Безопасность

Как Octyx защищает данные организации, сессии и платежи.

Сообщить об уязвимости

Пишите на security@octyx.app — приложите PoC и шаги воспроизведения. Отвечаем в течение одного рабочего дня. Программы bug bounty пока нет, но мы охотно упоминаем исследователей в рекомендациях.

security@octyx.app

Транспорт и сессии

Публичные точки отдают TLS 1.2+. Куки сессий — HttpOnly, Secure, SameSite=Lax. Изменяющие состояние вызовы требуют CSRF-токен.

Изоляция тенантов

Каждая организация изолирована по UUID. API и воркеры фильтруют данные по тенанту; межтенантный доступ блокируется на уровне приложения.

Файлы и секреты

Загрузки идут через единый файловый модуль в S3-совместимое хранилище. Секреты — только из окружения, не из репозитория.

Комплаенс

Практики выравниваем под 152-ФЗ. Вопросы по приватности: privacy@octyx.app.