Безопасность не как фичу, а как фундамент
Не каждый стартап имеет SOC 2. Мы прошли Type II в Q2 2026 — отчёт доступен под NDA. Всё остальное ниже — конкретика, без маркетингового тумана.
Шифрование
| Контекст | Алгоритм | Где ключи |
|---|---|---|
| В транзите (клиент ↔ сервер) | TLS 1.3, ChaCha20-Poly1305 / AES-256-GCM | HSTS preload, OCSP stapling |
| В покое (БД, файлы) | AES-256-GCM, envelope encryption | AWS KMS, ротация ключей раз в 90 дней |
| End-to-end (опционально) | X25519 + ChaCha20-Poly1305 (per-workspace) | Только на устройствах пользователей |
| Резервные копии | AES-256, отдельные ключи | Изолированный аккаунт, доступ только через 2-of-3 MFA |
Сертификации и комплаенс
| Стандарт | Статус | Документы |
|---|---|---|
| SOC 2 Type II | Действует с Q2 2026 | По запросу, NDA |
| ISO/IEC 27001:2022 | Аудит идёт — finalize Q4 2026 | — |
| GDPR (EU) | Соответствие | DPA шаблон публичный |
| 152-ФЗ (РФ) | В реестре операторов ПДн | Уведомление РКН №77-23-018524 |
| HIPAA | Не покрываем | Мед-данные хранить нельзя — см. Terms |
Аутентификация
- 2FA: TOTP (Google Authenticator, 1Password, Authy) или WebAuthn / FIDO2 (YubiKey, Touch ID, Windows Hello).
- SSO: SAML 2.0 и OIDC. Okta, Azure AD, Google Workspace, OneLogin, JumpCloud, Auth0, Keycloak — все протестированы.
- SCIM 2.0: автопровижионинг, де-провижионинг при увольнении.
- IP allowlist: на уровне воркспейса, поддержка CIDR-диапазонов.
- Session management: просмотр активных сессий, удалённый logout, обязательная переавторизация после 30 дней неактивности.
Доступ к данным (внутри FocusWork)
Из 26 человек постоянный доступ к production-БД имеют только 3 (CTO + 2 senior SRE). Все запросы — через bastion-host с обязательной фиксацией в audit-log. Доступ автоматически отзывается при простое > 7 дней. Все доступы пересматриваются ежеквартально.
Bug bounty
Программа на HackerOne, действует с октября 2025. Средняя награда — $1500. Критические уязвимости — до $15 000.
Hall of Fame: 14 исследователей за 6 месяцев работы программы. Все CVE-публикации согласованы.
Доступность данных
- Резервные копии каждые 4 часа, point-in-time recovery в окне 30 дней.
- RPO ≤ 15 минут, RTO ≤ 2 часа (вне регламентного обслуживания).
- Multi-region failover для Enterprise (EU primary + US secondary, реплика < 5 секунд).
- Хранение данных пользователей в выбранном регионе: Hetzner Helsinki (EU), либо Yandex Cloud Москва (RU) при подписке тарифа RU.
Раскрытие уязвимостей
Нашли что-то — пишите на security@focuswork.pro. PGP-ключ: 0xF1A4B92D. Не публикуйте детали публично до 90 дней coordinated disclosure или согласованного раскрытия (что наступит раньше).
Документы по запросу
- SOC 2 Type II отчёт (по NDA)
- Penetration test summary (раз в 6 месяцев, Cure53)
- DPA / SCC для GDPR
- Subprocessor list (актуальный)
- Incident response plan (для Enterprise)
Запрос: trust@focuswork.pro