Вместо того чтобы реплицировать паспорта, телефоны и адреса по 40 системам — они живут в одном депозитарии. CRM, биллинг, BI, логи, бэкапы обмениваются детерминированными токенами. Оригинальные данные никогда не покидают vault без аудитного следа.
Один телефон клиента лежит в CRM, биллинге, поддержке, BI, логах и трёх поколениях бэкапов. Каждая копия — потенциальная утечка. Каждое место — отдельный аудит.
Депозитарий Datum инвертирует задачу. ПДн хранятся в одном месте — в защищённом контуре с HSM, аудитом и строгим RBAC. Во все остальные системы вы кладёте токен — не-обратимый идентификатор, который можно хранить, передавать, джойнить и анализировать, но из которого нельзя восстановить исходные данные без явного разрешения и аудита.
| До Datum | С Datum | |
|---|---|---|
| Где живут ПДн | 40+ систем | 1 депозитарий |
| Скоуп 152-ФЗ | вся инфраструктура | 1 компонент |
| Бэкапы содержат ПДн | да | нет |
| Аналитика видит ПДн | да | нет |
| DSR (удаление по запросу субъекта) | ручной обход всех систем | 1 вызов API |
| Утечка из CRM | инцидент, ПДн | только токены |
Слева — ваши системы. В центре — Datum API. Справа — vault. Синие линии — токены, свободно ходят по инфре. Белые — ПДн, только между API и vault, каждое обращение записывается.
API-ключ на staging, одна библиотека (datum-sqlalchemy, datum-django, @datum/node). Первый токен — через 20 минут после первого коммита.
Когда новая запись попадает в систему, приложение вызывает POST /v1/tokenize с ПДн-полями. Datum возвращает токены той же семантики (тот же домен, тот же формат — детерминированно).
В БД приложения лежат токены. SQL, джойны, поиск по телефону — всё работает, потому что одинаковый вход даёт одинаковый токен. Аналитика строит метрики на токенах. LLM — через AI Proxy.
Когда оператору нужно увидеть ПДн, приложение вызывает POST /v1/detokenize с причиной. Datum возвращает данные и пишет аудит: кто, когда, зачем, IP.
В дашборде — сколько токенов создано, кто что детокенизировал, аномалии в паттернах. Append-only лог, соответствие требованиям УЗ-1/УЗ-2.
Шифрование, HSM-интеграция, детерминированные токены, RBAC, append-only audit, webhooks. Всё, что нужно CTO для подписания архитектурного меморандума.
Приведены цифры, которые проверяют CTO на первой же встрече: latency, throughput, HA, data residency.
| Шифрование | AES-256-GCM (per-tenant DEK через Vault Transit) |
| Ключи | HashiCorp Vault / внешний HSM / локальный fallback |
| Протоколы | REST (JSON), gRPC, GraphQL |
| Latency p50/p99 | 4 мс / 12 мс (localhost); +~100 мс RTT |
| Throughput | 230+ ops/s на tokenize · 300+ ops/s на detokenize |
| Bulk endpoint | POST /v1/bulk/tokenize — до 1000 записей/запрос |
| SDK | Python (sync + async), Node.js, Java, Go |
| ORM интеграции | SQLAlchemy, Django ORM, Prisma, Sequelize |
| Data residency | RF (Selectel Moscow) · EU (OVH France) · on-prem |
| High availability | Active-active PostgreSQL, Redis Sentinel, Vault HA |
| Compliance | 152-ФЗ · ФСТЭК УЗ-1/УЗ-2 · GDPR · SOC 2 Type II |
Четыре характерных паттерна — от legacy-миграции до многосистемной архитектуры под жёсткий регулятор.
17 систем, один клиент. До Datum — 17 копий в скоупе. После: депозитарий + токены во всех 17. Антифрод-модель получает phone_token и находит паттерны — детерминированность сохраняет feature engineering.
100М+ контактов в BigQuery. Передавать ПДн в BI нельзя — команда аналитики не в скоупе 152-ФЗ. Токенизируем при ETL, когорты строятся на токенах, точечная детокенизация — через прокси.
Самый строгий сценарий — УЗ-1 + специальные категории ПДн. Datum on-prem с внешним HSM. Врач видит карту через приложение, депозитарий логирует каждое чтение. ЕГИСЗ получает только положенное.
PostgreSQL с 15М заказов. Один ALTER TABLE + bulk tokenize за ночь — и вся БД выходит из скоупа 152-ФЗ. Zero downtime: колонка добавляется nullable, скрипт токенизирует, старая дропается.
Интеграция не требует переписывания бизнес-логики. Shadow-mode даёт возможность откатиться на любом этапе.
Ключ на staging (staging.pdncloud.ru). pip install datum-sqlalchemy. Первый POST /v1/tokenize — через 20 минут. Токены видны в дашборде.
Помечаете PII-колонки Tokenized(). Новые записи пишутся в raw + токен. Проверяем, что JOIN'ы и поиск работают. Raw-колонка пока есть — можно откатиться.
Bulk-токенизация исторических данных (фоном). Переключение чтения на токены. Drop raw-колонок. DELETE FROM vault WHERE subject_id = X чистит старые снапшоты.
Если вашего вопроса нет — напишите sales@datumcloud.ru, ответим в течение рабочего дня.
Нет. Vault-данные реплицируются в PostgreSQL HA-кластере с WAL-бэкапом. Плюс escrow — зашифрованный бэкап у вас, расшифровываемый вашим ключом. Даже если Datum-сервис недоступен, ваши данные восстанавливаемы без нас.
Правильно — и не надо. В on-prem-варианте HashiCorp Vault (или ваш HSM) живёт в вашем контуре, ключи не покидают ваш периметр. Мы поставляем сервис и админку; ключи — ваши.
Да. SDK под Python (SQLAlchemy, Django), Node (Prisma, Sequelize), Java (JDBC интерсептор), Go. Миграция legacy — через ALTER TABLE ADD COLUMN phone_token + batch-скрипт. Паттерн отработан.
Детокен-запросы кешируются в Redis на стороне клиента (зашифрованные). Hot tokens → <1 мс. Cold — <12 мс p99. Для миграции 15M записей — bulk endpoint со скоростью ~10k ops/s.
Datum RU — Selectel Moscow, полностью в РФ. Данные не покидают территорию. ФЗ-242 выполнен.
По объёму операций, не по записям. Pricing — по запросу. Есть free tier для PoC (100k ops/месяц).
30 минут с архитектором. Разбираем, какие системы в скоупе, показываем SDK под ваш стек, оцениваем сроки миграции.