AAPCODE AI-ассистент
Начать бесплатно

Безопасность и приватность

Мы знаем что AI-ассистент получает доступ к вашей почте, календарю, внутренним чатам. Это ответственность. Вот как мы с ней обращаемся.

Данные в РФ

Серверы и резервные копии физически в России. PostgreSQL + Backblaze B2 в российском регионе. Данные не покидают юрисдикцию РФ.

AES-256-GCM шифрование

Email-пароли, OAuth refresh-токены, CalDAV app-passwords хранятся только encrypted. Ключ в .env.local с ротацией. Утечка БД = бесполезные бинарные данные.

Изоляция per-client

Каждый клиент — отдельный brainScope. Vector search по Brain, chat-facts, файлам строго в рамках клиента. Нет cross-contamination между workspaces.

Роли в команде

Owner видит биллинг, OAuth-токены, приватные интеграции. Member видит только рабочий контекст (задачи, файлы, чат ассистента) — без финансов и личных интеграций других.

Audit log

Все действия в workspace логируются: кто создал задачу, загрузил файл, добавил участника, сгенерил MCP-ключ. Видно в /dashboard/assistant/team/audit.

GDPR export

POST /api/dashboard/gdpr/export — скачивает JSON со всеми вашими данными: задачи, факты, chat history, интеграции, подписки. Article 20 compliance.

GDPR delete

POST /api/dashboard/gdpr/delete с confirm — полное удаление аккаунта. Каскад на все связанные записи. Для Enterprise-ботов — автоматический deleteWebhook. Article 17.

Zero retention для AI

Promised через Polza API — модели не учатся на ваших данных, prompts не сохраняются на стороне провайдера. Это контрактное условие.

Техническая архитектура

Brain scope isolation

Все знания клиента (chat-facts, daily-summaries, notes, file-facts) помеченыbrainScope = "client-{id}". Любой vector search фильтрует по scope жёстко на уровне SQL. Кросс-клиентский leak невозможен архитектурно.

Encrypted secrets

Email-пароли, Google refresh-токены, CalDAV app-passwords — все шифруются AES-256-GCM перед записью в БД. Ключ ENCRYPT_KEYтолько в .env.local на сервере, не в git, не в бэкапах БД.

Telegram Web App validation

Каждый запрос от Mini App валидируется через HMAC-SHA256 (legacy клиенты) или Ed25519 с публичным ключом Telegram (современные iOS/Android). Forged requests отбрасываются.

Silent Observer в группах

Жёсткий guard в коде: бот в группе ТОЛЬКО читает, никогда не пишет. Другие участники группы не получают от бота сообщений. Саммари приходят исключительно владельцу в личку.

Резервное копирование

Ежедневный pg_dump в 03:00 MSK, выгрузка в Backblaze B2 в 04:00. Ротация 30 дней. Даже при потере основного сервера — данные клиентов восстанавливаются из S3.

Что ВЫ контролируете

  • Отключить любую проактивную фичу в /dashboard/assistant/preferences
  • Удалить любой факт памяти по запросу: «забудь про X»
  • Отозвать MCP-ключи в /dashboard/assistant/mcp в один клик
  • Отключить email или календарь когда угодно через /dashboard/assistant/integrations
  • Удалить бота из группы → все сохранённые сообщения автоудаляются через 30 дней
  • Экспортировать все данные в JSON (GDPR Article 20)
  • Полностью удалить аккаунт с каскадом (GDPR Article 17)
  • Отменить подписку в один клик — доступ до конца периода

Есть вопрос про безопасность?

Для Enterprise — готовы подписать NDA и заполнить security-вопросник. Для всех — детальные ответы в FAQ.

FAQ security@apcode.tech