З чого почати роботу з Chaindoc?

Перейдіть до гайду Швидкий старт. Він проведе вас через створення облікового запису, завантаження першого документа та відправку його на підпис. Займає близько п'яти хвилин, якщо у вас вже є готовий документ.

Чи є довідка API?

Так. Довідка API охоплює кожен endpoint, включно з автентифікацією, завантаженням документів, керуванням підписантами та конфігурацією webhook. Кожен endpoint містить приклади запитів і відповідей, які ви можете протестувати в пісочниці.

Які SDK доступні для Chaindoc?

Chaindoc має SDK для JavaScript/TypeScript, Python та Go. Сторінка SDK та бібліотеки містить інструкції з установки та зразки коду. Якщо вашої мови немає в списку, REST API працює з будь-яким HTTP клієнтом.

Як працюють webhooks у Chaindoc?

Chaindoc надсилає POST запити на ваш endpoint, коли відбуваються події: документ підписано, переглянуто, термін дії закінчився тощо. Гайд з webhooks показує, як налаштувати endpoints, перевірити підписи та обробити повторні спроби.

Чи потрібен обліковий запис для використання пісочниці Chaindoc?

Так, але це безкоштовно. Зареєструйтесь на chaindoc.io, і ви автоматично отримаєте доступ до пісочниці. Кредитна картка не потрібна. Пісочниця віддзеркалює production, тому все, що ви там створите, працюватиме так само після переходу.

Де можна знайти зразки коду Chaindoc?

Кожна сторінка документації містить вбудовані фрагменти коду. Для повних робочих прикладів розділ гайдів включає повні процеси підписання, масові операції та робочі процеси на основі шаблонів з кодом для копіювання.

Найкращі практики безпеки

Chaindoc шифрує документи в спокої (AES-256) та під час передачі (TLS 1.3), перевіряє цілісність через блокчейн і записує кожну дію. На цій сторінці розберемо, що працює з коробки та що варто налаштувати перед запуском.

Більшість функцій безпеки працюють одразу. Але є налаштування, які варто ввімкнути (MFA, обмеження IP), і звички, яких варто дотримуватись команді (ротація ключів, перевірка доступів). Цей гайд розглядає все.

Автентифікація

Багатофакторна автентифікація

Увімкніть MFA для всіх, не лише адмінів. Це найефективніше, що ви можете зробити. Chaindoc підтримує:

Додатки автентифікації (TOTP) — Google Authenticator, Authy, 1Password
SMS-коди — працює, але менш безпечно. Чесно кажучи, краще використовувати додатки.
Апаратні ключі безпеки (FIDO2/WebAuthn) — найнадійніший варіант
Біометрична автентифікація на мобільних пристроях

Політики паролів

Якщо не використовуєте SSO, встановіть жорсткі вимоги. Chaindoc дозволяє задати мінімальну довжину (12+ символів рекомендовано), складність, термін дії та блокування після невдалих спроб. Можна також заборонити повторне використання останніх 10 паролів.

Доступ на основі ролей

Давайте людям лише те, що потрібно. Chaindoc має вбудовані ролі (Власник, Адмін, Менеджер, Учасник, Гість, Аудитор) і підтримує кастомні ролі з дозволами на кожну дію. Перевіряйте призначення щоквартально і прибирайте зайве. Як це налаштувати — дивіться у документації з управління командами.

Шифрування

У спокої

Усі документи шифруються AES-256 у сховищі. Резервні копії шифруються окремими ключами. Ключі управляються через KMS (сервіс управління ключами) і змінюються щокварталу.

Під час передачі

Кожне з'єднання використовує TLS 1.3. Слабкі шифри вимкнені. HSTS-заголовки не дають браузерам повертатись на HTTP. Це стосується веб-додатку, API і блокчейн-транзакцій.

Безпека API-ключів

API-ключі — найпоширеніше джерело проблем з безпекою. Витік секретного ключа дає повний доступ до акаунту Chaindoc.

