Как Signatura защищает ваши документы, ваши подписи и ваш журнал аудита.
Весь трафик между клиентом и сервером шифруется с помощью TLS 1.3. Документы и записи базы данных шифруются при хранении с помощью AES-256. OAuth-токены обновления для облачных интеграций (Google Drive, Dropbox, OneDrive) хранятся только на сервере, шифруются отдельным ключом и никогда не передаются браузеру.
Когда документ полностью подписан, Signatura вычисляет SHA-256-хеш итогового PDF и записывает его в нашу базу данных. Любой может повторно проверить документ, подписанный в Signatura, по адресу app.getsignatura.com/verify — достаточно загрузить PDF: мы повторно вычислим его хеш в браузере и сообщим, совпадает ли он с нашей записью о завершении. Это позволяет обнаружить изменение файла после того, как он покинул Signatura. Проверка выполняется по записям Signatura, а не по стороннему свидетельству.
Каждый завершённый документ доставляется со встроенным PDF-сертификатом о завершении, в котором перечислены все подписанты, их IP-адреса и метки времени, а также SHA-256-хеш документа для офлайн-сверки.
Для каждого события подписания Signatura записывает:
Журнал аудита хранится в течение всего срока действия вашего аккаунта и в течение срока, требуемого применимыми законами о хранении записей; владелец документа может просматривать его по каждому документу через панель управления.
Signatura работает на Supabase (PostgreSQL + хранилище) с размещением в США. Мы используем небольшой набор субобработчиков и для международной передачи данных полагаемся на опубликованные условия защиты данных каждого поставщика (которые, как правило, включают Стандартные договорные условия (SCC) или сертификацию Data Privacy Framework, если поставщик их предлагает).
Полный список субобработчиков доступен по адресу getsignatura.com/sub-processors. Мы уведомим владельцев аккаунтов не менее чем за 30 дней до привлечения нового субобработчика.
Каждая таблица базы данных защищена политиками защиты на уровне строк (RLS) Postgres, обеспечивающими доступ строго по пользователям и организациям. Серверные edge-функции проверяют каждый запрос с помощью supabase.auth.getUser() или данных токена подписания; для авторизации мы не полагаемся на проверки на стороне клиента. SQL полностью параметризован — без интерполяции строк.
Каждый подписант получает персональную ссылку с собственным токеном. Ссылки остаются действительными 72 часа и автоматически обновляются напоминаниями и повторной отправкой; если ссылка всё же устарела, пока окно подписания открыто, подписант может сам запросить новую — без обращения к отправителю.
Владельцы аккаунтов могут выгрузить все свои данные в машиночитаемом JSON — документы, шаблоны, контакты, журналы аудита, настройки и другое — в один клик в разделе «Настройки > Безопасность», а также удалить аккаунт с подтверждением паролем (завершённые подписанные документы и их журналы аудита сохраняются как юридическая запись, как описано в нашей Политике конфиденциальности).
У подписантов без аккаунта те же права самообслуживания: форма с проверкой кодом на странице getsignatura.com/signer-privacy позволяет любому подписанту выгрузить или удалить свои данные. Пользователи Auto-Sign могут отдельно скачать или удалить данные ИИ-анализа в любой момент.
Функция Auto-Sign использует Anthropic Claude для обнаружения полей подписи, даты и текста в ваших документах. Она включается по согласию для каждой сессии. Страницы отправляются в API Anthropic для анализа в реальном времени. Anthropic не сохраняет ваш контент после вызова API, а его соглашение об обработке данных запрещает обучение на данных клиентов. Результат анализа, возвращаемый в Signatura (только позиции и типы полей — не содержимое документа), кэшируется в нашей инфраструктуре до 1 часа, чтобы не выполнять анализ заново при перезагрузке страницы, после чего автоматически удаляется. Вы можете отключить Auto-Sign в любой момент, не затрагивая никакие другие функции.
Если нам станет известно о нарушении безопасности персональных данных, затрагивающем вас, мы уведомим вас и соответствующий надзорный орган без неоправданной задержки и в сроки, требуемые применимым законодательством. Уведомление будет включать характер нарушения, категории и приблизительное число затронутых лиц и записей, вероятные последствия и меры, которые мы приняли или намерены принять.
Если вы обнаружили проблему безопасности, пожалуйста, ответственно сообщите о ней по адресу [email protected]. Мы подтвердим получение вашего сообщения в течение 2 рабочих дней и будем регулярно информировать вас о ходе устранения.