[ PUBLIC · v1.2 ]

Security Whitepaper

Архитектура информационной безопасности платформы A5X

Версия 1.2Обновлено 2026-06-01Классификация: PUBLIC

Резюме

Настоящий документ описывает подход A5X Lab к защите данных и инфраструктуры при предоставлении сервисов речевой аналитики (Speech), компьютерного зрения (Vision) и корпоративных языковых моделей (LLM). Платформа спроектирована для заказчиков, которым критичны суверенитет данных, предсказуемость аудита и возможность развёртывания в изолированном контуре без выхода в публичный интернет.

A5X не использует клиентские данные для обучения общих моделей. Все вычисления выполняются в границах согласованного периметра — облачного тенанта, выделенного VPC или инфраструктуры заказчика в режиме On-Premise / Air-Gapped.

Принципы безопасности

Суверенитет данных

Данные клиента не используются для обучения публичных или общих моделей. Вычисления выполняются в изолированном контуре заказчика или в выделенном тенанте A5X Cloud.

Минимизация поверхности атаки

Доступ к API и административным интерфейсам ограничен RBAC, обязательной MFA и принципом наименьших привилегий. Сервисы развёртываются в сегментированных сетях.

Прозрачность для аудита

Все критичные операции фиксируются в неизменяемых журналах. Клиент получает отчёты по запросу для внутреннего комплаенса и внешних проверок.

Гибкость развёртывания

Одинаковые политики безопасности применяются в Shared Cloud, Dedicated VPC и полностью изолированном On-Premise / Air-Gapped контуре.

Архитектура периметра

Типовая схема Enterprise-развёртывания включает три зоны: инфраструктура заказчика, защищённый сетевой шлюз и изолированная среда A5X Cloud. Между зонами устанавливается шифрованный туннель с протоколом TLS 1.3 и обменом ключей ECDHE.

Подробная интерактивная схема доступна на главной странице в разделе «ИБ-архитектура A5X Cloud».

Модели развёртывания

МодельИзоляцияСетьЛокализация
Shared Cloud (SME / SMB)Логическая изоляция тенантов, отдельные API-ключи и квотыTLS 1.3, WAF на периметреДата-центры в РФ
Dedicated VPC (Enterprise)Выделенный VPC, персональные коннекторыPrivate Link / VPN, IP allowlistПо согласованию, РФ по умолчанию
On-Premise / Air-GappedПолный контроль инфраструктуры заказчикаБез исходящего интернет-трафика, опциональный шлюз обновленийИнфраструктура заказчика

Шифрование и криптография

Данные в покое

  • AES-256 для объектного хранилища и БД
  • Шифрование томов на уровне гипервизора
  • Управление ключами с ротацией по регламенту

Данные в передаче

  • TLS 1.3, forward secrecy (ECDHE)
  • mTLS для интеграций B2B по запросу
  • Запрет устаревших cipher suites

Секреты и ключи

  • API-ключи хранятся в виде хэшей (SHA-256)
  • Секреты вынесены в защищённые хранилища
  • Ротация ключей без простоя сервиса

Доступ и идентификация

  • Ролевая модель RBAC для кабинета, API и административных панелей
  • Обязательная двухфакторная аутентификация для операторов и инженеров A5X
  • SSO / SAML / OIDC для Enterprise-интеграций
  • Временные токены с ограниченным TTL для сервисных вызовов
  • Регулярный пересмотр прав доступа и отзыв при offboarding

Жизненный цикл данных

ПРИЁМ

Аудио, видео и документы принимаются через API или защищённый кабинет. Метаданные валидируются, вредоносные payload отклоняются.

ОБРАБОТКА

Задачи выполняются в изолированных worker-процессах. Промежуточные артефакты удаляются по политике retention.

ХРАНЕНИЕ

Срок хранения настраивается контрактом. По умолчанию — минимально необходимый для оказания услуги.

УДАЛЕНИЕ

По запросу или по истечении срока данные безвозвратно удаляются из активных и резервных копий в согласованные SLA.

Аудит и мониторинг

Платформа ведёт централизованные журналы аутентификации, API-вызовов, административных действий и обработки задач. Логи защищены от несанкционированного изменения и доступны для выгрузки в SIEM заказчика по согласованному каналу.

  • Корреляция событий по client_id и task_id
  • Алерты на аномальные паттерны доступа и превышение квот
  • Регулярные отчёты для службы ИБ заказчика (ежемесячно / по запросу)

Соответствие требованиям

152-ФЗ

Обработка персональных данных граждан РФ с учётом локализации и прав субъектов.

ГОСТ Р ИСО/МЭК 27001

Процессы ИБ выстроены по международной модели управления рисками (внедрение / сертификация — по дорожной карте).

Отраслевые регламенты

Поддержка требований банковского, телеком и промышленного сектора при развёртывании On-Premise.

NDA и DPA

Соглашение о неразглашении и договор обработки данных — стандартная часть Enterprise-контракта.

Управление инцидентами

  • Классификация инцидентов по критичности (P1–P4) с фиксированными SLA реакции
  • Уведомление заказчика в согласованные сроки при затрагивании его данных
  • Постмортем с root cause analysis и планом предотвращения повторения
  • Регулярные учения и tabletop-сессии для команды эксплуатации

Контакты по вопросам ИБ

Для получения полной версии документа с техническими приложениями, проведения security-аудита или согласования DPA / NDA свяжитесь с командой A5X Lab.