Архітектура — як це працює¶
Високорівневий огляд того, як платформа обробляє ваші дані. Деталі — для clients, які хочуть розуміти контекст безпеки.
Загальна модель¶
graph TB
User[Ви/команда] -->|HTTPS| Web[Web Portal]
Web --> API[BCP API]
API --> DB[(База даних<br/>шифрована)]
API --> Workers[Detection Workers]
Workers --> External[Зовнішні джерела<br/>HIBP, GitHub, Pastebin, ...]
API --> Notifications[Email / Webhook]
Notifications --> User
Компоненти¶
| Компонент | Що робить |
|---|---|
| Web Portal | Інтерфейс, з яким ви працюєте — дашборд, налаштування, звіти |
| BCP API | Бізнес-логіка, авторизація, обробка запитів |
| Database | Зашифрована БД для зберігання знахідок, налаштувань, користувачів |
| Detection Workers | Фонові процеси, які виконують сканування за розкладом |
| Notification engine | Доставка email і webhook-сповіщень |
Як обробляються ваші дані¶
- Налаштування (DataSources, ключі API сторонніх сервісів) — зберігаються в БД, зашифровані at-rest окремими ключами на рівні організації.
- Сканування виконується workers — вони звертаються до зовнішніх джерел (HIBP, GitHub, тощо) від вашого імені, використовуючи ваші ключі.
- Знахідки записуються у БД з прив'язкою до вашої організації — інші організації їх не бачать ніколи.
- Сповіщення надсилаються через ваші налаштовані канали (email, webhook).
Multi-tenancy¶
Платформа працює у multi-tenant режимі: усі клієнти живуть у спільній інфраструктурі, але дані строго ізольовані на рівні організації.
- Кожен запит до API проходить через row-level security — навіть якщо у коді була б помилка, БД не віддасть чужі дані.
- Кожен користувач належить до однієї або кількох організацій, переключається через UI.
- Адміністратори платформи Bytecode не мають routine-доступу до даних клієнтів. Доступ можливий тільки за explicit request клієнта (наприклад, підтримка) і логується.
Де знаходяться дані¶
- Основна БД — PostgreSQL у регіоні EU (Frankfurt) через Neon.
- Резервні копії — у тому ж регіоні, окремий availability zone.
- Логи — обмежено 90 днів.
- Тимчасові файли (наприклад, скачані пасти, скріншоти leak-сайтів) — на блочному сховищі, теж EU.
Якщо ви маєте data-residency вимогу (наприклад, дані не виходять з певної країни), зв'яжіться з sales@bytecode.team — для Enterprise можливі окремі регіони розгортання.
Безпека¶
Деталі — у розділі безпеки. Коротко:
- TLS 1.3 для всього трафіку.
- AES-256 для шифрування at-rest.
- 2FA опційно для всіх користувачів, обов'язково для Admin.
- Аудит-лог критичних дій.
- Regular penetration tests.