processing Agreement) для B2B-клиентов — подготовим по запросу. Бессрочной публичной версии пока нет.
Попробуйте бесплатно
Регистрация 30 секунд: email, пароль, название компании. Реквизиты заполнятся автоматически по ИНН. База материалов уже в каталоге. 14 дней Pro без банковской карты.