Безопасность

Безопасное ведение практики для психологов — как PR-TOP защищает данные клиентов

Обновлено: июль 2026 · Проверено командой PR-TOP

PR-TOP шифрует все данные клиентов на уровне приложения до записи в базу данных, хранит всё на серверах в ЕС, проверяет согласие клиента на каждом маршруте API и фиксирует все действия в неизменяемом журнале аудита. Дневник, сессии, заметки, упражнения и SOS-оповещения — в едином зашифрованном пространстве.

Что «безопасность» значит на практике

Большинство приложений для заметок и EHR используют шифрование на уровне базы данных или транспорта. Это означает, что ваш облачный провайдер — и любой, кто получил доступ к базе данных, — может читать записи клиентов в открытом виде. PR-TOP использует другой подход: каждый фрагмент данных класса A (записи дневника клиента, транскрипты сессий, приватные заметки психолога, AI-резюме) шифруется на уровне приложения с помощью AES перед записью в базу данных. Сама база хранит только зашифрованный текст.

Помимо шифрования, «безопасность» в PR-TOP означает обязательную проверку согласия клиента на каждом маршруте API. Дневник клиента нельзя прочитать — даже психологу, создавшему рабочее пространство, — если клиент явно не дал согласие через Telegram-бот. Согласие можно отозвать в любой момент, и после отзыва доступ блокируется немедленно. Эта архитектура соответствует требованиям статьи 9 GDPR к чувствительным данным о здоровье.

Каждое действие чтения, записи и удаления клиентских данных фиксируется в журнале аудита только для добавления. Психологи могут просмотреть полную историю: кто, к каким данным, когда и с какого IP-адреса обращался — это требование многих надзорных органов в ЕС и страховщиков профессиональной ответственности.

Подробнее: архитектура шифрования и документация журнала аудита.

Канал для клиентов: дневник, упражнения и SOS в Telegram

Безопасная платформа для ведения практики полезна только тогда, когда клиенты могут взаимодействовать с ней в защищённой среде. Клиентский интерфейс PR-TOP — Telegram-бот: приложение, которым большинство клиентов в ЕС, СНГ и LATAM и так пользуются ежедневно. Клиенты отправляют голосовые сообщения, текстовые записи и короткие видеоклипы между сессиями. Всё содержимое дневника шифруется перед сохранением; психолог видит его в кабинете только после того, как клиент дал согласие.

Психологи назначают упражнения из многоязычной библиотеки прямо через кабинет или через бот. Бот доставляет задания клиентам, отслеживает выполнение и отображает результаты в хронологии сессий психолога. Не нужно отдельного веб-приложения для клиентов, процедур сброса паролей и чувствительных данных в обычной электронной почте.

Кризисное реагирование встроено в платформу. Клиент может отправить SOS в одно касание из Telegram; PR-TOP маршрутизирует оповещение по всем настроенным каналам (уведомление в кабинете, email, SMS при необходимости) и открывает отслеживаемый жизненный цикл эскалации, чтобы ничего не было упущено. Полная история SOS является частью зашифрованной и проаудированной записи клиента.

Шифрование и защита данных

PR-TOP разделяет данные на два класса. Данные класса A — записи дневника, транскрипты сессий, AI-резюме, приватные заметки психолога — шифруются на уровне приложения с помощью AES перед записью в SQLite. Данные класса B — временны́е метки, идентификаторы сессий, метаданные — хранятся в виде контролируемого открытого текста для эффективных запросов без раскрытия содержимого.

Загружённые аудио- и видеофайлы сессий хранятся с непрозрачными случайными идентификаторами. Потоковое воспроизведение требует подписанного токена доступа с ограниченным сроком действия, поэтому угадывание URL файла не даёт доступа. Задания по транскрипции Whisper выполняются на той же инфраструктуре в ЕС; аудио не передаётся сторонним сервисам транскрипции, если только оператор не настроил это явно.

Уровень AI настраивается: психологи могут выбрать, какой LLM-провайдер генерирует резюме сессий. Контент клиентов не отправляется ни одному AI-провайдеру до тех пор, пока психолог явно не запросит резюме, и этот запрос фиксируется в журнале аудита.

