Юридично

Безпека

Оновлено: 14 червня 2026 р. · DEP Software

Коротко: Direct AI Agents працює на власній інфраструктурі в ЄС. Кожен клієнт отримує ізольований інстанс. Сервери захищені фаерволом, зовнішній трафік — лише через HTTPS. Усі дані шифруються під час передачі та зберігання.

01

Інфраструктура та ізоляція

  • Розташування: Продакшн-сервери розміщені в Європейському Союзі (регіон eu-central-1). Дані клієнтів не покидають ЄС без явної згоди.
  • Ізольовані інстанси: Кожен бренд-клієнт отримує окремий інстанс платформи з власною базою PostgreSQL, процесами та конфігурацією. Дані одного клієнта недоступні іншим.
  • Мережева безпека: Сервери знаходяться за фаерволом. Відкриті лише необхідні порти (HTTPS 443, SSH для адміністрування з обмеженого списку IP). Прямий доступ до баз даних з інтернету заблоковано.
  • Reverse proxy: Nginx термінує TLS, застосовує rate limiting і проксіює запити до внутрішніх сервісів, які не доступні напряму ззовні.
02

Шифрування даних

  • У транзиті: Увесь зовнішній трафік (вебсайт, API, адмін-панель) захищений TLS 1.2+ (рекомендовано TLS 1.3). Сертифікати Let's Encrypt з автоматичним оновленням.
  • У спокої: Бази даних PostgreSQL зберігаються на зашифрованих дисках (encryption at rest). Резервні копії також зберігаються у зашифрованому вигляді.
  • Секрети та паролі: Паролі адміністраторів зберігаються у вигляді bcrypt-хешів. OAuth-токени Meta та API-ключі зберігаються у зашифрованому вигляді в базі та не потрапляють у логи.
  • Сесії: JWT-токени адмін-панелі мають обмежений термін дії. Секрети підпису зберігаються лише на сервері в змінних оточення, не в коді.
03

Контроль доступу

  • Мінімальні привілеї: Доступ до серверів і баз даних мають лише уповноважені інженери DEP Software у межах виконання робіт.
  • Аутентифікація: SSH-доступ — лише за ключами, без паролів. Адмін-панель клієнта — окремі облікові записи з ролями.
  • Cross-conversation isolation: AI-агент обробляє повідомлення лише поточної розмови. Дані різних клієнтів Instagram ніколи не змішуються в одному контексті.
  • Логування: Журнали не містять секретів, токенів або повного вмісту DM. Використовуються для діагностики та виявлення зловживань.
04

Резервні копії та відновлення

Бази даних резервуються регулярно. Копії зберігаються окремо від основного сервера у зашифрованому вигляді. У разі інциденту ми можемо відновити дані клієнта з резервної копії.

Після припинення співпраці дані клієнта видаляються протягом 30 днів відповідно до Політики конфіденційності та інструкції з видалення.

05

Субобробники та інтеграції

Для роботи платформи ми передаємо дані лише необхідним постачальникам:

  • Meta Platform — Instagram Direct API (повідомлення, профіль).
  • Anthropic (Claude) — генерація відповідей AI-агента.
  • KeyCRM — за налаштуванням клієнта (замовлення, контакти).
  • Resend — транзакційні email з лендингу та сповіщення.

Повний перелік та умови обробки — у DPA (Data Processing Agreement) та Політиці конфіденційності.

06

Повідомлення про інциденти

У разі інциденту безпеки, що впливає на персональні дані клієнтів, ми повідомляємо уражених клієнтів-підприємців без невиправданої затримки та, за потреби, відповідний наглядовий орган відповідно до GDPR.

Підозрілі активності або вразливості можна повідомити на help@depsoftware.com з темою «Security report».

07

Контакти

DEP Software — Direct AI Agents

Питання безпеки: help@depsoftware.com
CEO: Данило Павенко — ceo@depsoftware.com
DPA для B2B-клієнтів: direct-ai-agents.com/dpa