Публичная информация
Безопасность
Краткое описание реализованных мер и правил ответственного сообщения о возможных уязвимостях.
Обновлено: 11 июня 2026 годаКонтроль доступа
Рабочая часть сервиса требует авторизации и использует роли для ограничения доступных операций. Сессия передаётся в HttpOnly-cookie; production-настройки предусматривают атрибуты Secure и SameSite.
Защита веб-контура
Публичный сайт и API доступны по HTTPS. Веб-приложение настроено на запрет встраивания во фрейм, запрет MIME-sniffing, ограниченную передачу referrer и HSTS. API дополнительно применяет собственные security headers, CORS и ограничения частоты чувствительных запросов.
Фото и рабочие данные
Доступ к фотографиям и данным осмотров должен проверяться в контексте компании и роли. Перед пилотом с реальными данными отдельно подтверждаются регион хранения, резервные копии, журналы и используемые внешние обработчики.
Сообщение об уязвимости
Отправьте описание, шаги воспроизведения и возможное влияние на info@auditavto.ru. Не получайте доступ к чужим данным, не нарушайте работу сервиса и не публикуйте детали до согласования исправления. Машиночитаемый контакт доступен в security.txt.