ProyectaSecurity

Security

Last Updated: May 21, 2026

Переведено для вашего удобства. В случае любого конфликта между этой версией и английской версией, английская версия имеет преимущественную силу.

Proyecta — это платформа, через которую ваш исходный код, запросы и данные проектов проходят через системы ИИ и изолированные среды выполнения. Защита этих данных является основополагающей частью того, как мы создаём Сервисы. На этой странице наши практики безопасности изложены простым языком; она дополняет нашу Политику конфиденциальности, Условия использования и список Субпроцессоров.

По вопросам безопасности, корпоративных проверок безопасности или для сообщения об уязвимости обращайтесь по адресу security@proyecta.dev.

1. Инфраструктура и хостинг

Сервисы работают на Google Cloud Platform — инфраструктуре с поддержкой Kubernetes, эксплуатируемой в установленных облачных регионах. Cloudflare располагается перед нашими публичными конечными точками для доставки контента, защиты от DDoS-атак и веб-приложений (WAF).

Мы не управляем собственными центрами обработки данных. Наши облачные поставщики поддерживают собственные независимые сертификации безопасности инфраструктуры, а актуальный список поставщиков, обрабатывающих данные от нашего имени, опубликован на нашей странице Субпроцессоров.

2. Шифрование

  • При передаче: Весь трафик между вами и Сервисами шифруется с использованием TLS 1.2 или выше.
  • В состоянии покоя: Клиентский Контент, данные учётной записи и резервные копии шифруются в состоянии покоя.
  • Секреты: Учётные данные и токены интеграции хранятся в зашифрованном виде и никогда не раскрываются в клиентском коде или журналах.

3. Управление доступом

  • Ролевой контроль доступа. Доступ к производственным системам и данным клиентов ограничен авторизованным персоналом Proyecta на основе принципа минимально необходимых привилегий.
  • Журналирование аудита. Административные действия и действия по доступу к данным регистрируются для подотчётности.
  • Ограниченные учётные данные. Сервисные и интеграционные учётные данные ограничены минимальными разрешениями, необходимыми для их функционирования.
  • Обязательства о конфиденциальности. Персонал с доступом к Контенту связан обязательствами о конфиденциальности и проходит обучение по безопасности.

Как описано в нашей Политике конфиденциальности, уполномоченный персонал получает доступ к Контенту только по мере необходимости для предоставления поддержки, устранения неполадок, поддержания надёжности или соблюдения юридических обязательств.

4. Обработка вашего кода и данных ИИ

Этот вопрос больше всего волнует клиентов, поэтому изложим его прямо:

  • Мы не обучаем модели ИИ на вашем Контенте. Мы не используем ваш код, запросы или данные для обучения или тонкой настройки наших моделей ИИ и не отправляем ваш Контент поставщикам ИИ с целью обучения их моделей.
  • Контент обрабатывается, чтобы обслуживать вас, а не для извлечения данных. Ваш Контент обрабатывается исключительно для предоставления ответов в рамках ваших собственных сеансов.
  • Сторонние поставщики ИИ обрабатывают входные данные временно. Для генерации ответов входные данные отправляются поставщикам моделей ИИ (Anthropic, OpenAI, Google) через их API. Мы используем тарифные уровни API, которые в соответствии с действующими условиями API этих поставщиков не используются для обучения их моделей на входных данных клиентов. Мы не контролируем этих поставщиков, и обработка ими данных регулируется их собственными условиями, которые вам следует изучить самостоятельно (см. Условия §10.2).
  • Только агрегированная аналитика. Любая аналитика, которую мы получаем для улучшения Сервисов, использует агрегированные, деидентифицированные данные, которые не могут быть использованы для вашей идентификации или восстановления вашего Контента.

5. Изоляция сред выполнения

Код, сгенерированный и выполняемый Сервисами, запускается внутри изолированных сред выполнения — выделенных, изолированных в песочнице подов Kubernetes, предоставляемых для каждой рабочей нагрузки. Среды выполнения изолированы друг от друга и уничтожаются согласно их расписанию жизненного цикла, что ограничивает радиус поражения от любого отдельного выполнения.

6. Управление уязвимостями

  • Мы проводим периодические оценки уязвимостей и тестирование безопасности Сервисов.
  • Мы отслеживаем известные уязвимости в наших программных зависимостях и применяем обновления на основе приоритезации рисков.
  • Ответственное раскрытие. Если вы считаете, что обнаружили уязвимость безопасности, пожалуйста, сообщите об этом по адресу security@proyecta.dev. Мы подтвердим получение вашего сообщения, оперативно расследуем его и будем информировать вас. Пожалуйста, предоставьте нам разумную возможность устранить проблему до любого публичного раскрытия.

7. Хранение и удаление данных

Мы храним информацию только столько, сколько необходимо для предоставления Сервисов и выполнения юридических обязательств. История переписки, включая запросы и сгенерированные результаты, хранится до тех пор, пока вы её не удалите или не закроете свою учётную запись. При прекращении действия учётной записи у вас есть 30-дневный период для экспорта ваших данных, после чего они удаляются в соответствии с нашим графиком хранения. Полные сведения приведены в §4 Политики конфиденциальности.

8. Реагирование на инциденты

Мы поддерживаем процесс реагирования на инциденты для событий безопасности. В случае нарушения, затрагивающего ваши персональные данные, мы уведомим затронутых клиентов в течение 72 часов с момента обнаружения, когда это возможно, или ранее, если этого требует применимое законодательство, включая характер инцидента, затронутые данные и рекомендуемые действия.

9. Субпроцессоры

Мы используем проверенный набор сторонних поставщиков услуг для эксплуатации Сервисов. Каждый из них обязан по договору защищать данные, которые обрабатывает от нашего имени. Полный, актуальный список — включая назначение каждого поставщика, обрабатываемые им данные и его местоположение — опубликован на нашей странице Субпроцессоров, на которой описано, как мы уведомляем об изменениях.

10. Соответствие и проверки безопасности

  • Соглашение об обработке данных. Клиенты, выступающие в качестве оператора данных, могут запросить DPA, дополняющее нашу Политику конфиденциальности дополнительными обязательствами по защите данных. Обращайтесь по адресу legal@proyecta.dev.
  • Анкеты безопасности. Мы с радостью заполним анкеты безопасности поставщика и поддержим корпоративные проверки безопасности — обращайтесь по адресу security@proyecta.dev.
  • Прозрачность субпроцессоров. Наш список субпроцессоров является публичным и поддерживается в актуальном состоянии.

По мере роста Proyecta мы продолжаем расширять нашу формальную программу безопасности и соответствия. По текущему статусу любой конкретной сертификации или аттестации, пожалуйста, свяжитесь с нами, и мы поделимся тем, где мы находимся.

11. Контакты

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.