Как мы защищаем данные клуба.
Без маркетингового мусора.
Футбольный интеллект чувствителен. Утечка шорт-листа стоит сделки. Утечка медицинской выписки — карьеры. Ниже полный механизм безопасности Scout Atlas — что мы делаем, как делаем и что осознанно решили не делать.
Шесть обязательств. Проверяемых.
Опора 01
Шифрование по умолчанию
TLS 1.3 в передаче. AES-256-GCM на хранении. Сообщения Deal Room шифруются end-to-end ключами по комнате, которые мы прочитать не можем.
Опора 02
Подтверждённая личность
Magic-link аутентификация + опционально TOTP MFA. Корпоративные email, привязанные к домену. Назначение ролей требует одобрения админа, а не самостоятельной галочки.
Опора 03
Изоляция по строкам
RLS Postgres устанавливает границы клубов на уровне БД. Баг в приложении не может раскрыть данные другого клуба.
Опора 04
Аудит по умолчанию
Каждое аутентифицированное действие — просмотр, оценка, сообщение, переопределение — логируется неизменно. Админы клуба могут экспортировать журнал аудита по запросу.
Опора 05
Совместимость с регуляторами
GDPR, KVKK, цель SOC 2 Type II — Q4 2026. DPO под руководством основателей закрывает каждый запрос за 30 дней.
Опора 06
Никакого обучения без согласия
Публичные датасеты обучают Match и Vision. Приватные данные клубов шифруются ключами по клубу и никогда не используются для обучения кросс-клубных моделей без письменного согласия.
Полный список, по областям.
Если у вашей службы безопасности есть процьюрмент-анкета, этот раздел отвечает примерно на 70%. Остальное с радостью заполним.
Аутентификация и доступ
- OTP magic-link Supabase, TOTP с аппаратным ключом — опционально
- Матрица разрешений по ролям, применяется в middleware + RLS
- Админы клуба управляют приглашениями, ролями и отзывом
- Истечение сессии: 7 дней простоя, 30 дней максимум, настраивается под организацию
Защита данных
- AES-256-GCM на хранении для чувствительных колонок (PII, биометрия)
- TLS 1.3 в передаче, HSTS preload, только современные шифры
- Конверты ключей по клубу для приватных GPS/биометрических потоков
- Безопасность на уровне строк в Postgres для каждой клуб-зависимой таблицы
Безопасность приложения
- Строгий Content-Security-Policy + Trusted Types
- Валидация ввода на каждом эндпоинте (allowlist, max-length, приведение типов)
- Только prepared statements — никакой конкатенации строк в SQL
- Dependabot + secret scanning включены на каждый коммит
Операционная
- Ежеквартальный пентест независимой фирмой (со 2 года)
- Инженеры с проверкой биографии; никаких офшорных подрядчиков с прод-доступом
- Шифрованные бэкапы, ретенция 30 дней, ежеквартальная проверка
- Runbook реагирования на инциденты с дежурством основателей
Конфиденциальность
- Запросы GDPR + KVKK ст. 15 / ст. 17 закрываются за 30 дней
- Никакой перепродажи данных. Никакого рекламного трекинга. Никакой кросс-контекстной аналитики.
- Резидентность данных в регионе ЕС доступна с тарифа Analyst
- Удаление данных по запросу: 30 дней soft delete, затем криптографическое стирание
Вещи, на которых мы не пойдём на компромисс.
Продавать или передавать ваши данные.
Никакой перепродажи, никаких партнёрств с брокерами, никаких «анонимизированных» датасетов в бэк-офисе. Ваш ростер — ваш.
Обучать модели на приватных данных без согласия.
Приватные входы клубов-членов (GPS, биометрия, медицина) не обучают ни одной модели. Точка. Публичные датасеты публично декларируются.
Читать ваши сообщения Deal Room.
Сообщения Deal Room шифруются end-to-end. Даже по постановлению суда мы не сможем выдать содержимое.
Скрывать инциденты.
Любой инцидент безопасности, затрагивающий данные участников, раскрывается затронутым клубам в течение 72 часов, с письменным post-mortem в течение 14 дней.
Нашли уязвимость? Мы хотим знать.
Мы ведём открытую программу ответственного раскрытия. Пишите на security@scoutatlas.co с деталями и шагами воспроизведения. Отвечаем в течение 48 часов и упоминаем исследователей в журнале изменений, когда патчи выходят.