Intly AI LogoIntly AI

Безопасность Intly AI

Защита ваших данных — наш приоритет. Мы применяем современные методы защиты на всех уровнях и соответствуем требованиям законодательства Российской Федерации.

Правовой статус

ООО «ЦЕХУМНИК» (ИНН 1300016821) является оператором персональных данных, зарегистрированным в реестре Роскомнадзора.

При работе с данными клиентов наших пользователей мы действуем как обработчик персональных данных на основании поручения оператора в соответствии со ст. 6 ч. 3 Федерального закона № 152-ФЗ.

УЗ-3 — третий уровень защищённости

Мы обеспечиваем УЗ-3 — третий уровень защищённости персональных данных в соответствии с требованиями Федерального закона № 152-ФЗ, ПП № 1119 и Приказа ФСТЭК России № 21. Уровень защищённости определён на основании категории обрабатываемых данных, типа субъектов и объёма обработки. Акт определения уровня защищённости подписан и хранится в составе внутренней документации.

Акт соответствия Timeweb Cloud

Что мы защищаем

Персональные данные

  • Email-адреса и контактные данные
  • Данные клиентов наших пользователей
  • История переписок с ИИ-агентами
  • Бизнес-информация

Интеграции и доступы

  • API-ключи для amoCRM, Wildberries, Ozon
  • Токены доступа к Telegram
  • Учётные данные внешних сервисов
  • OAuth-токены Google-сервисов

Как мы это защищаем

Шифрование данных

При передаче:

  • SSL/TLS-шифрование всего трафика
  • Автоматическое обновление сертификатов Let's Encrypt
  • Все API-запросы только по HTTPS

При хранении:

  • API-ключи и токены шифруются AES-256
  • Пароли хешируются bcrypt с адаптивным cost-фактором
  • Чувствительные данные никогда не хранятся в открытом виде

Аутентификация и контроль доступа

  • Пароли не хранятся в открытом виде
  • Email-верификация при регистрации
  • Автоматическое завершение неактивных сессий
  • JWT-токены с ограниченным сроком действия
  • Ограничение попыток входа (rate limiting)

Изоляция данных

Строгая мультитенантная архитектура — каждый пользователь работает только со своими данными.

  • Каждый пользователь работает только со своими данными
  • Интеграторы управляют клиентами только с явного разрешения
  • Разделение данных на уровне базы данных
  • Все API-запросы проверяются на принадлежность владельцу

Защита от DDoS-атак

Инфраструктура защищена от DDoS-атак на уровнях L3, L4 и L7 с использованием решения DDoS-Guard, интегрированного в платформу Timeweb Cloud.

  • Автоматическое отражение атак за 1 с (L3/L4) и до 60 с (L7)
  • Фильтрующие узлы в нескольких точках мира
  • CDN для ускорения доставки контента
  • Защита от мультивекторных атак

Мониторинг и аудит

  • Ежедневная проверка зависимостей на уязвимости
  • Мониторинг подозрительной активности
  • Логирование критических операций: авторизация, изменение настроек, действия с данными
  • Контроль экспорта и скачивания данных
  • Следование рекомендациям OWASP Top 10

Инфраструктура

Timeweb Cloud

Инфраструктура Intly AI размещена в дата-центрах Timeweb Cloud на территории Российской Федерации (Москва, Санкт-Петербург). Timeweb Cloud соответствует требованиям 152-ФЗ и действует по нормам ПП № 1119 и Приказа ФСТЭК № 21.

Timeweb Cloud обеспечивает защиту инфраструктуры и физическую безопасность серверов. Защита виртуальных машин и приложений находится в зоне ответственности Intly AI.

Компоненты инфраструктуры:

  • База данных: PostgreSQL с автоматическим резервным копированием
  • Файловое хранилище: MinIO S3 с шифрованием
  • Кэш: Redis для быстрого доступа
  • Векторная БД: Qdrant для ИИ-поиска

Резервное копирование:

  • Автоматические бэкапы базы данных — ежедневно
  • Хранение резервных копий — 14 дней
  • Географически распределённое хранение
  • Периодическое тестирование восстановления из бэкапов

Автоматические обновления:

  • SSL-сертификаты обновляются автоматически
  • Security-патчи применяются регулярно
  • Зависимости проверяются на уязвимости ежедневно

Безопасность ИИ-агентов

Контроль над агентами

  • Вы полностью контролируете возможности агента
  • Агент работает только в рамках заданных инструкций
  • Все действия агента логируются
  • Возможность остановки агента в любой момент

Обработка данных ИИ

Для генерации ответов мы используем API ведущих провайдеров. Данные передаются только для формирования ответа и не используются провайдерами для обучения моделей.

