Безопасность
301.st строится вокруг простой идеи: самая безопасная операционная модель — та, где инфраструктура остаётся в ваших руках, а платформа получает только тот доступ, который ей действительно нужен.
Безопасность начинается с границ
Поскольку 301.st работает через credentials и доступ провайдеров, которые предоставляют клиенты, наша security-модель строится вокруг ясных границ, scoped permissions и минимизации лишнего доверия.
Продукт должен упрощать операции, не заставляя команды отказываться от владения инфраструктурой и не лишая их видимости того, что именно они авторизуют.
Как мы смотрим на доступ
- Используем scoped credentials и права провайдеров везде, где это позволяет workflow.
- Относимся к клиентской инфраструктуре как к клиентской, а не как к чему-то, что 301.st должен тихо забрать под свой контроль.
- Держим важные account- и integration-действия достаточно видимыми для проверки и расследования при необходимости.
- Снижаем скрытую связанность между функциями продукта и доступом к провайдерам.
Что мы защищаем
- Доступ к аккаунту и authentication-flow.
- Credentials интеграций и другие чувствительные данные соединений.
- Конфигурационные данные проектов, сайтов, редиректов и связанных workflow.
- Саму платформу от злоупотреблений, явно вредоносной активности и попыток несанкционированного доступа.
Практические меры безопасности
- Шифрованный транспорт для веб-трафика и аутентифицированной сервисной коммуникации.
- Работа с credentials, спроектированная так, чтобы ограничивать лишнюю экспозицию и по возможности уменьшать долгоживущие доверительные связи.
- Разумное логирование и мониторинг account-, integration- и операционных событий.
- Постоянный пересмотр публичных поверхностей, зависимостей и изменений продукта по мере развития платформы.
Responsible disclosure
Если вам кажется, что вы нашли security-проблему, пожалуйста, сообщите о ней приватно до публичного раскрытия, чтобы у нас была честная возможность проверить и ответственно исправить ее.
- Отправляйте отчеты на: security@301.st
- Пожалуйста, включите: затронутую страницу или flow, шаги воспроизведения и предполагаемое воздействие.
- Пожалуйста, избегайте: доступа к данным, которыми вы не владеете, нарушения работы сервиса или расширения тестирования дальше разумно необходимого для демонстрации проблемы.
Что мы просим от клиентов
- Защищать собственные account credentials и внутренние процессы доступа.
- Использовать provider tokens и разрешения, соответствующие минимальному доступу, который действительно нужен workflow.
- Ротировать или отзывать credentials при изменении состава команды, risk posture или политики провайдера.
- Внимательно ревьюить продакшен-изменения, особенно если они могут влиять на маршрутизацию или поведение инфраструктуры.
Нужно связаться с нами?
По вопросам безопасности пишите на security@301.st. По вопросам приватности смотрите Политику конфиденциальности. По более широким продуктовым вопросам откройте Документацию или страницу Контакты.
Последнее обновление: 5 апреля 2026