Compliance

Дозор — 152-ФЗ Compliance SaaS

Платформа автоматизации 152-ФЗ, Приказа ФСТЭК № 117, DPIA, реестров согласий, инцидентов с уведомлениями РКН (24/72 ч), AI-юрист на GigaChat.

Клиент: Внутренний продукт

Год: 2026

Срок: 2+ месяца

NestJS 11PostgreSQL 15 + pgvectorRedis 7React 19Tailwind 4ZodGigaChat-2-MaxQwen3-Embedfast-xml-parser

pdndozor.ru

37 475

LOC backend TypeScript

27 499

LOC frontend TS/TSX

277

HTTP-роутов на 38 модулей

шаблонов compliance-документов

249

KB-чанков с эмбеддингами

TypeORM-сущностей

Задача клиента

1Полный цикл соответствия 152-ФЗ + Приказ ФСТЭК № 21 (бизнес) + Приказ ФСТЭК № 117 (ГИС, заменил № 17 с 01.03.2026)

224-часовой дедлайн уведомления РКН и 72-часовой investigation для инцидентов ПДн

3DPIA по методике Приказа РКН №178 от 30.09.2022 — 6-шаговый wizard, scoring 0-100, harm-level low/medium/high

4AI-юрист с защитой от prompt-injection и фильтром on-topic (только 152-ФЗ + 117 + связанные приказы) — 5 слоёв guardrails

5Генерация уведомлений РКН в формате Приказа № 180 (XML urn:rkn:notification:v1) + HTML/PDF экспорт

6Multi-tenant с 4 ролями (OWNER/ADMIN/MEMBER/VIEWER) + SSRF-защита (мониторинг сайтов, vendor risk, copywriter RSS)

Фича 1

AI-юрист (RAG-чат по 152-ФЗ)

GigaChat-2-Max + KB из 249 чанков + 5 слоёв защиты

RAG-pipeline: sanitize (2000 chars, strip HTML, control chars) → homoglyph normalization (18 пар) → 53 INJECTION_PATTERNS regex (33 EN + 20 RU) → obfuscated injection (base64-decode keywords) → embedding Qwen3 → cosine top-K=10 (порог 0.3) → история Redis (last 20, TTL 24h) → chooseModel (GigaChat-2-Max если длинный/сравни/анализ, иначе GigaChat-2) → response filter (8 leak + 7 code patterns).

53 INJECTION_PATTERNS + 7 response-leak + 7 code-leak паттернов

On-topic фильтр (~50 keywords): 3 подряд off-topic = строгое предупреждение через Redis

Search vs Chat: поиск чисто embedding (без LLM), чат с полным pipeline

Per-session rate limit: 10 сообщений/мин

Фича 2

Compliance-документы (60 шаблонов)

От политик и приказов до журналов и моделей угроз

60 TS-шаблонов в 7 файлах (templates-orders, consents, fstek117, instructions-journals, regulations, acts-misc). 13 категорий: POLICY / ORDER / CONSENT / AGREEMENT / ACT / REGULATION / INSTRUCTION / NOTIFICATION / JOURNAL / NDA / PLAN / MODEL / OTHER. XSS-защита через helper sanitizeVar. Вариативные поля: orgName, orgInn, orgAddress, responsibleName, websiteUrl и др.

20 политик/положений (POLICY_PD, AI_GOVERNANCE, ACCESS, ISPD_SECURITY, BIOMETRIC, COOKIES, DPO)

9 приказов (RESPONSIBLE, ISPD_LIST, ACCESS_LIST, AUDIT, INCIDENT_RESPONSE, CROSS_BORDER)

10 согласий (general/dissemination/employee/biometric/automated_decision/cross_border/revocation)

6 инструкций + 4 журнала + 4 акта + 2 NDA + 3 уведомления + 4 модели/планы

Фича 3

Инциденты с авто-уведомлениями РКН

Дедлайны 24/72 часа, формат Приказа № 180

4 severity (low/medium/high/critical), 5 типов (leak/unauthorized_access/loss/destruction/other), 6 статусов (detected → investigating → notified_rkn → notified_gosopka → resolved → closed). Жёсткие константы RKN_DEADLINE_MS=24h, INVESTIGATION_DEADLINE_MS=72h. Webhook incident.created. Модуль rkn-integration: валидация 17 обязательных полей с regex, генерация XML urn:rkn:notification:v1, HTML-экспорт.

