Безопасность

Данные организации (салона) доступны только пользователям, состоящим в этой организации. Переключение между организациями в кабинете не раскрывает чужие данные. Роли: OWNER (владелец), ADMIN (администратор), STAFF (сотрудник) — с ограничением отдельных разделов (например, аудит и экспорт для владельца и администратора).

Выгрузка Excel (клиенты, записи) выполняется только после входа в кабинет и только по данным текущей организации. Телефоны и email в файлах клиентов маскируются (например, ***1234 и a***@domain.ru). Пароли, хеши паролей, токены сессий и внутренние идентификаторы в экспорт не включаются. Файл формируется по запросу и не хранится на сервере после скачивания.

В запрос к языковой модели передаются агрегированные показатели салона без телефонов и email клиентов. Имена клиентов в контексте AI обезличиваются. Технические ошибки провайдера (OpenAI, Cloud.ru и др.) преобразуются в понятное сообщение без ключей API и без stack trace в интерфейсе. Ключи API не отображаются в UI.

Важные действия (создание записи, экспорт, изменения в кабинете) фиксируются в журнале аудита. В интерфейсе аудита не выводятся пароли, хеши, токены, session id и чувствительные поля metadata.

Пароли пользователей кабинета хранятся в виде криптографического хеша, не в открытом виде. Секреты (API keys, пароли БД) не должны размещаться в репозитории кода — только в переменных окружения на сервере.

Service worker предкэширует публичную офлайн-страницу и иконки. Запросы к /api/* не кэшируются как статика. HTML-страницы кабинета /app не отдаются из кэша как готовый документ — навигация в кабинете требует сети и авторизации.

Atelier OS — программный продукт для салонов. Настоящая страница описывает реализованные меры в коде и не является заявлением о сертификации ФСТЭК, полном соответствии 152-ФЗ «под ключ» или прохождении аудита без отдельного юридического и технического заключения. Салон-оператор несёт ответственность за свои процессы и уведомление Роскомнадзора, если это требуется для его статуса.