Документация

Безопасность и защита данных

Эта страница — взгляд пользователя на то, как Aitelier обращается с вашими данными. Полные Data Processing Addendum и Политика конфиденциальности живут на /dpa и /privacy — здесь практическая выжимка.

Где живут ваши данные

Основные данные — конфигурация проекта, база знаний, записи звонков, транскрипты, записи об использовании — размещены на выделенной инфраструктуре Hetzner в Германии, с объектным хранилищем в регионах ЕС.

Ряд субобработчиков обеспечивает сам AI и находится за пределами ЕС: провайдеры моделей и речи за голосовыми тирами (OpenAI, Anthropic, Google, Deepgram, Cartesia), LiveKit для медиа в реальном времени, Twilio для телефонии и Stripe для платежей. Для каждого из них передача покрыта Стандартными договорными положениями ЕС, и платформа отправляет провайдеру только тот контекст разговора, который нужен для работы вашего агента.

Полный список субобработчиков опубликован в DPA. Мы обязуемся уведомлять за 30 дней до добавления любого нового субобработчика.

Изоляция тенантов

Каждая таблица с бизнес-данными в нашей базе несёт tenant_id. Каждый запрос к базе идёт через слой репозиториев, который автоматически подставляет идентификатор тенанта. Правило линтера блокирует прямой доступ к ORM вне репозиториев — то есть программист не может случайно написать запрос, который прочитает строку другого тенанта.

Это изоляция на уровне строк, а не таблиц. Снаружи выглядит так, будто у каждого тенанта своя копия платформы.

Шифрование

  • При передаче — TLS на каждом публичном эндпоинте. Медиа WebRTC — DTLS/SRTP.
  • Учётные данные плагинов и SIP-секреты — шифрование AES-256-GCM на уровне столбцов поверх шифрования при хранении.
  • API-ключи и секреты вебхуков — API-ключи хранятся хэшированными (восстановить нельзя); секреты подписи показываются один раз при создании.

Попав на платформу, секрет вам больше не показывается — UI отображает опознавательный префикс, но никогда полное значение.

Аутентификация

Вы входите по 6-значному коду, отправленному на вашу почту, — срок действия десять минут, одноразовое использование. Пароль запоминать не нужно, базы паролей, которую можно украсть, не существует.

После входа вы получаете короткоживущий токен доступа (срок жизни 1 час) плюс refresh-токен со скользящей 30-дневной ротацией и обнаружением повторного использования — украденный refresh-токен при повторном применении обнаруживается, и сессия уничтожается.

Двухфакторная аутентификация (TOTP) — в ближайших планах.

API-ключи

Каждый API-ключ ограничен по правам — вы даёте ему только нужные операции, никогда больше. Ключ с outbound:trigger не может читать сессии; ключ с sessions:read не может запустить звонок. Это обеспечивается на уровне API.

Ключи показываются один раз при создании, хранятся хэшированными и отзываются в любой момент.

Роли и права

Внутри проекта три роли:

  • Owner — полный контроль, включая биллинг, участников, удаление
  • Editor — может настраивать плагины, редактировать сценарии, запускать тесты, но не менять биллинг и не удалять участников
  • Viewer — доступ только на чтение

Членство может пересекать границы тенантов — агентства обычно выдают сотрудникам права редактора на проектах клиентов, не сливая тенанты.

Сроки хранения данных

Текущие значения по умолчанию:

  • Записи звонков — хранятся 30 дней, затем удаляются. Иной срок хранения — по запросу.
  • Транскрипты и структурированные данные сессий — хранятся, пока ваш аккаунт активен.
  • Записи о биллинге и использовании — хранятся в объёме, требуемом финансовым законодательством.

Удаление проекта убирает его из вашего рабочего пространства и уничтожает его индекс знаний. Для полного стирания исходных записей и транскриптов напишите на privacy@aitelier.org — мы завершим зачистку.

Запросы субъектов данных (DSAR)

Если звонящий просит вас удалить его данные — как правило, записи и транскрипты его звонков, — по GDPR (и аналогичным законам) вы обязаны отреагировать в течение 30 дней.

Отправьте запрос на privacy@aitelier.org с номером телефона звонящего: мы найдём его сессии, сотрём записи и транскрипты и подтвердим вам выполнение, чтобы вы могли закрыть запрос с доказательством. Мы принимаем DSAR и напрямую, если звонящий обратился к нам, а не к вам; мы маршрутизируем запрос нужному тенанту и подтверждаем выполнение обеим сторонам.

Согласие звонящего

Вы контролируете приветствие агента и формулировку раскрытия для каждого сценария. Если ваша юрисдикция требует раскрытия использования AI или согласия на запись — а таких всё больше, — добавьте это в приветствие сценария; агент произнесёт его на каждом звонке, а пакеты поставляются с разумными шаблонами приветствий для старта.

Сообщения об уязвимостях

Если вы нашли проблему безопасности, пожалуйста, сообщите на security@aitelier.org. Мы подтверждаем получение в течение двух рабочих дней и ставим критические проблемы выше всей остальной работы. PGP-ключ — по запросу.

Дорожная карта соответствия требованиям

Текущее состояние:

  • Соответствие GDPR — подписанный DPA, размещение данных в ЕС, обработка DSAR, прозрачность субобработчиков
  • SOC 2 Type I — аудит идёт, окно Type II начинается в III квартале 2026
  • Готовность к HIPAA — BAA доступен по запросу для медицинских внедрений; обработка PHI настраивается на уровне проекта
  • ISO 27001 — в планах, после SOC 2

Если вашей команде по соответствию нужно что-то конкретное (определённая региональная сертификация, особое условие в DPA, архитектурная схема для регулятора), напишите на security@aitelier.org — на большинство запросов у нас есть ответ, и обычно он же оказывается ответом для других клиентов из той же регуляторной сферы.