Security at Binta.Cloud

Платформа держит data of МСБ — invoices, банковские выписки, контракты, переписку. Контролы ниже — то что мы реально внедрили, не маркетинговая страница.

ENC

Шифрование at-rest и in-transit

PostgreSQL TDE (Transparent Data Encryption) на уровне tablespace, TLS 1.2+ на всех публичных endpoint. Backups шифруются AES-256 перед загрузкой в Object Lock storage.

MT

Multi-tenant изоляция

Row-level security (RLS) policy на каждой таблице — tenant_id matches subject claim в JWT. Plus отдельные Postgres roles per tenant для дополнительного barrier. Тесты RLS прогоняются на каждом PR.

MFA

MFA + RBAC

TOTP по умолчанию для всех admin-учёток (Этап 106). Роли — owner / admin / accountant / employee / read-only — enforced через OPA-policy. SSO (SAML/OIDC) опционально на Enterprise.

AUD

Audit log + WORM storage

Каждое write-действие логируется в bf_audit_log; критические события дублируются в S3 Object Lock (immutable, 7-year retention) для compliance (SOC2 CC7, GDPR Art. 30).

BCP

Backup + DR

Полные backups каждые 24h + incremental каждый час. Tested restore раз в квартал (DR drill). RPO ≤ 1h, RTO ≤ 4h. Cross-region replication опционально на Enterprise.

AI

AI Agent Team — guardrails

Все агенты работают в OBSERVE → PREPARE → EXECUTE escalation: первая неделя только read. Hard cost-cap + rate-limit middleware (Этап 76). Prompt-injection eval harness прогоняется continuous (Этап 199).

GDPR

GDPR + закон РБ № 99-З

Полный inventory cookies/storage (см. /legal/cookies). DSAR self-serve в кабинете. EU sub-processors — SCCs. DPO contact + breach notification 72h.

VLN

Vulnerability management

Dependency-scans (renovate + osv-scanner) на каждом PR. Penetration test раз в год независимой фирмой. Bug bounty — на стадии запуска. SECURITY.md содержит coord. disclosure process.

Compliance roadmap

  • 2026 Q3 — SOC2 Type I (controls implemented and described).
  • 2026 Q4 — SOC2 Type II observation period start.
  • 2027 Q2 — ISO 27001 certification audit.
  • EU AI Act — transparency clause + Audit Drawer уже задеплоен (Этап 73), полное соответствие к Aug 2026.

Нашёл уязвимость?

Coord. disclosure через security@binta.cloud — PGP-key выложен на странице /legal/security/pgp. Мы отвечаем в течение 24h, фикс — по severity.

Hall of Fame для researchers — в roadmap H2 2026.