Перейти до змісту

Архітектура — як це працює

Високорівневий огляд того, як платформа обробляє ваші дані. Деталі — для clients, які хочуть розуміти контекст безпеки.

Загальна модель

graph TB
    User[Ви/команда] -->|HTTPS| Web[Web Portal]
    Web --> API[BCP API]
    API --> DB[(База даних<br/>шифрована)]
    API --> Workers[Detection Workers]
    Workers --> External[Зовнішні джерела<br/>HIBP, GitHub, Pastebin, ...]
    API --> Notifications[Email / Webhook]
    Notifications --> User

Компоненти

Компонент Що робить
Web Portal Інтерфейс, з яким ви працюєте — дашборд, налаштування, звіти
BCP API Бізнес-логіка, авторизація, обробка запитів
Database Зашифрована БД для зберігання знахідок, налаштувань, користувачів
Detection Workers Фонові процеси, які виконують сканування за розкладом
Notification engine Доставка email і webhook-сповіщень

Як обробляються ваші дані

  1. Налаштування (DataSources, ключі API сторонніх сервісів) — зберігаються в БД, зашифровані at-rest окремими ключами на рівні організації.
  2. Сканування виконується workers — вони звертаються до зовнішніх джерел (HIBP, GitHub, тощо) від вашого імені, використовуючи ваші ключі.
  3. Знахідки записуються у БД з прив'язкою до вашої організації — інші організації їх не бачать ніколи.
  4. Сповіщення надсилаються через ваші налаштовані канали (email, webhook).

Multi-tenancy

Платформа працює у multi-tenant режимі: усі клієнти живуть у спільній інфраструктурі, але дані строго ізольовані на рівні організації.

  • Кожен запит до API проходить через row-level security — навіть якщо у коді була б помилка, БД не віддасть чужі дані.
  • Кожен користувач належить до однієї або кількох організацій, переключається через UI.
  • Адміністратори платформи Bytecode не мають routine-доступу до даних клієнтів. Доступ можливий тільки за explicit request клієнта (наприклад, підтримка) і логується.

Де знаходяться дані

  • Основна БД — PostgreSQL у регіоні EU (Frankfurt) через Neon.
  • Резервні копії — у тому ж регіоні, окремий availability zone.
  • Логи — обмежено 90 днів.
  • Тимчасові файли (наприклад, скачані пасти, скріншоти leak-сайтів) — на блочному сховищі, теж EU.

Якщо ви маєте data-residency вимогу (наприклад, дані не виходять з певної країни), зв'яжіться з sales@bytecode.team — для Enterprise можливі окремі регіони розгортання.

Безпека

Деталі — у розділі безпеки. Коротко:

  • TLS 1.3 для всього трафіку.
  • AES-256 для шифрування at-rest.
  • 2FA опційно для всіх користувачів, обов'язково для Admin.
  • Аудит-лог критичних дій.
  • Regular penetration tests.