ПОЛИТИКА
БЕЗОПАСНОСТИ

Каждый аккаунт Aemstore защищён многоуровневой системой безопасности. После 5 неудачных попыток входа аккаунт временно блокируется на 15 минут, предотвращая автоматизированные атаки подбора. Сессии привязаны к цифровому отпечатку устройства (IP-адрес + User-Agent), что затрудняет использование перехваченных токенов.

• JWT-токены с версионированием — смена пароля мгновенно инвалидирует все активные сессии
• Привязка сессии к fingerprint устройства (IP + UA hash)
• Автоматическая блокировка после 5 неудачных попыток входа (15 мин)
• Логирование всех попыток авторизации с IP-адресами

Пароли никогда не хранятся в открытом виде. Мы используем алгоритм Argon2id — победитель международного Password Hashing Competition (PHC). Argon2id устойчив к GPU-атакам и атакам на основе специализированного железа (ASIC/FPGA), что делает восстановление пароля из украденной базы данных практически невозможным.

Двухфакторная аутентификация (2FA) реализована по протоколу TOTP (RFC 6238). При включении генерируется уникальный секретный ключ, привязанный к вашему аккаунту. Код действителен 30 секунд и не может быть использован повторно. Мы настоятельно рекомендуем включить 2FA в настройках профиля.

• Совместимо с Google Authenticator, Authy, Microsoft Authenticator
• Секретный ключ хранится в зашифрованном виде
• Brute-force защита: блокировка после 5 неверных кодов подряд
• Отключение 2FA требует подтверждения текущего пароля

Платежные реквизиты обрабатываются исключительно через сертифицированных PCI DSS провайдеров и никогда не проходят через серверы Aemstore. Цифровые ключи и коды хранятся в базе данных в зашифрованном виде (AES-256) и расшифровываются только в момент доставки покупателю. Транзакции защищены идемпотентными ключами для предотвращения двойного списания.

Все входы в систему фиксируются в журнале безопасности. Вы можете просматривать историю авторизаций в разделе профиля. При обнаружении подозрительной активности система автоматически уведомляет вас и может принудительно завершить активные сессии.

• Аудит всех входов: IP, устройство, время, геолокация
• Rate limiting на все чувствительные эндпоинты
• Автоматическое завершение сессий при смене пароля
• Хранение журнала безопасности 90 дней

Если вы обнаружили уязвимость в нашей системе — сообщите нам до публичного раскрытия. Мы обязуемся рассмотреть отчёт в течение 72 часов и устранить критические уязвимости в течение 14 дней. Мы не преследуем исследователей, действующих добросовестно.

Безопасность аккаунта — совместная ответственность. Мы обеспечиваем техническую защиту на стороне платформы, однако рекомендуем соблюдать базовые правила:

• Используйте уникальный пароль длиной не менее 12 символов
• Включите двухфакторную аутентификацию в настройках профиля
• Не передавайте данные аккаунта третьим лицам
• Регулярно проверяйте историю входов на предмет подозрительной активности
• При подозрении на компрометацию — немедленно смените пароль и завершите все сессии