Шифрование
Все данные защищены шифрованием как при передаче, так и при хранении:
- Передача данных — все соединения между приложением и сервером защищены протоколом TLS 1.3. Подключения по незащищённому HTTP автоматически перенаправляются на HTTPS.
- Хранение данных — данные в базе данных хранятся в зашифрованном виде. Ключи шифрования управляются отдельно от данных.
- Пароли и токены — мы не храним пароли. Аутентификация реализована через одноразовые коды и токены с ограниченным временем жизни.
Аутентификация
Доступ к аккаунту защищён несколькими уровнями:
- Одноразовые коды — вход в систему осуществляется через одноразовый код, отправляемый на email. Коды действительны ограниченное время.
- OAuth 2.0 — поддерживается вход через Google и Яндекс с использованием стандартного протокола авторизации.
- Сессионные токены — сессии имеют ограниченный срок действия (8 часов для стандартного режима). Токены автоматически обновляются при активном использовании.
- Привязка к устройству — устройства регистрируются и могут быть отозваны из личного кабинета.
Аудиоданные
Обработка аудио реализована с учётом минимизации рисков:
- Аудиозаписи передаются на сервер исключительно по зашифрованному каналу (TLS 1.3).
- Файлы не хранятся после завершения транскрибации — они удаляются автоматически.
- При использовании локального режима аудио не покидает ваше устройство — вся обработка происходит локально.
- Мы не прослушиваем аудиозаписи и не используем их для обучения моделей без явного согласия пользователя.
Инфраструктура
Наша инфраструктура соответствует современным стандартам безопасности:
- Облачные серверы — используются серверы сертифицированных провайдеров с физической защитой и резервированием.
- Обновления — серверное программное обеспечение и зависимости регулярно обновляются. Критические патчи применяются в течение 24 часов.
- Мониторинг — системы работают под непрерывным мониторингом. Аномальная активность автоматически обнаруживается и анализируется.
- Резервные копии — данные регулярно резервируются. Резервные копии зашифрованы и хранятся отдельно от основных серверов.
- Принцип минимальных привилегий — каждый компонент системы имеет доступ только к тем ресурсам, которые необходимы для его работы.
Ответственное раскрытие уязвимостей
Мы благодарны исследователям безопасности, которые помогают сделать Micmiky безопаснее. Если вы обнаружили уязвимость, просим придерживаться следующих правил:
- Сообщите нам о проблеме до публичного раскрытия — напишите на security@micmiky.ru.
- Дайте нам разумное время (не менее 90 дней) для анализа и устранения уязвимости.
- Не эксплуатируйте уязвимость для доступа к данным пользователей или нарушения работы сервиса.
- Не раскрывайте информацию третьим лицам до выхода исправления.
Мы обязуемся оперативно реагировать на ваши сообщения, информировать о ходе устранения и, с вашего согласия, упоминать вас в описании исправления.
Контакт
По вопросам безопасности обращайтесь напрямую в команду безопасности:
Email: security@micmiky.ru
По общим вопросам: support@micmiky.ru
Мы отвечаем на сообщения о безопасности в течение 48 часов.