Технические подробности: архитектура шифрования →

Управление согласиями и контроль аудита

Согласие — ключевое понятие в PR-TOP. У каждого клиента есть запись о согласии, хранящаяся вместе с его профилем. Прежде чем маршрут API класса A вернёт данные, API проверяет наличие действующего согласия. Если клиент отозвал согласие — или если оно никогда не было дано — маршрут возвращает пустой ответ, а не ошибку. Это делает проверку согласия тестируемой и проверяемой.

Журнал аудита фиксирует каждое событие доступа к данным: какой психолог, к какой записи клиента, какое действие (чтение/запись/удаление), временна́я метка и IP-адрес источника. Логи доступны только для добавления — они не могут быть изменены или удалены через стандартный поток приложения. Психологи могут экспортировать полный журнал аудита по клиенту в рамках ответа на запрос субъекта данных по GDPR.

Удаление аккаунта — это полное стирание: все зашифрованные данные класса A, записи о согласиях, записи аудита и загруженные файлы удаляются с сервера. Генерируется квитанция об удалении с криптографическим хешем, чтобы у психолога было доказательство уничтожения данных для регуляторных целей.

Смотрите также: журнал аудита → соответствие GDPR →

Хостинг в ЕС и суверенитет данных

PR-TOP размещён исключительно на инфраструктуре Hetzner в Европейском союзе. Данные клиентов не передаются облачным провайдерам в США, CDN с хостингом в США или аналитическим сервисам в США. Аналитический уровень использует self-hosted экземпляр Umami — без cookies, GDPR-совместимый и под контролем оператора — вместо Google Analytics или Mixpanel.

Дополнение к договору об обработке данных (DPA) доступно по умолчанию для всех платных планов. Психологи в государствах — членах ЕС могут ссылаться на DPA в собственной документации по обработке данных для клиентов. Оператор также может разместить весь стек PR-TOP на собственном сервере в ЕС, и тогда данные вообще не покинут его инфраструктуру.

Это важно для психологов, работающих по контрактам национальных органов здравоохранения, школьных консультантов, подпадающих под правила управления данными местных органов власти, и любых практик, зарегистрированных в надзорных органах ЕС, проверяющих резиденцию данных.

Подробнее: суверенитет данных и хостинг в ЕС →

PR-TOP vs незащищённые альтернативы

ФункцияPR-TOPОбычное приложение для заметокUS EHR (хостинг в США)Google/Dropbox
ХостингТолько ЕС (Hetzner)Варьируется — часто США или смешанныйДата-центры в СШАДата-центры в США
Модель шифрованияAES на уровне приложения для данных класса AТолько транспорт (TLS)Уровень БД или только TLSAt-rest (ключи у провайдера)
Дневник клиента / Telegram-ботВстроен — голос, текст, видеоНе предусмотреноРедко; без интеграции с TelegramНе предусмотрено
УпражненияМногоязычная библиотека + кастомные; назначаются через ботНе предусмотреноИногда; отдельный модульНе предусмотрено
SOS / кризисные оповещенияSOS клиента в одно касание → мультиканальное уведомлениеНе предусмотреноИногда; только телефон/пейджерНе предусмотрено
Контроль согласийНа уровне API — блокирует чтение без согласияВ лучшем случае вручнуюВарьируется; на основе формНет
Журнал аудитаНеизменяемый, только для добавления, экспортируемыйНет или базовый журнал активностиОбычно есть; варьируетсяТолько журнал активности (Google Workspace)
GDPR DPAВключён по умолчанию (платные планы)Редко предоставляетсяТолько SCC (юрлицо в США)Стандартные условия; EU SCC
AI-заметки сессийДа — настраиваемые провайдеры, транскрипция WhisperИногдаДа — LLM с хостингом в СШАНет
Self-hostingДа — весь стек на вашем сервере в ЕСРедкоНетНет
ЯзыкиEN / RU / UK / ESОбычно только английскийОбычно только английскийТолько UI; без клинической i18n
АналитикаSelf-hosted Umami — без cookies, GDPR-совместимоGoogle Analytics или аналогВарьируетсяGoogle

Сравнение основано на публично доступной информации по состоянию на июль 2026 года. «Обычное приложение для заметок» — Notion, Bear, Obsidian и аналоги, используемые для клинических заметок.

