[ PUBLIC · v1.2 ]
Security Whitepaper
Архитектура информационной безопасности платформы A5X
Резюме
Настоящий документ описывает подход A5X Lab к защите данных и инфраструктуры при предоставлении сервисов речевой аналитики (Speech), компьютерного зрения (Vision) и корпоративных языковых моделей (LLM). Платформа спроектирована для заказчиков, которым критичны суверенитет данных, предсказуемость аудита и возможность развёртывания в изолированном контуре без выхода в публичный интернет.
A5X не использует клиентские данные для обучения общих моделей. Все вычисления выполняются в границах согласованного периметра — облачного тенанта, выделенного VPC или инфраструктуры заказчика в режиме On-Premise / Air-Gapped.
Принципы безопасности
Суверенитет данных
Минимизация поверхности атаки
Прозрачность для аудита
Гибкость развёртывания
Архитектура периметра
Типовая схема Enterprise-развёртывания включает три зоны: инфраструктура заказчика, защищённый сетевой шлюз и изолированная среда A5X Cloud. Между зонами устанавливается шифрованный туннель с протоколом TLS 1.3 и обменом ключей ECDHE.
Подробная интерактивная схема доступна на главной странице в разделе «ИБ-архитектура A5X Cloud».
Модели развёртывания
| Модель | Изоляция | Сеть | Локализация |
|---|---|---|---|
| Shared Cloud (SME / SMB) | Логическая изоляция тенантов, отдельные API-ключи и квоты | TLS 1.3, WAF на периметре | Дата-центры в РФ |
| Dedicated VPC (Enterprise) | Выделенный VPC, персональные коннекторы | Private Link / VPN, IP allowlist | По согласованию, РФ по умолчанию |
| On-Premise / Air-Gapped | Полный контроль инфраструктуры заказчика | Без исходящего интернет-трафика, опциональный шлюз обновлений | Инфраструктура заказчика |
Шифрование и криптография
Данные в покое
- AES-256 для объектного хранилища и БД
- Шифрование томов на уровне гипервизора
- Управление ключами с ротацией по регламенту
Данные в передаче
- TLS 1.3, forward secrecy (ECDHE)
- mTLS для интеграций B2B по запросу
- Запрет устаревших cipher suites
Секреты и ключи
- API-ключи хранятся в виде хэшей (SHA-256)
- Секреты вынесены в защищённые хранилища
- Ротация ключей без простоя сервиса
Доступ и идентификация
- Ролевая модель RBAC для кабинета, API и административных панелей
- Обязательная двухфакторная аутентификация для операторов и инженеров A5X
- SSO / SAML / OIDC для Enterprise-интеграций
- Временные токены с ограниченным TTL для сервисных вызовов
- Регулярный пересмотр прав доступа и отзыв при offboarding
Жизненный цикл данных
Аудио, видео и документы принимаются через API или защищённый кабинет. Метаданные валидируются, вредоносные payload отклоняются.
Задачи выполняются в изолированных worker-процессах. Промежуточные артефакты удаляются по политике retention.
Срок хранения настраивается контрактом. По умолчанию — минимально необходимый для оказания услуги.
По запросу или по истечении срока данные безвозвратно удаляются из активных и резервных копий в согласованные SLA.
Аудит и мониторинг
Платформа ведёт централизованные журналы аутентификации, API-вызовов, административных действий и обработки задач. Логи защищены от несанкционированного изменения и доступны для выгрузки в SIEM заказчика по согласованному каналу.
- Корреляция событий по client_id и task_id
- Алерты на аномальные паттерны доступа и превышение квот
- Регулярные отчёты для службы ИБ заказчика (ежемесячно / по запросу)
Соответствие требованиям
Обработка персональных данных граждан РФ с учётом локализации и прав субъектов.
Процессы ИБ выстроены по международной модели управления рисками (внедрение / сертификация — по дорожной карте).
Поддержка требований банковского, телеком и промышленного сектора при развёртывании On-Premise.
Соглашение о неразглашении и договор обработки данных — стандартная часть Enterprise-контракта.
Управление инцидентами
- Классификация инцидентов по критичности (P1–P4) с фиксированными SLA реакции
- Уведомление заказчика в согласованные сроки при затрагивании его данных
- Постмортем с root cause analysis и планом предотвращения повторения
- Регулярные учения и tabletop-сессии для команды эксплуатации
Контакты по вопросам ИБ
Для получения полной версии документа с техническими приложениями, проведения security-аудита или согласования DPA / NDA свяжитесь с командой A5X Lab.