Trust Center
Security is not an option, it's the foundation. Here you'll find information about our code, infrastructure, and data protection practices.
Secure SDLC
Безопасность на каждом этапе разработки
Изолированная инфраструктура
Собственные серверы, сегментация сети
Zero Trust
MFA, RBAC, принцип минимальных привилегий
Соответствие
152-ФЗ, NDA, аккредитация Минцифры
Наш подход к безопасности
Мы работаем с финтехом, банками и enterprise-клиентами, где цена ошибки измеряется не только деньгами, но и репутацией. Безопасность встроена в нашу ДНК: от первой строки кода до production-деплоя.
Registered IT Vendor
Softenq Ltd. is a registered IT company operating in compliance with applicable data protection and security regulations.
Secure Development Lifecycle
Каждый этап разработки включает контроли безопасности. Мы не «прикручиваем» безопасность в конце — она интегрирована в процесс с первого дня.
1. Требования и дизайн
- Threat Modeling на этапе проектирования архитектуры
- Security Requirements включены в Definition of Done
- Архитектурные решения (ADR) фиксируют security-компромиссы
2. Разработка и Code Review
- SAST — статический анализ кода на каждый коммит
- SCA — сканирование зависимостей (CVE, лицензии)
- Secret Scanning — проверка на утечку секретов в коде
- Обязательный Code Review от TL/Senior с security-фокусом
3. CI/CD и деплой
- DAST — динамическое тестирование на staging-окружении
- Container Image Scanning перед деплоем
- Infrastructure as Code (Terraform/Ansible) с версионированием
- Immutable deployments, rollback за секунды
Инфраструктура
Собственная инфраструктура в защищённом контуре. Никаких shared-хостингов и непрозрачных облаков для критичных данных.
Сетевая изоляция
- Сегментация на уровне VLANs
- Межсетевой экран OPNsense с IDS/IPS
- DMZ для внешних сервисов
- VPN для удалённого доступа (WireGuard)
Хранение данных
- Encryption at rest (AES-256) и in transit (TLS 1.3)
- Регулярные бэкапы с проверкой восстановления
- Локализация данных на территории РФ (152-ФЗ)
- Ротация ключей шифрования
Мониторинг и логирование
Централизованный сбор логов, алертинг на подозрительную активность. Prometheus + Grafana для метрик, Loki для логов. Retention policy согласно требованиям.
Защита кода и IP
Права на код
- Полное отчуждение исключительных прав заказчику
- Все сотрудники в штате, NDA подписаны
- Передача исходников и документации по завершении
Контроль репозиториев
- Self-hosted GitLab в защищённом контуре
- Protected branches, обязательные approvals
- Аудит всех действий с репозиторием
Контроль доступа
Zero Trust Architecture: никому не доверяем по умолчанию, даже внутренним пользователям.
MFA везде
Двухфакторная аутентификация для всех критичных систем
RBAC
Ролевая модель доступа, принцип минимальных привилегий
Аудит
Логирование всех действий, регулярный review доступов
Непрерывность бизнеса
Bus Factor > 1
Мы устраняем риск зависимости от одного специалиста:
- Парное программирование на критичных участках
- Документирование архитектурных решений (ADR)
- Knowledge Base и onboarding-процесс
- Ротация задач внутри команды
Disaster Recovery
Готовность к инцидентам и быстрое восстановление:
- Регулярные бэкапы с тестированием восстановления
- Runbooks для типовых инцидентов
- RTO/RPO согласуются с клиентом
Соответствие требованиям
152-ФЗ
Персональные данные хранятся на территории РФ
242-ФЗ
Локализация баз данных российских граждан
NDA
Соглашение о неразглашении с каждым клиентом
Минцифры
Включены в реестр аккредитованных ИТ-компаний
РУССОФТ
Член ассоциации разработчиков ПО
Диадок / СБИС
Электронный документооборот для юридической чистоты
Готовы к аудиту
По запросу предоставляем документацию для прохождения security-аудита на стороне клиента:
Контакты для служб безопасности
Для вопросов по информационной безопасности, запросов на аудит или инцидентов: