Модель безпеки

SaaS Control Plane: Castovia — це керований SaaS. Вихідний код не надається. Немає опції self-hosting. Інфраструктурою керує Castovia.

Ізоляція тенантів: Кожен провайдер працює в логічно ізольованому тенанті. Провайдери не можуть отримати доступ до даних, підписників, стрімів або конфігурації інших провайдерів.

RBAC (Role-Based Access Control): Чотири ролі: super_admin, admin (provider), supplier, viewer. Кожна роль має суворо обмежені права.

Застосування планів: 7-рівнева модель планів із м’яким і жорстким застосуванням на рівні API. Жорстке застосування активне на критичних комерційних маршрутах.

Безпека паролів: Паролі хешуються за допомогою bcrypt. Без зберігання в plaintext для акаунтів admin/supplier.

Аутентифікація вузлів: Вузли провайдера автентифікуються за допомогою обмежених, окремих серверних токенів, які можна ротаційно змінювати незалежно від адмінської панелі.

Rate limiting: Login, signup, contact forms і API endpoints мають rate limiting за IP для запобігання brute-force атакам.

Керування сесіями: Сесії на основі JWT з терміном дії 24 години.

Виявлення підозрілої активності: Автоматизоване виявлення та логування підозрілих патернів входу.

Відсутність розкриття sourceUrl: Внутрішні URL джерел стрімів ніколи не розкриваються на пристрої кінцевого користувача або в клієнтському коді.

Відсутність розкриття storagePath: Внутрішні шляхи до сховища залишаються лише на стороні сервера.

Підписані Playback URLs: Playback URLs мають обмежений термін дії та криптографічно підписані. Прострочені URL відхиляються.

Підписані метадані відтворення: Пристрої кінцевого користувача отримують лише безпечні метадані. Без деталей внутрішньої інфраструктури.

Журнали аудиту: Адміністративні дії логуються для підзвітності.

CDN API keys: Зберігаються зашифрованими в базі даних. Ніколи не повертаються у відповідях API. Приховуються в UI.

DRM secrets: Зберігаються зашифрованими. Ніколи не розкриваються клієнтським пристроям. Немає сирих секретів ліцензій у логах застосунку.

Відсутність розкриття origin secret: Секрети origin для CDN ніколи не розкриваються пристроям кінцевого користувача.

Stripe Secret Key: Лише на стороні сервера. Ніколи не розкривається в клієнтському коді або відповідях API.

Перевірка підпису webhook: Усі події webhook Stripe перевіряються за допомогою HMAC signature перед обробкою.

Ідемпотентна обробка: Події webhook дедуплікуються, щоб запобігти повторній обробці.

Publishable Key: У клієнтських потоках checkout використовується лише publishable key (тільки для читання).

Відсутність надання контенту: Castovia не надає, не хостить і не розповсюджує TV/video контент. Провайдери повністю відповідають за законні права на контент.

Повідомлення про зловживання: Публічний механізм повідомлень про зловживання. Повідомлення перевіряються й опрацьовуються.

Призупинення акаунта: Castovia залишає за собою право призупиняти акаунти, що незаконно розповсюджують контент.

Збереження логів: Відповідні логи можуть зберігатися там, де це юридично потрібно для дотримання вимог.

Політика допустимого використання: Усі провайдери мають погодитися з нею. Порушення можуть призвести до негайного призупинення.