Правила управління ключами

Ніколи не додавайте секретні ключі (`sk_`) у клієнтський код. Вони мають бути лише на бекенді. Зберігайте ключі у змінних оточення або менеджері секретів (не в репозиторії). На практиці використовуйте тестові ключі (`sk_test_`) для розробки. Ротуйте продакшен-ключі кожні 90 днів. Якщо ключ витік — негайно відкликайте його в дашборді.

Публічні ключі (`pk_`) призначені для фронтенду і мають лише доступ на читання, тому їх можна безпечно додавати в клієнтські бандли. Про типи ключів детальніше — у гайді з інтеграції API.

Верифікація блокчейном

Кожен опублікований документ отримує хеш у блокчейні. Ось у чому справа: навіть прямий доступ до бази не дозволить змінити документ, бо хеш у блокчейні стане невалідним.

Хеші документів записуються під час публікації та при кожній зміні стану (підписи, анулювання тощо)
Транзакційні квитанції зберігаються з документом для зручної перевірки
Будь-хто може незалежно верифікувати документ за блокчейн-записом
Запис перманентний — він залишиться навіть якщо Chaindoc припинить існування

Для важливих документів варто верифікувати блокчейн-запис після підписання, щоб переконатись, що все збігається.

Безпека вебхуків

Якщо використовуєте вебхуки, перевіряйте HMAC-підпис кожного запиту. Без цього хтось міг би надсилати фейкові події на ваш ендпоінт. Код верифікації є у гайді з вебхуків.

Відповідність стандартам

Інфраструктура Chaindoc має сертифікацію SOC 2 Type II. Залежно від індустрії, можливо, знадобиться налаштувати додаткові опції:

GDPR — вибір регіону даних (ЄС, США, Азія), право на забуття, перенесення даних. Політики зберігання документів автоматично видаляють за терміном.
HIPAA — журналювання аудиту та контроль доступу для медичних документів. Для BAA зверніться у підтримку.
SOC 2 — заходи безпеки задокументовані. Щорічно проводяться сторонні аудити.
eIDAS / ESIGN Act / UETA — відповідність підписів вбудована для всіх трьох типів.
ISO 27001 — практики управління інформаційною безпекою відповідають ISO 27001.

Журналювання аудиту

Chaindoc записує кожну дію: логіни, доступ до документів, редагування, події підписання, зміни дозволів і API-виклики. Логи зберігаються в системі з недоторканним записом щонайменше рік (довше, якщо ваша політика вимагає).

Можна експортувати аудит-логи для зовнішніх перевірок комплаєнсу. Невдалі спроби входу і підозріла активність викликають алерти, якщо налаштовано моніторинг.

Моніторинг та реагування на інциденти

Налаштуйте алерти на невдалі спроби входу, незвичну API-активність і ескалацію дозволів. Chaindoc інтегрується з SIEM-системами, якщо ваша команда безпеки їх використовує.

Майте готовий план реагування на інциденти. Знайте, кого контактувати, що вимкнути і як повідомити про витік. Тестуйте план щонайменше раз на рік. При інцидентах безпеки звертайтесь на security@chaindoc.com.

Чекліст перед продакшеном

Перевірте це перед запуском:

MFA увімкнено для всіх акаунтів
Налаштовані політики паролів (12+ символів, блокування після 5 невдач)
Призначені ролі з мінімальними дозволами
AES-256 шифрування підтверджено (увімкнено за замовчуванням)
TLS 1.3 примусово на всіх ендпоінтах
API-ключі зберігаються у змінних оточення або менеджері секретів
Тестові ключі замінено на продакшен
Налаштовано обмеження швидкості для API
Реалізовано HMAC-верифікацію вебхуків
Увімкнено журналювання аудиту з встановленим терміном зберігання
Налаштовано моніторинг безпеки та алерти
Задокументовано план реагування на інциденти
Протестовано резервні копії (спробуйте відновлення)
Задокументовано та виконано вимоги комплаєнсу

Що робити далі

Управління командами — налаштуйте ролі та контроль доступу
Підписи — розберіться з типами підписів та комплаєнсом
Інтеграція API — захистіть вашу API-реалізацію
Вебхуки — HMAC-верифікація та обробка подій
Документи — контроль доступу та політики зберігання

Документація