Безопасность данных

1. Изоляция аккаунтов

В AutoRent CRM каждый аккаунт видит только свои автомобили, клиентов, брони, документы и фотографии. Данные разных компаний разделены между собой.

Для этого используется авторизация пользователей и Row Level Security в Supabase: запросы к данным выполняются только в рамках аккаунта владельца.

2. Приватное хранение файлов

Документы клиентов, фотографии автомобилей, фото выдачи, возврата и пробега хранятся в приватных buckets Supabase Storage.

Публичный доступ к хранилищам документов и фотографий отключён. Файлы открываются через защищённые ссылки и только для авторизованного владельца данных.

3. Защищённые ссылки и права доступа

Прямые ссылки на приватные файлы не дают посторонним доступ к документам и фотографиям. Если пользователь не авторизован или пытается открыть чужой файл, доступ блокируется.

Папки файлов привязаны к ID пользователя, поэтому политики доступа разрешают чтение, загрузку и удаление только владельцу данных.

4. Защита ключей доступа

Публичный Supabase-ключ используется только вместе с включёнными RLS-политиками. Секретный service role key хранится только в переменных окружения Vercel и не попадает в клиентский код.

Секретные ключи не публикуются в GitHub, не отображаются на сайте и не передаются пользователям сервиса.

5. Контроль загрузки файлов

Для экономии хранилища и удобной работы фотографии сжимаются перед загрузкой. Это помогает уменьшать размер файлов без ручной подготовки со стороны пользователя.

Для Storage настроены ограничения по размеру и типам файлов: принимаются изображения и PDF-документы, а исполняемые файлы и неподходящие форматы не используются в CRM.

6. Удаление файлов

При удалении документа или фотографии из CRM файл удаляется не только из интерфейса, но и из Supabase Storage.

Это касается документов клиентов, фото по броням и фотографий автомобилей в автопарке.

7. Доступ администратора

Админ-панель доступна только владельцу сервиса. Через неё можно управлять тарифами, тестовыми доступами и статусами аккаунтов, не открывая данные одной компании другой компании.

8. Ответственность пользователей

Пользователи сервиса отвечают за корректность данных, которые они загружают в CRM, и за получение необходимых согласий от своих клиентов, если это требуется по закону.

AutoRent CRM предоставляет техническую защиту, изоляцию аккаунтов и приватное хранение файлов, но юридический порядок работы с персональными данными каждая компания должна соблюдать со своей стороны.