All production systems run on isolated private cloud infrastructure in EU-based data centres (Hetzner, Frankfurt; Contabo, Nuremberg). Networks are segmented with strict firewall rules. Public-facing services sit behind a reverse proxy with DDoS mitigation. SSH access is restricted to key-based authentication; password authentication is disabled on all nodes. Все производственные системы работают в изолированной частной облачной инфраструктуре в дата-центрах ЕС (Hetzner, Франкфурт; Contabo, Нюрнберг). Сети сегментированы со строгими правилами брандмауэра. Публично доступные сервисы находятся за обратным прокси с защитой от DDoS. SSH-доступ ограничен аутентификацией по ключу; парольная аутентификация отключена.

All data in transit is encrypted via TLS 1.3. Data at rest is encrypted using AES-256. Database backups are encrypted before leaving the primary server. API keys and secrets are stored in environment variables, never in source control. Client document archives processed through NeuraDOC or NeuralSearch are stored in isolated, encrypted object storage — never commingled across tenants. Все данные при передаче шифруются по TLS 1.3. Данные в состоянии покоя шифруются по AES-256. Резервные копии баз данных шифруются до передачи с основного сервера. API-ключи и секреты хранятся в переменных окружения, никогда — в системе контроля версий. Клиентские архивы документов хранятся в изолированном зашифрованном объектном хранилище без смешивания данных разных клиентов.

Production access follows the principle of least privilege. All internal access requires multi-factor authentication. Role-based access control (RBAC) is enforced across all services. Access logs are retained for 90 days and reviewed monthly. Former employees and contractors are deprovisioned within 24 hours of departure. Производственный доступ следует принципу минимальных привилегий. Весь внутренний доступ требует многофакторной аутентификации. Ролевой контроль доступа (RBAC) применяется ко всем сервисам. Журналы доступа хранятся 90 дней и проверяются ежемесячно. Доступ бывших сотрудников и подрядчиков отзывается в течение 24 часов.

Dependencies are scanned automatically on every deployment via automated pipelines. Critical vulnerabilities are patched within 48 hours. Penetration testing is conducted annually by an independent third party. Security advisories are monitored continuously for all software components in use. Зависимости автоматически сканируются при каждом деплое через автоматизированные конвейеры. Критические уязвимости устраняются в течение 48 часов. Пентестирование проводится ежегодно независимой третьей стороной. Бюллетени безопасности непрерывно отслеживаются для всех используемых программных компонентов.

We maintain a documented incident response plan. In the event of a data breach affecting personal data, affected clients will be notified within 72 hours in accordance with GDPR Article 33. A post-incident report is produced for all severity-1 events. To report a security vulnerability, contact [email protected] — we commit to an initial response within 24 hours. У нас есть задокументированный план реагирования на инциденты. В случае утечки данных, затрагивающей персональные данные, пострадавшие клиенты будут уведомлены в течение 72 часов согласно статье 33 GDPR. По всем инцидентам уровня severity-1 составляется отчёт. Для сообщения об уязвимости безопасности: [email protected] — первоначальный ответ в течение 24 часов.