Ваш тайм-трекер знает о компании очень многое. Рабочие часы, скриншоты, данные о зарплатах, детали проектов — всё это проходит через него. И вы имеете полное право спросить: а как всё это защищено?

В WebWork мы защищаем ваши данные на каждом уровне — с момента, когда они покидают ваше устройство, и до момента их удаления. Давайте разберём каждый из этих уровней по порядку.

Шифрование данных при передаче

Каждый раз, когда вы запускаете трекер, открываете отчёт или входите в систему, данные передаются между вашим устройством и нашими серверами. Специалисты по безопасности называют это данные в движении (data in motion), и это первый уровень, который мы защищаем.

Весь этот трафик шифруется с помощью сертификатов SSL/TLS, выпущенных DigiCert — глобально признанным удостоверяющим центром. На практике это означает, что любое подключение к WebWork происходит по HTTPS — будь то веб-приложение, десктопный трекер или мобильное приложение. Ваши учётные данные, отслеженные часы и отчёты остаются конфиденциальными при передаче.

Наши десктопные и мобильные приложения используют протоколы TLS 1.2 и TLS 1.3 — актуальные стандарты зашифрованных соединений. Это тот же уровень шифрования, который используют банки и другие финансовые организации для защиты транзакций.

Почему шифрование при передаче так важно?

Оно предотвращает перехват данных, их подмену и атаки типа «человек посередине» (man-in-the-middle). Проще говоря, никто, находящийся между вашим устройством и нашими серверами, не сможет прочитать или изменить ваши данные.

Полные технические детали, включая информацию о сертификатах, вы найдёте на нашей странице данные в движении.

Как мы храним и шифруем ваши данные

После того как данные попадают на наши серверы, они переходят в состояние, которое специалисты по безопасности называют данными в покое (data at rest). И для данных в покое предусмотрен свой набор мер защиты.

Мы храним ваши данные на защищённых облачных серверах, включая Amazon S3 и Contabo. Всё, что там хранится, зашифровано алгоритмом AES-256 — одним из самых надёжных стандартов шифрования, который применяется в финансовом и государственном секторах.

Даже если кто-то каким-то образом получит доступ к хранимым файлам, он увидит зашифрованные данные, а не вашу реальную информацию.

Защита паролей 

Пароли мы обрабатываем особым образом. Мы никогда не храним ваш пароль в открытом виде. Вместо этого он преобразуется в хеш — результат одностороннего процесса, который невозможно обратить. При входе в систему мы сравниваем хеш-значения, поэтому ваш настоящий пароль никогда не хранится в базе данных. Это также защищает от распространённых методов атак, таких как перебор паролей (brute force).

В 2024 году мы добавили ещё один уровень защиты: разделили серверы баз данных и серверы приложений. Теперь они работают в изолированных средах, а значит, доступ к конфиденциальной информации значительно ограничен и контролируется гораздо строже. Даже если одна часть системы окажется под угрозой, сами данные останутся в безопасности.

Подробный разбор того, что именно мы храним, шифруем и как долго, смотрите на странице данные в покое и сроки хранения.

Усиленная защита скриншотов: многоступенчатое шифрование

Скриншоты — самые чувствительные данные, которые может хранить тайм-трекер. Один снимок экрана может содержать электронную почту, информацию о клиентах или даже внутренние документы. Поэтому мы разработали для них отдельный протокол безопасности — многоступенчатое шифрование (Multi-Step Encryption), созданное нашей собственной командой безопасности.

Вот как это работает:

  1. Каждый скриншот получает уникальный токен шифрования. Никакие два файла не защищены одинаково, поэтому даже теоретически не существует единого ключа, который мог бы открыть всё.
  2. Затем каждый файл проходит пользовательскую трансформацию с помощью алгоритма, специально разработанного нашей командой безопасности. Это добавляет уровень защиты, которого нет в стандартных схемах шифрования.
  3. Наконец, файл шифруется алгоритмом AES-256-CBC — промышленным стандартом, который мы используем и для остальных хранимых данных.

И поверх всего этого — ещё один уровень. Зашифрованные файлы хранятся на Amazon Web Services с включённым серверным шифрованием, так что AWS добавляет собственную защиту к файлам, которые уже зашифрованы несколько раз.

Этот же протокол распространяется на другие медиафайлы — документы, чеки и вложения, которые загружает ваша команда.

С момента создания файла и до момента его удаления он остаётся зашифрованным.

Полное описание протокола вы найдёте на нашей странице инноваций в безопасности.

Блокировка угроз до того, как они достигнут WebWork

Значительная часть работы по обеспечению безопасности происходит ещё до того, как атака приблизится к вашим данным. На этом уровне мы сотрудничаем с Cloudflare — глобальной сетью веб-безопасности, которая фильтрует весь входящий трафик к нашей платформе.

Три ключевых механизма защиты берут на себя основную нагрузку.

  • Защита от DDoS-атак обеспечивает доступность WebWork даже во время аномальных всплесков трафика, чтобы ваша команда могла продолжать отслеживать время без перебоев.
  • Web Application Firewall блокирует распространённые методы атак, такие как SQL-инъекции и межсайтовый скриптинг (XSS), ещё до того, как они достигнут наших серверов.
  • Система управления ботами отделяет вредоносных ботов от реальных пользователей, пропуская легитимный трафик и блокируя автоматизированные угрозы.

Мы также работаем с Intruder — платформой для сканирования уязвимостей, которая непрерывно проверяет наши сайты, API и инфраструктуру на наличие слабых мест. Это позволяет нам устранять проблемы до того, как кто-то успеет ими воспользоваться.

