Ключевые технологии

Лучшие практики создания современных сложных систем.

В основе Open Source технологии .net, rabbitMq, vue.js, MSSQL, PostgreSQL, 1C. Почти весь стек и библиотеки с открытым исходным кодом. Архитектура и инфраструктура проекта позволяет ему расти вместе с вашим бизнесом, без лишних расходов

Архитектура

TIP

Архитектура основана на большом опыте разработки и промышленной эксплуатации факторинговых систем в ТОП-10 банках РФ.
Хотим пообщаться

Ядро системы - модульный монолит плюс набор микросервисов на базе брокера RabbitMq. Независимо масштабируемые сервисы и устойчивая к сбоям система. Поддержка Windows и Linux.

Микросервисы:

Cкоринг, ЭДО, проверка ЭП, сбор и анализ данных по верификации, планировщик задач, самые разные интеграции и другие сервисы.

Внутри микросервисов: отдельные базы данных, надежные распределенные транзакции, балансировка нагрузки, трехуровневый Retry сообщений, строгие контракты, outbox, circuit breaker, контроль poison messages, раздельный Deploy сервисов и конечно мониторинг с алертами.

Интеграции:

Ниже примеры ИТ сервисов и систем с которыми система интегрирована. Список не полный, добавлю нужные для вас интеграции как с ИТ сервисами, так и с другими компаниями.

Быстрое заполнение анкеты и других форм, прескоринга и поиска — Дадата

Скоринг контрагентов + их мониторинг — Контур.Фокус

BPMN процессы кредитный конвейер — исполняемый Camunda

Внешний смс и почтовый сервис с настройкой DKIM, DMARC, SPF, PTR для вашего домена

400 интеграций через low-code платформу — n8n

Локальный AI в защищенном периметре на базе Llama 3.1 для анализа документов и пилотной работы AI операциониста

Мониторинг и метрики, инфраструктуры и ПО на открытом стандарте Open Telemetry и записью в Prometheus (open-source systems monitoring and alerting toolkit) и долгосрочным хранением в Yandex Monitoring

Структурированное логирование универсальный формат логов и трассировки выполнения. Умеем онлайн передавать во множество систем (более 50)

Сетевая архитектура

Для каждого клиента создается выделенная инфраструктура на территории РФ в ЦОД Selectel. Selectel — ведущий провайдер IT-инфраструктуры. 24 000+ клиентов, например X5 Group, Vk, 2ГИС, Самокат.

Крупными блоками сетевой стек можно описать так:

• Ваш домен (только выбрать CNAME, поддержка и обслуживание https на нашей стороне)
• Yandex.Cloud DNS (промышленное и безопасное решение, аудит изменений)
• Защита от DDOS на сетевом и транспортном уровне ЦОД

• Облачный Firewall (открыты только 80 и 443 порты)

  • мониторинг открытых портов
  • мониторинг уязвимостей https://www.shodan.io/ (malware, open_database, iot, end_of_life, vulnerable_unverified, internet_scanner, industrial_control_system, vulnerable)
  • мониторинг доступности веб сайта (71 точка по России)
  • мониторинг домена или IP в чёрных списках Роскомнадзора, Spamhaus и др
  • мониторинг SSL-сертификата и изменений DNS

• Выделенный IP адрес вашей системы (или два с балансировкой)

• Защита от DDOS L7, Rate-limit

---

Ниже внутренние сети для сервисов. В ЦОД или на базе P2P сети с E2E шифрованием (несколько провайдеров ЦОД, например Яндекс.Облако + Selectel)

• Личный Кабинет про его Web-безопасность
• Учетная система, микросервисы, RabbitMq архитектура
• Базы данных

Дополнительно:

• Технический сегмент для мониторинга, развертывания и обслуживания ПО
• Отдельные сегменты для чувствительных сервисов, интеграции с вашей 1С
• Бэкапы, S3 хранилище с репликацией в 3 ЦОДа
• Отдельный сетевой контур Stage (для тестирования ПО)
• Отдельный сетевой контур Dev (для разработки и интеграции систем)

Подходы к разработке

Все по современным стандартам: git, gitflow, pull request, сборка и релизы в yaml, отдельное хранение секретов и паролей, DevSecOps. При сборке выполняются проверки на вирусы, тесты с расчетом покрытия кода. Код и инфраструктура на территории РФ.

Управление через канбан, спринт 2 недели или месяц. Проведение демо и обучения для заказчика и пользователей системы перед запуском новых функций.

Информационная безопасность

Некоторые базовые правила и инструкции по которым работает FactorBox. Для конкретного клиента может быть устроено иначе.

• изоляция вашего проекта на уровне провайдера ЦОД
• ограничение входа только в панель ЦОД с одного IP
• мониторинг всех IP из интернета подробнее
• вход только с двухфакторной авторизацией (offine OTP код, без СМС)
• по умолчанию все порты и соединения во всех сетях закрыты. ACL и белые списки
• отдельное хранение бэкапов в разных ЦОД с шифрованием, регулярная выгрузка бекапов на ваш сервер
• подписание документов по стандарту CADES-T (возможно улучшение до CADES-A)
• хранение юридически значимых документов в трех ЦОД, Yandex S3 с шифрованием
• RabbitMq как средство надежной изоляции сегментов сети
• Мониторинг Web-безопасности разработанных решений
• Контроль каждого изменения кода перед релизом, ограниченный доступ
• Изолированное хранение секретов, паролей и ключей доступа к интеграциям
• Фиксированные версии используемых внешних пакетов, с отдельной процедурой обновления
• trivy, SonarQube, ect

Web-безопасность

Уровень безопасности FactorBox по оценке авторитетного сервиса от Mozilla составляет 130 из 100 (да, больше 100) и уровню A+ Это говорит о следовании всем современным веб-стандартам в области безопасности веб сайтов. Сервис, конечно, проверяет не все аспекты ИБ, но многие для Личного Кабинета. Вы можете проверить это прямо сейчас Подробнее

Оценка A+ от сервиса immuniweb

Оценки A+ от Qualys SSL Labs и A+ от Probely Security Headers

Details

Исполнение 152-ФЗ

ИСПДн - информационные системы персональных данных (ПДн), по закону это «совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств». Простым языком ИСПДн — это любые системы компаний, в которых хранится и обрабатывается чья-либо персональная информация: собственных сотрудников или клиентов.

Оператор ПДн - любая компания, которая собирает, хранит и обрабатывает персональные данные физических лиц. Оператор несет ответственность за сохранность ПДн.

Требования к защите ПДн описаны в ПП №1119 и приказе ФСТЭК России от 18.02.2013 №21, это подзаконный документ к 152-ФЗ «О персональных данных».

Этот приказ прямо указывает, какие меры являются обязательными для той или иной ИСПДн в зависимости от уровня ее защищенности, а какие — нет. В соответствии с приказом ФСТЭК №17 обязательной аттестации подлежат государственные информационные системы (ГИС).

Система обрабатывает ПДн категории Иные, актуальными считаем только угрозы, не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении, подробнее в постановлении Правительства РФ от 01 ноября 2012 г. № 1119. Провайдер ЦОД обеспечивает необходимые третий и четвертый уровень защищенности.

Не забываем про Акт оценки эффективности (в соответствии с п. 4 части 2 статьи 19 152-ФЗ) и оформить поручение на обработку персональных данных. Его нужно подписать, чтобы выполнить требования п. 3 ст. 6 152-ФЗ.