Возможности Каналы Тарифы Интеграции Безопасность Кому подходит Документация
Безопасность

Инфраструктура верификации должна быть скучной.

OTPilot: слой доставки и проверки. Он подтверждает владение каналом и возвращает подписанный результат, не превращаясь в ваш auth-сервер.

#

OTP только хэш

Коды хранятся как хэши и не появляются в обычных логах платформы.

🔑

API-ключи только хэш

Аутентификация клиентов без хранения сырых токенов на сервере.

Подписанные вебхуки

Получатель проверяет HMAC-подпись и timestamp до доверия payload.

Rate limits

Запросы ограничены против злоупотреблений и перебора кодов.

Append-only события

Попытки доставки и события верификации образуют надежный аудит-след.

Маршрут с уважением к настройкам

Маршрут учитывает доступность канала, настройки клиента и выбор пользователя.

Границы

OTPilot не решает, пускать ли в аккаунт.

Аутентификация и авторизация ваши. OTPilot возвращает только результат challenge: approved, failed или expired.

Граница
Отвечает OTPilot
Отвечает ваш продукт
Верификация
Создание challenge, доставка, проверка и доставка событий.
Что разрешает подтвержденная верификация внутри продукта.
Каналы
Роутинг среди доступных каналов и провайдеров.
Политика сегмента и пользовательские согласия.
Данные
Минимум данных верификации и границы ретеншна.
Полный профиль пользователя, auth-сессии и бизнес-права.
Данные

Минимум данных, проверяемый результат.

OTPilot хранит только данные, нужные для проверки кода, ограничивает срок жизни challenge, подписывает события и отделяет результат верификации от ваших auth-решений.

Data minimization

Храним только нужное для challenge и аудита.

Retention

Срок хранения событий и delivery-логов задается политикой клиента.

Signed results

Результаты и webhooks можно проверить по подписи.

Access boundaries

OTPilot подтверждает challenge, решение о доступе остается в продукте клиента.

Production

Подготовим security review перед production.

Для пилота и production-запуска заранее согласуем границы:

  • Data map: какие данные проходят через OTPilot.
  • Retention: сколько храним события, попытки и delivery-логи.
  • Access model: кто видит ключи, логи и настройки.
  • Webhook signatures: как проверяется источник событий.
  • Rate limits: как защищаем challenge от перебора.
  • Incident contact: куда писать при проблеме.
  • Deletion и export: как удалить или выгрузить данные клиента.

Обсудить безопасный запуск.

Покажем модель данных, подписи webhooks, retention, rate limits и границы ответственности перед production.

Обсудить безопасный запуск