Ниже — честное описание базового уровня защиты для текущего этапа продукта. Мы не обещаем «военную»
сертификацию, но стараемся соблюдать здравый минимум для аккаунтов и wellness-данных.
Что уже есть
HTTPS для трафика к сайту и API в production.
Пароли — хэширование (PBKDF2-HMAC-SHA256 с солью), пароль в открытом виде не хранится.
Токены доступа подписываются на сервере и имеют срок жизни.
Подтверждение почты и сброс пароля — одноразовые токены с ограниченным временем жизни.
Ограничение частоты запросов к чувствительным endpoint’ам (регистрация, вход, API).
Удаление аккаунта стирает профиль и сохранённые сводки на сервере.
Что нужно до широкого публичного запуска
Подключить боевой SMTP / почтовый провайдер, настроить SPF/DKIM/DMARC и проверить доставку писем на реальных почтовых ящиках.
Регулярно проверять резервные копии базы и мониторинг ошибок в логах приложения.
Держать CORS ограниченным только реальными доменами Downshift.
Юридическая и продуктовая проверка формулировок wellness до масштабного релиза в App Store.
Важно понимать
Downshift не ставит диагнозы и не заменяет врача. Приложение помогает мягче понимать своё состояние и выбрать
практики саморегуляции на основе сигналов с Apple Watch и HealthKit.
Вопросы по данным и аккаунту можно решить через удаление профиля в кабинете или обратную связь команды продукта.