Безопасность

Безопасность в 1CAnalog — это не опция, а фундамент.

Изоляция тенантов

Все запросы выполняются под PostgreSQL RLS. Доступ к данным другого тенанта невозможен на уровне БД, а не только приложения. Сервер стартует только под непривилегированной ролью — guard на старте проверяет это.

Шифрование

TLS при передаче, AES-256 при хранении. Ежедневные шифрованные бэкапы; point-in-time recovery на тарифе Business+.

Аудит

Каждая мутация фиксируется в неизменяемом журнале (tenant_id, user_id, diff). Доступно админам в /admin/audit.

Аутентификация

Через Clerk: passwordless, соцсети, SSO на Enterprise. Для мобильных клиентов — JWT-мост.

Раскрытие

Сообщения об уязвимостях — security@1canalog.app. Подтверждение в течение 48 часов.