DroneEye — The Sky Where Every Flight Becomes a Mission
Безопасность

Безопасность в DroneEye

Мы серьёзно относимся к безопасности ваших данных. Вот как мы защищаем платформу.

Последняя проверка: апрель 2026

Практики безопасности

Аутентификация

  • JWT-токены с коротким сроком действия
  • Токены обновления в HttpOnly-куках
  • Ротация токенов при каждом обновлении
  • Автовыход при истечении токена или недействительной подписи
  • Контроль доступа по ролям (CLIENT, PILOT, ADMIN)

Шифрование данных

  • Все данные в транзите шифруются через TLS 1.2+
  • Пароли хешируются bcrypt перед хранением
  • Сессионные куки помечены Secure и HttpOnly
  • Конфиденциальные документы хранятся с проверками доступа

Инфраструктура

  • Бэкенд-сервисы работают в изолированных контейнерах
  • База данных недоступна напрямую из интернета
  • Загрузки файлов проверяются по типу и размеру
  • Ограничение частоты запросов к эндпоинтам аутентификации

Конфиденциальность по умолчанию

  • Собираются только минимально необходимые данные
  • Данные профиля видны только аутентифицированным пользователям
  • Доступ администратора к данным пользователей регистрируется
  • Используется мягкое удаление — данные хранятся перед полным удалением

Безопасность документов

  • Квалификационные документы хранятся на сервере, не публично
  • URL-адреса документов проверяются на сервере перед выдачей
  • Администраторы проверяют все документы — никакого автоматического доверия

Безопасность приложений

  • Все входные данные API проверяются через Bean Validation
  • SQL-инъекции предотвращаются параметризованными запросами JPA
  • CORS настроен для ограничения cross-origin доступа
  • Защита от CSRF через политику SameSite

Ответственное раскрытие

Если вы обнаружили уязвимость, сообщите нам приватно до публичного раскрытия.

Не пытайтесь получить доступ к данным других пользователей или запускать сканеры.

Наши обязательства перед исследователями

  • Мы рассматриваем все отчёты в течение 2 рабочих дней
  • Мы не будем преследовать добросовестных исследователей юридически
  • Мы подтвердим проблемы и опишем исправление после решения
  • Просим не раскрывать проблемы публично до их исправления

Сообщить об уязвимости

Отправьте подробное описание нашей команде безопасности через форму обратной связи.

Сообщить о проблеме безопасности