А с помощью Drata мы отслеживаем доступ ко всем системам, выявляем несанкционированную активность и контролируем соответствие стандартам безопасности в режиме 24/7.

Полный список наших партнёров и зоны ответственности каждого из них — на странице партнёры по безопасности.

Если вам проще оценить платформу на практике, чем читать о её защите, вы можете попробовать WebWork бесплатно в течение 14 дней — все описанные в этой статье механизмы защиты работают с первого дня.

Кто и что видит в вашем рабочем пространстве

Шифрование защищает данные от внешних угроз, а контроль доступа определяет, что могут видеть люди внутри вашего рабочего пространства. Этот уровень не менее важен, особенно когда речь идёт о данных мониторинга.

В WebWork доступ привязан к ролям. Сотрудники видят только свои данные: свои часы, свою активность, свои скриншоты. Тимлиды могут просматривать данные команд, которыми они руководят, а менеджеры проектов — свои данные плюс проекты, за которые они отвечают. Полный доступ ко всему рабочему пространству есть только у владельца аккаунта и исполнительных менеджеров. Также предусмотрена роль «Наблюдатель проекта» — это доступ только для просмотра назначенных проектов, что удобно для клиентов или стейкхолдеров, которым нужна видимость без права редактирования.

Если стандартные роли не соответствуют структуре вашей компании, функция «Типы участников» позволяет создавать собственные наборы разрешений. Так каждый сотрудник получает ровно тот доступ, который нужен для его задач, — и ничего лишнего.

Эта структура реально работает на доверие внутри команды. Когда сотрудники знают, что их данные мониторинга видны только тем, кому это действительно необходимо, внедрение тайм-трекера проходит гораздо проще.

В 2025 году мы усилили этот уровень, добавив подробные журналы аудита. Теперь все действия в рабочем пространстве фиксируются, и всегда есть чёткая запись о том, кто и что сделал. Ответственность работает в обе стороны.

Когда ваши данные удаляются

Защита данных — это ещё и гарантия того, что они не хранятся вечно. У каждой единицы информации в WebWork есть определённый срок жизни.

Скриншоты удаляются автоматически через 3, 6 или 12 месяцев в зависимости от вашего тарифного плана. Но ждать необязательно — вы можете удалить скриншоты и другие медиафайлы вручную в любой момент. А наши автоматизированные процессы удаляют файлы сразу по истечении срока хранения.

Тот же принцип распространяется на ваш аккаунт в целом. Если вы не используете WebWork в течение 6 месяцев подряд, мы безвозвратно удаляем ваши личные данные и данные рабочего пространства.

Кроме того, в соответствии с GDPR вы имеете право запросить удаление ваших данных в любой момент.

Если вы хотите узнать точные сроки хранения для каждого типа данных — от счетов до файлов чата — все они перечислены на нашей странице данные в покое и сроки хранения.

Соответствие стандартам: GDPR, HIPAA и CCPA

Помимо технической защиты, WebWork обеспечивает и юридическую. WebWork соответствует требованиям GDPR, HIPAA и CCPA — вот что каждый из этих стандартов означает для вас.

GDPR

Соответствие GDPR означает, что мы собираем, обрабатываем и храним ваши данные в соответствии с требованиями ЕС к защите данных, включая ваше право на удаление данных по запросу. Если ваша компания работает с европейскими клиентами или сотрудниками, WebWork уже соответствует стандартам, которых они ожидают.

HIPAA

Соответствие HIPAA открывает WebWork для команд в сфере здравоохранения. Мы внедрили административные, физические и технические меры защиты, которые HIPAA требует для защищённой медицинской информации, и работаем только с HIPAA-совместимыми сторонними сервисами. Если ваша организация работает с данными пациентов, вы можете отслеживать время, не создавая пробелов в соответствии нормативным требованиям.

CCPA

CCPA даёт жителям Калифорнии право знать, какие категории персональных данных мы собираем, получать доступ к этим данным и запрашивать их удаление. Мы собираем только те данные, которые необходимы для предоставления наших услуг.

Два принципа действуют для всех этих стандартов. Мы не продаём, не сдаём в аренду и не передаём ваши персональные данные третьим лицам — ни при каких обстоятельствах. И мы не собираем и не обрабатываем чувствительные категории данных, такие как биометрические данные, религиозные убеждения, политические взгляды или информация о здоровье.

Мы контролируем наши протоколы безопасности, производительность систем и доступность сервиса в режиме 24/7/365. Помимо непрерывного мониторинга, мы регулярно проводим аудит систем на наличие уязвимостей и тесты на проникновение — когда специалисты по безопасности целенаправленно пытаются «взломать» систему, чтобы мы могли найти слабые места раньше других. Параллельно работают автоматизированные тесты безопасности для поддержания стабильно высокого уровня защиты.

Мы также публично документируем эту работу. На нашей странице обновлений безопасности зафиксированы улучшения, которые мы внедряем из года в год. Например, обновление сертификатов подписи кода и безопасности API в 2023 году, разделение серверов баз данных в 2024 году и усиленная защита медиафайлов в 2025 году. Вы можете видеть, что именно изменилось и когда, а не просто верить нам на слово.

И если вы заметите что-то, что вызывает у вас беспокойство, — сообщите нам. Используйте кнопку «Сообщить о проблеме» на нашей странице безопасности или в нижней части панели управления. Обратная связь от пользователей по вопросам безопасности имеет для нас реальную ценность, и мы относимся к ней соответственно.

Попробуйте WebWork бесплатно в течение 14 дней

В категории:

WebWork трекер,