Безопасность данных

Vacanto спроектирован так, чтобы поиск работы был удобным, а данные оставались под вашим контролем. Ниже — что мы делаем технически.

Главное

• Мы никогда не запрашиваем ваш логин и пароль от hh.ru.
• Расширение работает в вашем браузере поверх вашей же сессии hh.ru — нам не нужен ваш аккаунт.
• Только структурированные данные (карточки вакансий, сводки) передаются на сервер — после вашего подтверждения и в пределах активной кампании.

Транспорт

• Все соединения — HTTPS с TLS 1.2/1.3.
• HSTS включён: браузеры запоминают, что сайт нужно открывать только через HTTPS.
• Безопасные cookies: Secure, HttpOnly, SameSite=Lax. Содержимое сессионных cookies шифруется на стороне сервера.

Учётные данные

• Пароли хэшируются bcrypt (cost 12). Plaintext-паролей в БД нет.
• Сброс пароля — только по одноразовому email-токену.
• Сессии API защищены токенами Sanctum, расширение использует device-binding.

Изоляция и доступ

• База данных — PostgreSQL, доступ только с локального сервера, не выставлена наружу.
• Все API-эндпоинты проверяют принадлежность ресурса пользователю.
• На тяжёлые операции включены ограничения по частоте запросов (rate limiting).

Платежи

• Vacanto не хранит данные банковских карт. Оплата проходит через сертифицированного провайдера платежей.
• Webhook от платёжной системы проверяется по подписи HMAC SHA-256 — посторонние не могут подделать payment событие.

Что делать, если нашли уязвимость

Напишите на security@vacanto.ru с описанием и шагами воспроизведения. Мы ответим в течение 72 часов и поблагодарим публично с вашего согласия. Пожалуйста, не публикуйте уязвимость до её устранения.