3 типа уведомлений: initial / amendment / cessation; статусы draft/submitted/accepted/rejected

POST /rkn-integration/:id/validate, GET /export-xml, GET /export-pdf

cross_border: 5 enum legal_basis, rkn_decision (pending/approved/restricted/prohibited)

Vendor risk: 4 категории (org/tech/legal/operational), low<30 / medium 30-60 / high>60

Фича 4

Мониторинг сайтов на 14 проверок

Cron EVERY_HOUR, проверка cookie-баннера, форм, HTTPS, заголовков

Cron сканирует monitoring_sites где истёк check_interval. fetchPage() с User-Agent DozorBot/1.0, timeout 15s, SSRF-блок (10/127/172.16-31/192.168/169.254/cloud-metadata). 14 параллельных проверок возвращают {status: pass|fail|warning, score: 0-100, details}. Результаты в monitoring_checks.checks JSONB, overall_score (среднее), issues_count.

14 CHECKS: PRIVACY_POLICY, HTTPS, COOKIE_BANNER (16 regex), CONSENT_FORMS, SECURITY_HEADERS

THIRD_PARTY_SCRIPTS: GA, Я.Метрика, Facebook Pixel, Hotjar, JivoSite, VK Pixel, Mail.ru

JS_VULNERABILITIES: jQuery/Angular/Bootstrap/Lodash/Moment.js

DozorBot/1.0 + IP-hash (SHA256, GDPR-friendly), SSRF-блок cloud-metadata

Фреймворки и реестры

6 compliance-фреймворков + DPIA + DSR + Cross-border

152-fz

Федеральный закон О персональных данных

fstek-21

Приказ ФСТЭК № 21 (бизнес-ИСПДн)

fstek-117

Приказ ФСТЭК № 117 (ГИС, заменил № 17)

gdpr

General Data Protection Regulation

iso-27001

Information Security Management

pci-dss

Payment Card Industry Data Security Standard

ИСПДн-реестр

ПП-1119 угрозы 1/2/3, security_level УЗ-1…УЗ-4

DPIA-wizard

6 категорий, scoring 0-100, harm-level

Реестр согласий

8 типов: general/marketing/biometric/cross_border

Subject requests

7 типов DSR, дедлайн 30 дней (152-ФЗ ст.20)

Cross-border

5 legal_basis, rkn_decision, adequacy

Vendor risk

4 категории, weighted scoring, findings

Trust Center

Публичная страница /trust/:slug, custom CSS/logo

Consent widget

Встраиваемый JS cookie-баннер, IP-hash логи

Архитектура

NestJS 11 Backend

PM2 comply-backend :3010, 38 модулей

PostgreSQL 15 + pgvector

48 таблиц, HNSW m=16 ef=64

Redis 7

AOF, max 128MB, allkeys-lru + GigaChat lock

React 19 + Vite

Tailwind 4, 27 499 LOC, 45 страниц + 9 admin

Prerender :3031

Express + puppeteer-core для SEO-ботов

OrganizationGuard

X-Organization-Id + JwtAuthGuard global APP_GUARD

Технический стек

Backend

NestJS 11

TypeScript, 37 475 LOC

Database

PostgreSQL 15

+ pgvector HNSW

ORM

TypeORM 0.3.28

46 entity

Cache

Redis 7

+ cross-project lock

Frontend

React 19

Vite, 27 499 LOC

Styling

Tailwind 4

+ TanStack + Zustand

Cron

@nestjs/schedule

9 cron-задач

Rate-limit

Throttler 6.5

100 req / 60 sec

XML

fast-xml-parser

Приказ № 180 для РКН

Validation

Zod 4.3

Env-валидация, JWT_SECRET ≥32

LLM

GigaChat-2-Max

RAG-чат, 5 слоёв guardrails

Embedding

Qwen3-Embed

1024-dim ONNX INT8

Результаты

шаблонов документов (3 277 строк, 13 категорий)

249

KB-чанков (151 federal_law / 40 fstek_order / 17 government_decree)

проверок мониторинга сайтов с cron EVERY_HOUR

cron-задач (maintenance×5 + monitoring + copywriter×2 + position-tracker)

Нужен похожий проект?

Обсудим вашу задачу и предложим оптимальное решение.

Обсудить проект