Действует с 11.05.2026.
Весь обмен между браузером (или приложением CoreRelay) и сервером проходит по протоколу HTTPS с шифрованием TLS 1.2 и выше. Сертификат выдан Let's Encrypt и автоматически обновляется. Принудительный редирект с HTTP на HTTPS включён на уровне веб-сервера.
Заголовок Strict-Transport-Security обязывает браузер пользователя в течение года использовать только защищённое соединение даже при попытке открыть незашифрованный адрес.
Пароли пользователей хранятся в виде криптографических хешей по алгоритму bcrypt с фактором сложности 12. Исходный пароль на сервер не попадает в открытом виде ни на одном этапе обработки. Восстановить пароль из хеша невозможно даже при компрометации базы данных.
После успешного входа сервер выдаёт подписанный токен (JWT, алгоритм HS256). Токен содержит идентификатор пользователя и версию сессии. При смене пароля или явном выходе со всех устройств версия сессии увеличивается, и все ранее выданные токены становятся недействительными.
Реквизиты банковских карт (номер, срок действия, CVV) на наш сервер не передаются и не сохраняются. Платёж проводится напрямую через защищённую страницу банка-эквайера «Тинькофф Касса» (АО «ТБанк»), сертифицированного по стандарту PCI DSS Level 1.
Мы получаем от банка только факт и сумму платежа, идентификатор заказа и подтверждение успешности транзакции по подписанному обратному вызову.
На входы и регистрации действуют ограничения по количеству попыток с одного IP-адреса. Многократные неудачные попытки приводят к автоматической временной блокировке IP.
На уровне веб-сервера настроены ограничения по количеству запросов в минуту, количеству одновременных соединений и общему объёму передаваемых данных. Подозрительные шаблоны запросов автоматически отбрасываются. Запрещён прямой доступ к служебным файлам конфигурации.
Серверы, на которых обрабатываются и хранятся персональные данные пользователей, физически расположены на территории Российской Федерации (г. Москва). Резервные копии шифруются и хранятся там же.
На серверах настроена автоматическая установка обновлений безопасности операционной системы. Версии всех компонентов веб-стека и зависимостей бэкенда регулярно проверяются на наличие известных уязвимостей.
О найденной уязвимости в работе сайта или приложения сообщите на support@corerelay.ru. По возможности приложите минимальный пример воспроизведения и предоставьте нам разумное время на устранение до публичного раскрытия. Благодарим за ответственное отношение.