Подробнее о безопасности PR-TOP

Частые вопросы

Чем PR-TOP безопаснее хранения заметок в Google Drive или Notion?

Google Drive и Notion используют шифрование at-rest, при котором ключи хранятся у облачного провайдера — судебный запрос, утечка или неправильно настроенный доступ могут раскрыть данные в открытом виде. PR-TOP шифрует данные класса A (записи дневника, транскрипты, заметки, резюме) на уровне приложения до записи в базу данных, поэтому сам сервер никогда не хранит расшифрованный контент клиентов. Доступ также ограничен согласиями, и каждое чтение фиксируется в неизменяемом журнале аудита. Ни Google Drive, ни Notion не обеспечивают GDPR-совместимого контроля согласий или журнала аудита, подходящего для медицинских данных.

Соответствует ли PR-TOP GDPR для психологов в ЕС?

PR-TOP создан с приоритетом GDPR: хостинг только в ЕС (Hetzner), DPA доступно по умолчанию на платных планах, проверка согласий на уровне API, полный экспорт данных и удаление по запросу, аналитика без cookies на self-hosted Umami. Платформа не использует Google Analytics, Facebook Pixel или иные сторонние трекеры. Психологи в государствах — членах ЕС могут ссылаться на DPA в собственной документации контроллёра. Self-hosting также поддерживается для практик, работающих под строгими правилами управления данными национальных органов здравоохранения.

Какие данные PR-TOP шифрует, а какие — нет?

PR-TOP делит данные на класс A и класс B. Данные класса A — записи дневника клиента, аудио/видео сессий, транскрипты, AI-резюме и приватные заметки психолога — шифруются на уровне приложения с помощью AES перед записью в базу данных. Данные класса B — идентификаторы сессий, временны́е метки, метаданные плана и маршрутизации — хранятся в виде контролируемого открытого текста для эффективных запросов. Контент класса A никогда не записывается в базу данных в открытом виде.

Что происходит, когда клиент отзывает согласие?

Отзыв согласия вступает в силу немедленно. Каждый маршрут API, возвращающий данные класса A, перед ответом проверяет наличие действующей записи о согласии. Если согласие отозвано, маршрут возвращает пустой ответ — без ошибки, без данных. Событие отзыва фиксируется в журнале аудита. Психолог по-прежнему видит, что запись клиента существует, и может получить доступ к метаданным класса B, но весь зашифрованный контент недоступен до повторного предоставления согласия.

Отправляет ли PR-TOP данные клиентов в OpenAI или другие AI-провайдеры?

Только по явному запросу. AI-резюме сессий и черновики заметок генерируются, когда психолог нажимает «Создать резюме» — никакой автоматической фоновой обработки не происходит. Запрос, использованный провайдер и ответ фиксируются в журнале аудита. AI-провайдер настраивается: практики со строгими требованиями к резиденции данных могут настроить локально развёрнутую модель или провайдера из ЕС вместо провайдера по умолчанию. Контент дневника клиента никогда не передаётся AI-провайдеру без намеренного действия психолога.

Можно ли попробовать PR-TOP без банковской карты?

Да. У PR-TOP есть бесплатный тариф Trial: зашифрованный кабинет, Telegram-бот для клиентов, дневник, упражнения и SOS доступны для ограниченного числа клиентов. Карта не нужна, автоматического перехода на платный план нет — вы переходите на него только по собственному решению. В любой момент можно экспортировать данные и уйти без привязки.

Начните вести практику безопасно

Настройка бесплатного Trial занимает около десяти минут. Без банковской карты. Вы получаете зашифрованный кабинет, Telegram-бот для клиентов, дневник, упражнения и SOS для ограниченного числа клиентов. Выгрузите данные и уйдите в любой момент — без привязки.