← Начало

Сигурност

Последна актуализация: 15 юли 2026

Agility обработва чувствителни бизнес данни — поръчки, адреси, куриерски credentials. Този документ описва техническите и организационни мерки за защита.

1. Архитектура и изолация

  • Multi-tenant модел с PostgreSQL Row Level Security (RLS) — всеки потребител вижда само своите данни.
  • Приложение и API на Vercel; база данни на Neon с TLS.
  • Отделен privileged connection само за auth sync и migrations — не за tenant queries.
  • Admin панел с отделна cookie сесия и HMAC подпис.

2. Криптиране

  • TLS 1.2+ за всички външни комуникации.
  • Куриерски API пароли и secrets — envelope encryption с APP_DATA_ENCRYPTION_KEY.
  • Пароли за вход — managed by Clerk (industry-standard hashing).
  • Backups — криптирани at rest от инфраструктурния доставчик.

3. Достъп и автентикация

  • Email/password и optional MFA чрез Clerk.
  • Session rotation и short-lived tokens.
  • Principle of least privilege за production достъп на екипа.
  • API keys per store с възможност за revoke.

4. Мониторинг и логове

  • Centralized logging и tracing (OpenTelemetry → Superlog).
  • Alerting при аномалии в error rate и latency.
  • API request logs за store integrations — без plaintext secrets.
  • Регular review на access logs.

5. Разработка и промени

  • Code review преди production deploy.
  • Secrets в environment variables — не в git.
  • Dependency updates и security patches.
  • Separate staging/preview environments where applicable.

6. Incident response

При подозиран incident: containment, investigation, remediation, customer notification when required by GDPR (72h to authority for personal data breaches, without undue delay to users when high risk).

Докладвайте уязвимости на kontakt@agility.bg — responsible disclosure appreciated.

7. Business continuity

  • Automated database backups.
  • Geographic redundancy зависи от Neon/Vercel tier.
  • Disaster recovery runbooks за restore на база.

8. Vendor management

Subprocessors (Clerk, Polar, Neon, Vercel, couriers) оценяваме по security posture и DPA availability. Списъкът е в Политиката за поверителност.

9. Вашата роля

  • Използвайте силни пароли и не споделяйте акаунт.
  • Revoke API keys при компрометиране.
  • Актуализирайте Shopify/courier credentials при смяна.
  • Експортирайте данни преди закриване на акаунт, ако ви трябват.

Въпроси: контактна форма.