Мы никогда не спрашиваем пароль от бэкофиса оператора.

• Каждая чувствительная колонка — API-ключи операторов, секреты HMAC для postback, токены платёжных шин, индекс KYC — обёрнута в гибридный конверт. Per-tenant ключ шифрования ключей (KEK) лежит в AWS KMS, регион Франкфурт (eu-central-1), FIPS 140-2 Level 3.
• Каждая запись несёт собственный data-encryption-key (DEK). DEK генерируется на запись, используется один раз и выбрасывается. Зашифрованный DEK лежит рядом с шифротекстом; KEK не покидает KMS.
• EncryptionContext (AAD) при каждом wrap включает workspace-id, credential-id и тег назначения. DEK, обёрнутый для одного тенанта, криптографически не раскроется в контексте другого. Это обеспечено протоколом, а не прикладным кодом.
• KEK ротируется автоматически раз в год. Per-record DEK не ротируются никогда — каждая запись с первого дня живёт под собственным ключом, поэтому ротация здесь — нерезультат.

Supabase Vault мы используем только для наших собственных инфраструктурных секретов. Клиентские данные через него не идут, потому что мастер-ключ Vault держит персонал Supabase. Гибридный конверт удерживает мастер-корень на нашей стороне доверия.

• Любая значимая операция пишет строку в таблицу audit_events твоего workspace: добавлено credential, расшифровано для отправки postback, изменён адрес выплат, выдан MFA-челлендж, открыта админская проверка.
• Строки HMAC-сцеплены: каждая строка несёт MAC предыдущей. Если что-то переписать задним числом, цепочка ломается при следующей проверке.
• Раз в час голова цепочки подписывается AWS KMS и подпись закрепляется в Wasabi EU в режиме Object-Lock WORM. Якорь хранится десять лет. Подписанный корень означает: даже мы не сможем переписать историю, не оставив следов.
• IP-адреса в логе псевдонимизируются через per-tenant HMAC. При закрытии аккаунта тенант-ключ криптографически уничтожается. Цепочка остаётся проверяемой; IP становятся неувязываемыми. Именно это делает лог совместимым со статьёй 17 GDPR при том, что он неизменяем.

• Пароли от бэкофиса операторов. Мы работаем через postback-URL и read-only API-ключи. Некоторые коллеги — включая тех, кто публикует справочные статьи вида «Connecting an Affiliate Program (via Login Credentials)», и инструменты, принимающие CSV-загрузку учётных данных пакетом — действительно их запрашивают. Мы — нет.
• Коды двухфакторной аутентификации, recovery-коды или device-binding seeds для твоих операторских аккаунтов.
• Сид-фразы кошельков или полные номера платёжных карт. Выплаты идут через лицензированных партнёров; мы держим токенизированную ссылку, а не сам номер.
• Государственные документы партнёров, не запускающих KYC по своей воле. KYC привязан к подъёму тиров и к порогам выплат, на которых он юридически обязателен.

Если это изменится — если когда-нибудь будущая функция BetLink действительно потребует операторского credential — мы публикуем обоснование здесь и в changelog ещё до того, как она выходит.

• MFA обязательна в каждом платном workspace. Step-up на изменение адреса выплат, добавление ключей и согласие на админскую сессию.
• TOTP поддерживается уже сегодня. WebAuthn / passkey в апстриме — в бете; мы переключим дефолт на passkey-preferred, как только провайдер аутентификации переведёт её в General Availability.
• SMS в качестве второго фактора — твёрдое нет. SIM-swap-атаки — задокументированный, повторяющийся вектор в этой индустрии; мы не будем продавать SMS как безопасность.
• Enterprise SAML и SCIM через WorkOS приходят в третьем квартале 2026.

• До этого — пиши на security@betlink.ai. Отвечаем в течение одного рабочего дня и не преследуем юридически добросовестные исследования.
• Скоуп и каноническая политика безопасности лежат в /security-policy.txt в формате RFC 9116.
• Публичная Hall of Fame стартует вместе с программой на Intigriti.