Как устроена безопасность и изоляция данных в Ali-E
Безопасность — это не баннер «мы заботимся о ваших данных», а конкретные технические решения. Рассказываем, как защищена платформа на самом деле.
Row Level Security: защита в самой базе
Все таблицы платформы закрыты политиками доступа на уровне PostgreSQL. Это значит, что правило «компания видит только свои данные» работает в самой базе данных, а не только в коде приложения. Даже ошибка во фронтенде не откроет чужие данные.
Секреты не покидают сервер
Ключи к AI, телефонии и другим сервисам хранятся в защищённых серверных функциях и никогда не попадают в браузер. Тяжёлые и чувствительные операции выполняются на сервере, а не на клиенте.
Защита от XSS
Любой контент, который мог бы содержать вредоносный код (включая ответы AI и форматированный текст), очищается перед показом. Это закрывает целый класс атак.
Изоляция арендаторов
Каждая компания — отдельный «арендатор». Данные арендаторов разделены так, что пересечься они не могут. Это базовый принцип multi-tenant SaaS, и мы реализовали его на уровне БД.
Аккуратные ошибки и лимиты
Клиенту мы отдаём обобщённые сообщения об ошибках (без технических деталей), а на AI-функции стоят лимиты запросов — это защищает и данные, и стабильность сервиса.
Мы намеренно говорим об этом подробно: безопасность малого бизнеса не должна быть «чёрным ящиком». Если у вас есть вопросы по защите данных — пишите, ответим по существу.