Вместо того чтобы реплицировать паспорта, телефоны и адреса по 40 системам - они живут в одном депозитарии. CRM, биллинг, BI, логи, бэкапы обмениваются детерминированными токенами. Оригинальные данные никогда не покидают vault без аудитного следа.
Один телефон клиента лежит в CRM, биллинге, поддержке, BI, логах и трёх поколениях бэкапов. Каждая копия - потенциальная утечка. Каждое место - отдельный аудит.
Депозитарий Datum инвертирует задачу. ПДн хранятся в одном месте - в защищённом контуре с HSM, аудитом и строгим RBAC. Во все остальные системы вы кладёте токен - не-обратимый идентификатор, который можно хранить, передавать, джойнить и анализировать, но из которого нельзя восстановить исходные данные без явного разрешения и аудита.
| До Datum | С Datum | |
|---|---|---|
| Где живут ПДн | 40+ систем | 1 депозитарий |
| Скоуп 152-ФЗ | вся инфраструктура | 1 компонент |
| Бэкапы содержат ПДн | да | нет |
| Аналитика видит ПДн | да | нет |
| DSR (удаление по запросу субъекта) | ручной обход всех систем | 1 вызов API |
| Утечка из CRM | инцидент, ПДн | только токены |
Слева - ваши системы. В центре - Datum API. Справа - vault. Синие линии - токены, свободно ходят по инфре. Белые - ПДн, только между API и vault, каждое обращение записывается.
API-ключ на staging, одна библиотека (datum-sqlalchemy, datum-django, @datum/node). Первый токен - через 20 минут после первого коммита.
Когда новая запись попадает в систему, приложение вызывает POST /v1/tokenize с ПДн-полями. Datum возвращает токены той же семантики (тот же домен, тот же формат - детерминированно).
В БД приложения лежат токены. SQL, джойны, поиск по телефону - всё работает, потому что одинаковый вход даёт одинаковый токен. Аналитика строит метрики на токенах. LLM - через AI Proxy.
Когда оператору нужно увидеть ПДн, приложение вызывает POST /v1/detokenize с причиной. Datum возвращает данные и пишет аудит: кто, когда, зачем, IP.
В дашборде - сколько токенов создано, кто что детокенизировал, аномалии в паттернах. Append-only лог, соответствие требованиям УЗ-1/УЗ-2.
Шифрование, HSM-интеграция, детерминированные токены, RBAC, append-only audit, webhooks. Всё, что нужно CTO для подписания архитектурного меморандума.
Приведены цифры, которые проверяют CTO на первой же встрече: latency, throughput, HA, data residency.
| Шифрование | AES-256-GCM (per-tenant DEK через Vault Transit) |
| Ключи | HashiCorp Vault / внешний HSM / локальный fallback |
| Протоколы | REST (JSON), gRPC, GraphQL |
| Latency p50/p99 | 4 мс / 12 мс (localhost); +~100 мс RTT |
| Throughput | 230+ ops/s на tokenize · 300+ ops/s на detokenize |
| Bulk endpoint | POST /v1/bulk/tokenize - до 1000 записей/запрос |
| SDK | Python (sync + async), Node.js, Java, Go |
| ORM интеграции | SQLAlchemy, Django ORM, Prisma, Sequelize |
| Data residency | РФ (Selectel · Москва) · on-prem |
| High availability | Active-active PostgreSQL, Redis Sentinel, Vault HA |
| Compliance | 152-ФЗ · ФСТЭК УЗ-1/УЗ-2 |
Четыре характерных паттерна - от legacy-миграции до многосистемной архитектуры под жёсткий регулятор.
17 систем, один клиент. До Datum - 17 копий в скоупе. После: депозитарий + токены во всех 17. Антифрод-модель получает phone_token и находит паттерны - детерминированность сохраняет feature engineering.
100М+ контактов в BigQuery. Передавать ПДн в BI нельзя - команда аналитики не в скоупе 152-ФЗ. Токенизируем при ETL, когорты строятся на токенах, точечная детокенизация - через прокси.
Самый строгий сценарий - УЗ-1 + специальные категории ПДн. Datum on-prem с внешним HSM. Врач видит карту через приложение, депозитарий логирует каждое чтение. ЕГИСЗ получает только положенное.
PostgreSQL с 15М заказов. Один ALTER TABLE + bulk tokenize за ночь - и вся БД выходит из скоупа 152-ФЗ. Zero downtime: колонка добавляется nullable, скрипт токенизирует, старая дропается.
Интеграция не требует переписывания бизнес-логики. Shadow-mode даёт возможность откатиться на любом этапе.
Ключ на staging (staging.pdncloud.ru). pip install datum-sqlalchemy. Первый POST /v1/tokenize - через 20 минут. Токены видны в дашборде.
Помечаете PII-колонки Tokenized(). Новые записи пишутся в raw + токен. Проверяем, что JOIN'ы и поиск работают. Raw-колонка пока есть - можно откатиться.
Bulk-токенизация исторических данных (фоном). Переключение чтения на токены. Drop raw-колонок. DELETE FROM vault WHERE subject_id = X чистит старые снапшоты.
Если вашего вопроса нет - напишите sales@datumcloud.ru, ответим в течение рабочего дня.
Нет. Vault-данные реплицируются в PostgreSQL HA-кластере с WAL-бэкапом. Плюс escrow - зашифрованный бэкап у вас, расшифровываемый вашим ключом. Даже если Datum-сервис недоступен, ваши данные восстанавливаемы без нас.
Правильно - и не надо. В on-prem-варианте HashiCorp Vault (или ваш HSM) живёт в вашем контуре, ключи не покидают ваш периметр. Мы поставляем сервис и админку; ключи - ваши.
Да. SDK под Python (SQLAlchemy, Django), Node (Prisma, Sequelize), Java (JDBC интерсептор), Go. Миграция legacy - через ALTER TABLE ADD COLUMN phone_token + batch-скрипт. Паттерн отработан.
Детокен-запросы кешируются в Redis на стороне клиента (зашифрованные). Hot tokens → <1 мс. Cold - <12 мс p99. Для миграции 15M записей - bulk endpoint со скоростью ~10k ops/s.
Datum RU - Selectel Moscow, полностью в РФ. Данные не покидают территорию. ФЗ-242 выполнен.
По объёму операций, не по записям. Pricing - по запросу. Есть free tier для PoC (100k ops/месяц).
30 минут с архитектором. Разбираем, какие системы в скоупе, показываем SDK под ваш стек, оцениваем сроки миграции.