odolopo
безопасность · 152-ФЗ · честно

Серверы в России,
обещания — не превышают факты

Что у нас уже есть, что в работе, и от чего мы сознательно отказываемся. Без enterprise-сертификатов «для галочки» и обещаний, которые мы не держим.

где живут данные

Россия. VTS Timeweb. Без оговорок.

подтверждено
  • Хостинг — VTS Timeweb, дата-центры на территории РФ
  • Backup ежедневно, хранение 14 дней
  • Канал зашифрован TLS 1.3, HSTS включён
  • Пароли — bcrypt (cost factor 12)
честно про 152-ФЗ

На текущий момент odolopo не зарегистрирован в Реестре операторов персональных данных Роскомнадзора. Подача документов запланирована на Q3 2026.

Это не значит «вне закона» — общие требования 152-ФЗ (хранение в РФ, согласие на обработку, право на удаление) мы соблюдаем. Регистрация в реестре — отдельная формальная процедура, которую мы не ускоряем без необходимости.

защита данных

Что мы реально сделали для безопасности

Не общие слова, а конкретные механизмы, выкаченные за последние месяцы.

шифрование доступов

Ключи интеграций — AES-256-GCM

Доступы к внешним сервисам (токены Яндекс.Метрики и Директа) не лежат в базе открытым текстом. Шифруются алгоритмом AES-256-GCM — тем же классом, что используют банки.

Даже при физическом доступе к диску достать токен рекламного кабинета нельзя.

безопасный голос

Голосовой ввод без утечки чувствительного

Whisper стоит на нашем сервере в РФ — голос не уходит в чужие облака. Из распознанного текста исключается чувствительное: пароли, email, длинные числа и даты не попадают в сегментацию.

Продиктовали комментарий к смете — текст ваш, голос дальше сервера не идёт.

вход без пароля

Magic-link — одноразовая ссылка

Вход по ссылке на почту: действует 24 часа и сгорает после первого использования. Не оставляет пароля, который можно подобрать, переиспользовать или потерять.

Ссылка сработала один раз — повторно по ней войти уже нельзя.

роли и аудит

Матрица прав + журнал действий

Доступ разграничен по ролям: 60+ permission-ключей (включая управление интеграциями и AI-функции). Каждое значимое действие пишется в audit log — видно, кто и когда что менял.

Менеджеру можно вести сделки, но не трогать токены рекламы — это отдельный ключ.

матрица соответствий

Что есть, что будет, что не делаем

Три категории — без премиальных enterprise-формулировок. Если колонки «в планах» или «не делаем» вас не устраивают, скажите — обсудим индивидуально.

что есть

В работе сейчас

  • Серверы в России (Timeweb)

    Хостинг — VTS Timeweb, дата-центры на территории РФ. Соответствует требованию 152-ФЗ о хранении персональных данных российских граждан внутри страны.

  • Шифрование канала (HTTPS / TLS 1.3)

    Весь трафик между браузером и app.odolopo.com защищён TLS 1.3. HSTS включён, HTTP-запросы перенаправляются на HTTPS.

  • Хеширование паролей (bcrypt)

    Пароли хранятся как bcrypt-хеш с cost factor 12. Восстановление исходного пароля невозможно — даже у нас.

  • Ежедневный backup

    Резервные копии БД создаются раз в сутки на стороне Timeweb. Срок хранения — 30 дней. Восстановление производится по запросу через поддержку.

  • Шифрование данных at-rest

    Диски серверов и backup'ов зашифрованы на уровне хостинга Timeweb. Содержимое БД недоступно при физическом доступе к диску.

ближайшее

В планах

  • Регистрация оператора персональных данных
    Q3 2026

    Подача документов в Реестр операторов персональных данных Роскомнадзора. До завершения процедуры обработка ведётся в рамках общих требований 152-ФЗ.

  • Двухфакторная аутентификация (TOTP)
    Q3 2026

    Поддержка Google Authenticator, Яндекс Ключ и других совместимых приложений. Включается в настройках кабинета.

  • SSO через Яндекс ID
    Q4 2026

    Вход в кабинет через привязанный Яндекс-аккаунт без пароля. Соответствие политике Яндекс OAuth.

  • Внешний security-аудит
    Q4 2026 (при достижении 50+ платящих клиентов)

    Независимый пентест и code review с публикацией summary-отчёта. Запланирован после достижения 50+ платящих клиентов.

не наш случай

Сознательно не делаем

  • SOC 2 / ISO 27001 сертификация

    Не входит в краткосрочные планы. SOC 2 ориентирован на US-рынок, ISO 27001 требует штата 10+ и зрелого процесса. Не наш случай на 2026 год.

  • Хранение реквизитов банковских карт

    Не принимаем платежи картами — только по счёту для юрлиц. PCI-DSS не требуется и не получаем.

кто ещё видит данные

Третьи лица

Помимо odolopo и Timeweb, отдельные сценарии задействуют следующие сервисы:

  • DaData
    Зачем: Автозаполнение реквизитов клиента по ИНН (выписка из ЕГРЮЛ)
    Что передаём: ИНН вашего клиента — отправляется в DaData, возвращаются юр-реквизиты
  • Timeweb
    Зачем: Хостинг и резервное копирование
    Что передаём: Все данные кабинета (на их инфраструктуре, договор с условиями обработки)
  • Resend
    Зачем: Транзакционные письма: подтверждение email, восстановление пароля, уведомления, заявки с /demo формы
    Что передаём: Email-адрес и текст письма
нашли уязвимость

Сообщить о проблеме

Если вы security-researcher или клиент и обнаружили уязвимость — напишите на отдельный канал, не на общую поддержку. Отвечаем в течение рабочего дня.

security@odolopo.com

DPA (Data Processing Agreement) для B2B-клиентов — подготовим по запросу. Бессрочной публичной версии пока нет.

Попробуйте бесплатно

Регистрация 30 секунд: email, пароль, название компании. Реквизиты заполнятся автоматически по ИНН. База материалов уже в каталоге. 14 дней Pro без банковской карты.