Rediacc полностью работает на вашей инфраструктуре. Во время операций клонирования окружения, резервного копирования и развёртывания данные никогда не покидают вашу машину. Вы остаётесь и контроллером, и обработчиком данных. Никакой сторонний SaaS не обрабатывает ваши данные.

В этом разделе технические возможности Rediacc сопоставлены с требованиями основных систем соответствия. Каждая страница охватывает конкретное регулирование со ссылками на уровне статей официальных правовых текстов.

## Матрица соответствия

| Стандарт | Область применения | Ключевые возможности Rediacc |
|----------|-------------------|------------------------------|
| [GDPR](/ru/docs/legal-gdpr) | Защита данных и конфиденциальность в ЕС | CoW-клонирование на той же машине, шифрование LUKS2, хранилище конфигурации с нулевым разглашением, журналирование аудита, право на удаление через `rdc repo destroy` |
| [SOC 2](/ru/docs/legal-soc2) | Критерии доверительных сервисов для сервисных организаций | Шифрование в состоянии покоя, синхронизация конфигурации с нулевым разглашением, сетевая изоляция, аудиторский след, резервное копирование и восстановление |
| [HIPAA](/ru/docs/legal-hipaa) | Защита медицинской информации в США | Шифрование LUKS2, хранилище конфигурации с нулевым разглашением, доступ только по SSH, изолированные Docker daemons, безопасность передачи |
| [CCPA](/ru/docs/legal-ccpa) | Права на конфиденциальность потребителей Калифорнии | Самостоятельное размещение (без продажи/передачи данных), шифрование с нулевым разглашением, зашифрованное удаление, инвентаризация данных по репозиториям |
| [ISO 27001](/ru/docs/legal-iso27001) | Средства управления информационной безопасностью | Управление активами, криптографические средства, хранилище конфигурации с нулевым разглашением, контроль доступа, операционная безопасность |
| [PCI DSS](/ru/docs/legal-pci-dss) | Защита данных платёжных карт | Сегментация сети на уровне архитектуры, обязательное шифрование, журналирование аудита, сокращение области охвата за счёт самостоятельного размещения |
| [NIS2 и DORA](/ru/docs/legal-nis2-dora) | Кибербезопасность и финансовая устойчивость ЕС | Устранение рисков цепочки поставок, тестирование устойчивости через CoW-клонирование, шифрование, обнаружение инцидентов |
| [Суверенитет данных](/ru/docs/legal-data-sovereignty) | Мировые законы о локализации данных (PIPL, LGPD, KVKK, PIPA и другие) | Самостоятельное размещение = данные никогда не покидают вашу юрисдикцию. Без трансграничных передач, без оценок адекватности |

## Архитектурные основы

Каждая система соответствия в этом разделе опирается на одни и те же технические свойства:

- **Шифрование в состоянии покоя**: Каждый репозиторий зашифрован LUKS2 AES-256. Учётные данные хранятся только в локальной конфигурации оператора, никогда на сервере.
- **Сетевая изоляция**: Каждый репозиторий получает собственный Docker daemon, подсеть loopback IP (/26) и правила iptables. Контейнеры из разных репозиториев не могут взаимодействовать.
- **Клонирование copy-on-write**: `rdc repo fork` использует reflinks файловой системы (`cp --reflink=always`). Данные дублируются на той же машине без сетевой передачи.
- **Журналирование аудита**: Более 40 типов событий, охватывающих аутентификацию (вход, 2FA, смена паролей, отзыв сессий), жизненный цикл API-токенов, операции хранилища конфигурации и активность подписок/лицензий. Доступно через панель администратора и `rdc audit` CLI. Операции на уровне машины (форк, резервное копирование, развёртывание) выполняются на самой машине через SSH и системные журналы.
- **Зашифрованное резервное копирование**: `rdc repo backup push/pull` передаёт данные по SSH. Место назначения резервной копии получает зашифрованные LUKS-тома.
- **Хранилище конфигурации с нулевым разглашением**: Опциональная зашифрованная синхронизация конфигурации между устройствами. Конфигурации шифруются на стороне клиента с помощью AES-256-GCM перед загрузкой. Сервер хранит только непрозрачные блобы. Сервер не может прочитать SSH-ключи, учётные данные, IP-адреса или любые данные конфигурации в открытом виде. Вывод ключей использует passkey PRF extension + HKDF с разделением доменов. Доступ участников управляется через обмен ключами X25519, а отзыв происходит мгновенно.

Подробнее об этих возможностях см. [Архитектура](/ru/docs/architecture), [Репозитории](/ru/docs/repositories), [Хранилище конфигурации](/ru/docs/config-storage) и [Безопасность аккаунта](/ru/docs/account-security).

## Почему это важно

Нарушения соответствия обходятся дорого. Эти случаи правоприменения касались проблем, которые архитектура Rediacc структурно предотвращает:

| Инцидент | Штраф | Что пошло не так |
|----------|-------|-------------------|
| [Meta: трансграничная передача данных ЕС-США](https://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland) | 1,2 млрд EUR | Персональные данные передавались через границы без надлежащих гарантий. Самостоятельное размещение означает отсутствие передачи. |
| [Equifax: незашифрованные данные](https://www.ftc.gov/news-events/news/press-releases/2019/07/equifax-pay-575-million-part-settlement-ftc-cfpb-states-related-2017-data-breach) | 700 млн USD | 147 миллионов записей хранились без шифрования с плохой сегментацией сети. LUKS2 обязателен, не опционален. |
| [Target: боковое перемещение](https://oag.ca.gov/news/press-releases/attorney-general-becerra-target-settles-record-185-million-credit-card-data) | 18,5 млн USD | Атакующие перешли от поставщика HVAC к платёжным системам через плоскую сеть. Изоляция по репозиториям предотвращает это. |
| [Anthem: незашифрованные PHI](https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/anthem/index.html) | 16 млн USD | 79 миллионов медицинских записей хранились без шифрования. LUKS2 AES-256 всегда активен. |
| [Blackbaud: каскад взлома SaaS](https://www.sec.gov/newsroom/press-releases/2023-48) | 49,5 млн USD | Программа-вымогатель у одного SaaS-поставщика раскрыла данные более 13 000 организаций-клиентов. Самостоятельное размещение означает, что взлом поставщика не может достичь ваших данных. |
| [British Airways: плохая сегментация](https://www.edpb.europa.eu/news/national-news/2019/ico-statement-intention-fine-british-airways-ps18339m-under-gdpr-data_en) | 20 млн GBP | Атакующие внедрили вредоносный код из-за недостаточного сетевого контроля. Изолированные Docker daemons и iptables предотвращают боковой доступ. |
| [Google: право на удаление](https://www.edpb.europa.eu/news/national-news/2019/cnils-restricted-committee-imposes-financial-penalty-50-million-euros_en) | 50 млн EUR | Сложность полного удаления данных в распределённых системах. Криптографическое удаление через уничтожение LUKS мгновенно и полно. |

## Важное замечание

Эти страницы описывают технические возможности Rediacc применительно к требованиям соответствия. Соблюдение любого регулирования требует организационных политик, процедур, обучения персонала и, возможно, сторонних аудитов, выходящих за рамки любого отдельного инструмента. Обратитесь к своей юридической команде и команде по соответствию за рекомендациями, специфичными для вашей организации.