Эта страница — взгляд пользователя на то, как Aitelier обращается с вашими данными. Полные Data Processing Addendum и Политика конфиденциальности живут на /dpa и /privacy — здесь практическая выжимка.
Где живут ваши данные
Основные данные — конфигурация проекта, база знаний, записи звонков, транскрипты, записи об использовании — размещены на выделенной инфраструктуре Hetzner в Германии, с объектным хранилищем в регионах ЕС.
Ряд субобработчиков обеспечивает сам AI и находится за пределами ЕС: провайдеры моделей и речи за голосовыми тирами (OpenAI, Anthropic, Google, Deepgram, Cartesia), LiveKit для медиа в реальном времени, Twilio для телефонии и Stripe для платежей. Для каждого из них передача покрыта Стандартными договорными положениями ЕС, и платформа отправляет провайдеру только тот контекст разговора, который нужен для работы вашего агента.
Полный список субобработчиков опубликован в DPA. Мы обязуемся уведомлять за 30 дней до добавления любого нового субобработчика.
Изоляция тенантов
Каждая таблица с бизнес-данными в нашей базе несёт tenant_id. Каждый запрос к базе идёт через слой репозиториев, который автоматически подставляет идентификатор тенанта. Правило линтера блокирует прямой доступ к ORM вне репозиториев — то есть программист не может случайно написать запрос, который прочитает строку другого тенанта.
Это изоляция на уровне строк, а не таблиц. Снаружи выглядит так, будто у каждого тенанта своя копия платформы.
Шифрование
- При передаче — TLS на каждом публичном эндпоинте. Медиа WebRTC — DTLS/SRTP.
- Учётные данные плагинов и SIP-секреты — шифрование AES-256-GCM на уровне столбцов поверх шифрования при хранении.
- API-ключи и секреты вебхуков — API-ключи хранятся хэшированными (восстановить нельзя); секреты подписи показываются один раз при создании.
Попав на платформу, секрет вам больше не показывается — UI отображает опознавательный префикс, но никогда полное значение.
Аутентификация
Вы входите по 6-значному коду, отправленному на вашу почту, — срок действия десять минут, одноразовое использование. Пароль запоминать не нужно, базы паролей, которую можно украсть, не существует.
После входа вы получаете короткоживущий токен доступа (срок жизни 1 час) плюс refresh-токен со скользящей 30-дневной ротацией и обнаружением повторного использования — украденный refresh-токен при повторном применении обнаруживается, и сессия уничтожается.
Двухфакторная аутентификация (TOTP) — в ближайших планах.
API-ключи
Каждый API-ключ ограничен по правам — вы даёте ему только нужные операции, никогда больше. Ключ с outbound:trigger не может читать сессии; ключ с sessions:read не может запустить звонок. Это обеспечивается на уровне API.
Ключи показываются один раз при создании, хранятся хэшированными и отзываются в любой момент.
Роли и права
Внутри проекта три роли:
- Owner — полный контроль, включая биллинг, участников, удаление
- Editor — может настраивать плагины, редактировать сценарии, запускать тесты, но не менять биллинг и не удалять участников
- Viewer — доступ только на чтение
Членство может пересекать границы тенантов — агентства обычно выдают сотрудникам права редактора на проектах клиентов, не сливая тенанты.
Сроки хранения данных
Текущие значения по умолчанию:
- Записи звонков — хранятся 30 дней, затем удаляются. Иной срок хранения — по запросу.
- Транскрипты и структурированные данные сессий — хранятся, пока ваш аккаунт активен.
- Записи о биллинге и использовании — хранятся в объёме, требуемом финансовым законодательством.
Удаление проекта убирает его из вашего рабочего пространства и уничтожает его индекс знаний. Для полного стирания исходных записей и транскриптов напишите на privacy@aitelier.org — мы завершим зачистку.
Запросы субъектов данных (DSAR)
Если звонящий просит вас удалить его данные — как правило, записи и транскрипты его звонков, — по GDPR (и аналогичным законам) вы обязаны отреагировать в течение 30 дней.
Отправьте запрос на privacy@aitelier.org с номером телефона звонящего: мы найдём его сессии, сотрём записи и транскрипты и подтвердим вам выполнение, чтобы вы могли закрыть запрос с доказательством. Мы принимаем DSAR и напрямую, если звонящий обратился к нам, а не к вам; мы маршрутизируем запрос нужному тенанту и подтверждаем выполнение обеим сторонам.
Согласие звонящего
Вы контролируете приветствие агента и формулировку раскрытия для каждого сценария. Если ваша юрисдикция требует раскрытия использования AI или согласия на запись — а таких всё больше, — добавьте это в приветствие сценария; агент произнесёт его на каждом звонке, а пакеты поставляются с разумными шаблонами приветствий для старта.
Сообщения об уязвимостях
Если вы нашли проблему безопасности, пожалуйста, сообщите на security@aitelier.org. Мы подтверждаем получение в течение двух рабочих дней и ставим критические проблемы выше всей остальной работы. PGP-ключ — по запросу.
Дорожная карта соответствия требованиям
Текущее состояние:
- Соответствие GDPR — подписанный DPA, размещение данных в ЕС, обработка DSAR, прозрачность субобработчиков
- SOC 2 Type I — аудит идёт, окно Type II начинается в III квартале 2026
- Готовность к HIPAA — BAA доступен по запросу для медицинских внедрений; обработка PHI настраивается на уровне проекта
- ISO 27001 — в планах, после SOC 2
Если вашей команде по соответствию нужно что-то конкретное (определённая региональная сертификация, особое условие в DPA, архитектурная схема для регулятора), напишите на security@aitelier.org — на большинство запросов у нас есть ответ, и обычно он же оказывается ответом для других клиентов из той же регуляторной сферы.