Безопасность как принцип проектирования

Все хранимые данные — определения workflow, логи запусков, состояние плагинов — зашифрованы с использованием AES-256-GCM. Ключи шифрования автоматически ротируются по 90-дневному расписанию.

Все соединения используют TLS 1.3. Старые версии TLS и слабые наборы шифров отклоняются. Привязка сертификатов доступна для enterprise SDK-интеграций.

Данные каждого арендатора изолированы на уровне хранилища. Выполнения workflow работают в отдельных sandbox-средах. Межарендаторный доступ к данным архитектурно предотвращён, а не просто ограничен политиками.

Секреты workflow и учётные данные интеграций хранятся зашифрованными в выделенном хранилище, никогда в определениях workflow или логах. Секреты вводятся в runtime и никогда не раскрываются в открытом виде.

Все зависимости зафиксированы и проверяются автоматизированными инструментами при каждом релизе. Критические CVE вызывают немедленные патч-релизы. Полный список программного обеспечения (SBOM) доступен по запросу.

Мы проводим ежегодные сторонние тесты на проникновение и устраняем все критические и высокоприоритетные находки до следующего релиза. Краткие выводы доступны клиентам Enterprise под NDA.