Ещё онлайн?StillOnline?

Trust

Безопасность StillOnline

Как StillOnline обрабатывает вход, API-ключи, данные мониторинга и статус платформы. Без обещаний SOC2 — только факты prod.

Подробнее

StillOnline — hosted SaaS на VPS в EU (prod: stillonline.tech, api.stillonline.tech). Кратко: аутентификация, API-ключи, данные мониторинга и инциденты. Обработка персональных данных — в Политике конфиденциальности.

Аутентификация

  • Вход: Google OAuth (Auth.js v5). Пароли не храним.
  • Сессии: HTTP-only cookies; маршруты /app требуют авторизации.
  • Подписчики на public status page: Google Sign-In; email из аккаунта Google.

API-ключи (Pro / Ultimate)

  • Создаются в Настройки → API (префикс sk_live_…).
  • Хранятся в хэшированном виде; полный секрет показывается один раз при создании.
  • Неиспользуемые ключи отзывайте в дашборде.
  • Rate limits — в документации API (по ключу для private API; по IP для public status JSON).

Что храним

  • Аккаунт: поля профиля Google, нужные для входа и биллинга.
  • Проекты: названия, описания, timezone, URL проверок, результаты probe, история инцидентов (в пределах тарифа).
  • Проверки: URL, которые вы задаёте; метаданные probe (код ответа, latency, срок SSL при включённой проверке).
  • Алерты: настройки каналов владельца (email, Telegram chat id, Slack webhook) — секреты не отдаются в публичных API.

Списки клиентов не продаём. Сроки и права — в Privacy Policy.

Probe и инфраструктура

  • HTTP/SSL проверки с production probe StillOnline (User-Agent StillOnline-Probe/1.0).
  • Только публичные HTTPS URL; private IP и SSRF отклоняются (см. условия).
  • Приложение и БД в Docker на выделенном VPS; TLS на nginx.

Почта

  • Transactional с notify@stillonline.tech (Postfix на VPS, SPF/DKIM/DMARC).
  • По персональным данным: privacy@stillonline.tech.

Инциденты и раскрытие

  • Ваши инциденты: вы управляете сообщениями на своих status pages.
  • Инциденты платформы StillOnline: обновления на Статус сервиса, если затронут сам сервис.
  • Уязвимости: frenkyjuss@gmail.com (программы bug bounty нет).

Чего нет

  • Сертификатов SOC 2 / ISO 27001 на текущий момент.
  • Гарантированного SLA на Free; paid — hosted SaaS best-effort по условиям.

См. также

FAQ по безопасности

Как хранятся API-ключи?
Ключи хэшируются в базе; полный секрет показывается один раз при создании. Отзыв — в настройках API.
Какие URL можно мониторить?
Публичные HTTPS URL. Private IP и SSRF-цели отклоняются на уровне валидации probe.
Где смотреть статус самого StillOnline?
На странице «Статус сервиса» (/status) — live probe нашего сайта и API, когда настроен service-проект.