Наши AI-провайдеры:

  • Foundation Cloud — российский провайдер, данные обрабатываются на территории РФ
  • OpenRouter — маршрутизация запросов без использования данных для обучения
  • GigaChat (Сбер) — обработка данных в соответствии с политикой Сбера

Все передачи данных осуществляются по зашифрованным каналам. Мы передаём минимально необходимый объём информации.

Email и коммуникации

Защита почтового сервера

Верификация email

При регистрации мы отправляем письмо для подтверждения адреса. Это защищает от:

  • Спам-регистраций
  • Несанкционированного доступа
  • Создания поддельных аккаунтов

Технические меры

  • Собственный почтовый сервер
  • DKIM-подпись исходящих писем
  • TLS-шифрование при отправке и получении
  • Настроенные SPF и DMARC записи

Соответствие законодательству

Законодательство РФ

  • 152-ФЗ — зарегистрированы в реестре Роскомнадзора как оператор ПДн
  • ПП № 1119 — определён и задокументирован уровень защищённости ИСПДн (УЗ-3)
  • Приказ ФСТЭК № 21 — реализованы организационные и технические меры защиты
  • Локализация данных — все персональные данные хранятся на серверах в РФ

Внутренняя документация по ИБ

  • Политика обработки персональных данных
  • Положение об обработке персональных данных
  • Модель угроз безопасности ПДн
  • Акт определения уровня защищённости ИСПДн
  • Приказ о назначении ответственного за обработку ПДн
  • Инструкция по реагированию на инциденты безопасности

Договорные отношения

В договоре с каждым клиентом предусмотрено поручение на обработку персональных данных (ст. 6 ч. 3 152-ФЗ), включающее перечень действий с ПДн, цели обработки, обязательства по конфиденциальности и порядок уничтожения данных.

Хранение и удаление данных

Сроки хранения

  • Данные аккаунта — в течение срока действия договора
  • История переписок — в соответствии с настройками пользователя
  • Логи доступа — 12 месяцев

Удаление данных

  • При расторжении договора — удаление в течение 30 календарных дней
  • По запросу субъекта ПДн — удаление в течение 7 рабочих дней
  • Удаление из основной базы и из резервных копий по мере их ротации

Реагирование на инциденты

Наши обязательства

В случае обнаружения инцидента информационной безопасности мы:

  1. 1Фиксируем инцидент и начинаем расследование — незамедлительно
  2. 2Уведомляем Роскомнадзор — в течение 24 часов
  3. 3Уведомляем ГосСОПКА (ФСБ) — в течение 24 часов
  4. 4Уведомляем затронутых клиентов — в течение 48 часов
  5. 5Проводим расследование и принимаем корректирующие меры
  6. 6Публикуем отчёт о причинах и принятых мерах

Если вы заметили подозрительную активность

  1. 1Немедленно смените пароль
  2. 2Проверьте историю действий в аккаунте
  3. 3Свяжитесь с нами по адресу security@intly.ru
  4. 4При необходимости деактивируйте API-ключи интеграций

Прозрачность

Что мы НЕ делаем

  • Не продаём данные третьим лицам
  • Не используем данные клиентов для обучения ИИ-моделей
  • Не передаём данные без законного основания или согласия
  • Не храним пароли в открытом виде

Что мы делаем

  • Шифруем все чувствительные данные при передаче и хранении
  • Регулярно обновляем системы безопасности
  • Мониторим подозрительную активность 24/7
  • Информируем об изменениях политик и условий обработки данных
  • Проводим регулярные проверки и аудиты безопасности

Ответственное раскрытие уязвимостей

Мы ценим вклад исследователей безопасности. Если вы обнаружили уязвимость в Intly AI, сообщите нам — мы подтвердим получение в течение 24 часов и будем держать вас в курсе хода исправления.

Вопросы по безопасности?

Если у вас есть вопросы о безопасности Intly AI или вы хотите сообщить об уязвимости, свяжитесь с нами:

security@intly.ruTelegram: +7 952 076-01-28

Последнее обновление: февраль 2026 г.