Безопасность
Доступ к кабинету
- Кабинет — только по HTTPS (Caddy, cookie
Secure). Вход по паролю владельца; пользователи — по приглашениям с ролями. - Setup-token одноразовый, действует только до первичной настройки.
Секреты
- Секреты кабинета (ключи Yandex, S3, SMTP) хранятся в
config.dbв виде envelope-шифрования; в интерфейсе не отображаются (только маска••••). MASTER_KEY— мастер-ключ шифрования — на сервере в.env, копия отдельно.INTERNAL_TOKENзащищает канал бот↔Asterisk (/call-meta).
Сетевой периметр
Наружу открыты только необходимые порты: HTTPS кабинета (80/443) и SIP/RTP для транка. Данные звонков (записи, транскрипты, журнал) остаются в контуре клиента.
Обновления
Ставьте обновления через Маяк с обязательной проверкой подписи (приложение C) — это гарантирует, что дистрибутив выпущен Интелбитом и не подменён.