Обзор безопасно�сти
FeedbackPulse SaaS создан с приоритетом безопасности. На этой странице задокументированы все применяемые меры безопасности.
Уровни безопасности
Транспортная безопасность
| Функция | Реализация |
|---|---|
| HTTPS | Принудительно через SESSION_SECURE_COOKIE=true и middleware редиректа |
| HSTS | Strict-Transport-Security: max-age=31536000; includeSubDomains |
| Заголовки безопасности | Применяются middleware SecurityHeaders при каждом ответе |
Аутентификация
| Функция | Реализация |
|---|---|
| Хэширование паролей | Bcrypt с 12 раундами |
| Двухфакторная аутентификация | TOTP через приложения-аутентификаторы (Google Authenticator, Authy) |
| Социальный вход | OAuth2 с Google и GitHub |
| Верификация email | Требуется перед доступом к дашборду |
| Подписанные URL | Используются для приглашений в команду (срок 7 дней) |
| Шифрование сессий | Сессии зашифрованы в состоянии покоя |
Авторизация
| Функция | Реализация |
|---|---|
| Ролевой доступ | 4 роли: superadmin, tenant_admin, tenant_staff, customer |
| Middleware Guards | Контроль доступа на уровне маршрута |
| Изоляция арендаторов | Глобальный scope предотвращает межарендаторский доступ к данным |
| Шлюзы на основе планов | Возможности заблокированы за тарифным планом |
Безопасность приложения
| Функция | Реализация |
|---|---|
| Защита CSRF | Laravel CSRF-токены во всех формах (кроме вебхуков/виджета) |
| Предотвращение XSS | Автоэкранирование {{ }} в Blade |
| SQL-инъекции | Параметризованные запросы Eloquent |
| Массовое присваивание | Белый список $fillable в моделях |
| Ограничение запросов | Троттлинг на уровне маршрута (5-120 запр./мин) |
Безопасность API
| Функция | Реализация |
|---|---|
| Хэширование API-ключей | Хэшированное хранение SHA256 |
| Лимиты запросов на арендатора | 60 запросов/минуту на арендатора |
| Ротация ключей | Отзывать старые ключи, создавать новые |
| Отслеживание по�следнего использования | Метка времени last_used_at обновляется при каждом использовании |
Безопасность данных
| Функция | Реализация |
|---|---|
| Шифрование чувствительных данных | Настройки платформы зашифрованы в состоянии покоя |
| Соответствие GDPR | Инструменты экспорта, удаления и анонимизации данных |
| Хранение данных | Автоудаление старых данных согласно политике хранения плана |
| Журналирование аудита | Каждое значимое действие фиксируется с IP и user agent |
| Предотвращение инъекций CSV | Формульные символы очищаются при экспорте |
Безопасность вебхуков
| Функция | �Реализация |
|---|---|
| Подписи HMAC | Подписи SHA256 для исходящих вебхуков |
| Защита от SSRF | Блокирует localhost, частные IP в URL вебхуков |
| Верификация Stripe | Проверка подписи вебхука |
| Дедупликация событий | Предотвращает двойную обработку через отслеживание ID событий |
Заголовки HTTP безопасности
Применяются middleware SecurityHeaders:
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Strict-Transport-Security: max-age=31536000; includeSubDomains
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: [configured per deployment]