ArchiPanopticon
На главную
Trust · Security

Security

Действует с:2026-06-22Версия:1.1.0Оператор:the ArchiPanopticon Project

ArchiPanopticon спроектирован как browser-first симулятор архитектуры. На этой странице описаны текущие security-практики, границы продукта и способ сообщить об уязвимости.

Модель безопасности

  • Симулятор работает в браузере. Диаграммы, конфиги компонентов и состояние симуляции по умолчанию остаются в локальном хранилище браузера.
  • Аккаунт, подписка и опциональное облачное сохранение используют production API только когда пользователь входит в аккаунт или явно включает соответствующую функцию.
  • Публичный лендинг — статический или server-rendered контент; он не раскрывает данные авторизованного симулятора.
  • Для симуляции не нужно загружать production-секреты, реальные инфраструктурные credentials, приватные Docker-образы или клиентские датасеты.

Что уже применяется

  • В production используется HTTPS.
  • Аутентификация и billing-запросы идут через отдельный backend API и cookie-сессии.
  • Пароли, если используются, хранятся как криптографические хэши, а не как plaintext.
  • Данные банковских карт обрабатывает платёжный провайдер; ArchiPanopticon не хранит номера карт.
  • Доступ к production-инфраструктуре ограничен оператором и административными аккаунтами, необходимыми для работы сервиса.
  • Аналитика лендинга включается только после согласия и не используется для рекламы или ретаргетинга.
  • Зависимости и контейнеры проверяются в обычном release-процессе; security-фиксы с высоким риском приоритизируются выше фич.

Границы продукта

ArchiPanopticon — образовательный и проектный симулятор. Это не production monitoring, не хранилище compliance evidence, не полигон для пентеста и не платформа для размещения регулируемых нагрузок.

Не вводите реальные production-секреты, персональные данные клиентов, медицинские данные, платёжные карты или конфиденциальные credentials в свободные поля. Если команде нужны более строгие гарантии для платного внедрения, свяжитесь с нами до загрузки таких данных.

Инциденты и уязвимости

Сообщения об уязвимостях принимаются по политике vulnerability disclosure. Мы стараемся подтвердить получение содержательного отчёта в течение 5 рабочих дней и держать исследователя в курсе, если исправление требует больше времени.

Enterprise security review

Security-questionnaire, архитектурные заметки и детали обработки данных можно обсудить через страницу контактов. Мы отвечаем только на основании реально внедрённых контролей и не заявляем сертификации или результаты аудита, которых нет.