Astrolium

Безопасность в Astrolium

Обновлено:

Кратко. Astrolium шифрует каждый байт данных в хранилище по AES-256, а при передаче — по TLS 1.3. Пароли хешируются Argon2id и в открытом виде нигде не хранятся. Двухфакторная аутентификация доступна на всех тарифах, включая бесплатный. Серверы — во Франкфурте, реплика — в Дублине. Ваши карты мы не используем для обучения моделей ИИ. О том, какие данные мы собираем, — в политике конфиденциальности; о правовой основе — в условиях использования; о текущей доступности — на странице статуса.

1. Шифрование

  • В хранилище — Все данные клиентов зашифрованы на уровне тома по AES-256. Резервные копии базы данных шифруются отдельно, собственными ключами с ротацией раз в 90 дней.
  • При передаче — Все подключения к Astrolium работают по TLS 1.3 с HSTS preload. TLS 1.0 и 1.1 не принимаются; TLS 1.2 отклонён для новых сессий с января 2026 года.
  • Резервные копии — Ежедневное зашифрованное резервирование; хранение — 30 дней в отдельном регионе (Дублин) от основного (Франкфурт). По истечении срока данные удаляются безвозвратно с верифицируемым подтверждением.

2. Аутентификация

  • Пароли — Хешируются по Argon2id с параметрами, рекомендованными OWASP (память: 64 МиБ, итераций: 3, параллелизм: 4). Мы не видим ваш пароль в открытом виде — и база данных тоже. При утечке дампа таблицы пользователей злоумышленник получит только хеши.
  • Двухфакторная аутентификация — Доступна на всех тарифах: Free, Pro, Adept и Master. Поддерживаются TOTP-приложения (Authy, 1Password, Google Authenticator) и аппаратные ключи безопасности (WebAuthn).
  • Сессионные куки — HttpOnly, Secure, SameSite=Lax; перевыпускаются при каждом изменении привилегий. Сессия завершается после 30 дней без активности.
  • SSO (Google Workspace, Microsoft 365, Okta) доступен на тарифе Master.

3. Инфраструктура

  • Маркетинговый фронтенд и edge-runtime работают на Vercel. Серверная часть и все данные клиентов размещены на Hetzner Cloud в ЕС, в двух регионах (Франкфурт — основной, Дублин — реплика).
  • Перед приложением стоит Cloudflare — защита от DDoS и CDN-кеширование исключительно статических ресурсов. Тела запросов на edge-узлах Cloudflare не хранятся.
  • Сервис эфемерид работает в контейнерах на 1 vCPU с 2 репликами на регион. Технические подробности — в статье о сервисе эфемерид.
  • Целевой показатель доступности — 99,9 %; фактический результат за апрель 2026 года составил 99,96 %. Состояние в реальном времени доступно на странице статуса.

4. Соответствие требованиям

  • GDPR — Astrolium применяет стандарт GDPR глобально: это проще и мы считаем такой подход правильным. О ваших правах и порядке их реализации — в политике конфиденциальности.
  • SOC 2 Type II — Аудит в процессе; плановая дата аттестации — Q3 2026. Обновления — на странице дорожной карты.
  • Тест на проникновение — Ежегодное тестирование силами сторонних специалистов. Отчёт за 2026 год кратко изложен ниже; полный вариант доступен под NDA по запросу корпоративным клиентам.
  • Субпроцессоры — только именованные: Vercel (хостинг фронтенда), Hetzner (хостинг бэкенда и данных, ЕС), Stripe (платежи), Postmark (транзакционная почта), OpenRouter (инференс ИИ, модели Google Gemini) и Cloudflare (CDN/DNS). Мы не подключаем субпроцессора без предварительного обновления политики конфиденциальности.

5. Сообщение об уязвимостях

Нашли уязвимость? Напишите на security@astrolium.com. Первый ответ — в течение 24 часов, официальное подтверждение — в течение 72 часов; для критичных проблем стараемся выпустить патч за 7 дней. За подтверждённые отчёты выплачиваем вознаграждения — актуальные диапазоны:

  • Критический (захват аккаунта, выполнение кода на стороне сервера): $1 000–$5 000
  • Высокий (обход аутентификации, раскрытие конфиденциальных данных): $500–$2 000
  • Средний (XSS, CSRF, IDOR): $100–$500
  • Низкий (раскрытие информации, обход ограничений запросов): до $100

Публичной программы bug bounty нет — отчёты принимаем только по электронной почте. Исследователей, которые действуют добросовестно и соблюдают принципы ответственного раскрытия, мы не преследуем.

6. Право собственности на данные и их переносимость

Ваши данные принадлежат вам. В настройках аккаунта доступно:

  • Экспорт всех карт в единый JSON-архив в один клик
  • Экспорт отдельных карт в PDF, PNG или SVG с метаданными
  • Полное удаление аккаунта в течение 30 дней, включая резервные копии, без возможности восстановления
  • Исправление любых данных, которые Astrolium хранит о вас

Astrolium не привязывает вас к платформе. Формат экспорта задокументирован и удобочитаем.

7. Искусственный интеллект и машинное обучение

Astrolium не обучает модели ИИ на ваших натальных картах, клиентской базе, заметках или интерпретациях. ИИ-функции работают на моделях Google Gemini через OpenRouter: туда уходит только та карта, с которой вы сейчас работаете, — и только для инференса. Данные карт не участвуют в обучении никаких моделей. На нашей стороне инференс stateless: логирования нет, входные данные не кешируются, дообучение не ведётся.

8. Прошлые инциденты

На странице статуса — все инциденты за последние 90 дней; для любого сбоя дольше 30 минут публикуется постмортем. На дату этой страницы ни один инцидент не привёл к несанкционированному доступу к данным пользователей. Если это когда-нибудь изменится, мы опубликуем постмортем здесь и уведомим каждого затронутого пользователя в течение 72 часов с момента обнаружения — что вписывается в окно уведомления об инцидентах, установленное GDPR.

Об инженерных решениях подробнее — в статье о сервисе эфемерид. Правовая база — в разделах конфиденциальность и условия использования. Доступность — на странице статуса. По остальным вопросам — security@astrolium.com.