Редактор ОнлайнРедактор Онлайн
Назад к блогу
5 апреля 2024
8 мин чтения
Безопасность

Безопасность файлов в облачных сервисах: на что смотреть в 2025

Каждый день миллионы людей загружают сканы паспортов, договоры, медицинские справки и банковские выписки в случайные онлайн-сервисы — потому что «нужно быстро сжать PDF». Эта статья объясняет, как работают такие сервисы, на что обращать внимание перед загрузкой и как сами действуем мы.

Главное правило

Если документ — реальный секрет (паспорт, договор с НДА, медзаключение), используйте локальные программы. Любой онлайн-сервис, даже честный, требует доверия — а доверять незнакомому коду на чужом сервере всегда менее безопасно, чем своему ноутбуку.

Что происходит с файлом, когда вы его загружаете

  1. Шифрование канала. Файл идёт по TLS/HTTPS — его не может прочитать провайдер, кафе с открытым WiFi или MITM в публичной сети.
  2. Запись на диск сервера. Большинство сервисов кладут файл во временную папку. Там он лежит расшифрованный — иначе обработать его невозможно.
  3. Обработка. Запускается утилита (qpdf, Ghostscript, LibreOffice, ImageMagick…) которая читает файл и создаёт результат.
  4. Скачивание результата. Снова через HTTPS отдаётся пользователю.
  5. Удаление. Хороший сервис удаляет и оригинал, и результат через определённое время (у нас — 24 часа). Плохой — оставляет навсегда.

Чек-лист «безопасный сервис»

  • HTTPS с действительным сертификатом — обязательно.
  • Политика конфиденциальности с указанием срока хранения.
  • Юрисдикция и закон. GDPR (ЕС), HIPAA (США, медицина), ФЗ-152 (РФ) — если сервис их соблюдает, у вас есть юридический рычаг.
  • Отсутствие обязательной регистрации для базовых функций — меньше данных о вас вообще существует в системе.
  • Серверная локация. Не критично, но важно: некоторые компании предпочитают не отправлять данные за пределы страны.
  • История инцидентов. Гугл «имя сервиса data breach» — если были утечки, обычно есть статьи в СМИ.

Сравнение типичных сервисов

СервисХранениеРегистрацияGDPR
Редактор Онлайн≤ 24 часане нужнада
Adobe Acrobat OnlineDocument Cloud (бессрочно)Adobe IDда
Smallpdf≤ 1 часадля частогода
Подозрительные «free» сайтыне указаночасточасто нет

Как мы защищаем ваши файлы

  • HTTPS с TLS 1.3 — все запросы шифрованы.
  • Случайные имена файлов (UUID) — никакой связи с вашим аккаунтом или IP в имени.
  • Авто-удаление через 24 часа — раз в час cron-задача чистит временные папки.
  • Без аккаунтов и платежей — нечего связывать с конкретным пользователем.
  • Минимальные логи — IP, путь и статус ответа (стандартные access-логи nginx). Содержимое файлов не логируется никогда.
  • Локальная обработка где возможно: OCR, генерация QR, сжатие изображений — всё это работает в вашем браузере и не отправляется на сервер.

Что обрабатывается в браузере

OCR (распознавание текста через Tesseract.js), генерация QR-кодов, локальный предпросмотр PDF, конвертация base64 / hash. Эти инструменты не отправляют файлы на сервер вовсе.

Правила личной гигиены при работе с онлайн-сервисами

  1. Не используйте публичный WiFi для работы с конфиденциальными документами без VPN.
  2. Перед загрузкой убедитесь, что в адресной строке нужный домен и есть замок HTTPS.
  3. Закройте вкладку сразу после получения результата — некоторые сайты хранят файл в localStorage браузера.
  4. Удалите загруженные результаты с диска компьютера, если они больше не нужны.
  5. Для строго секретного используйте локальные утилиты: qpdf для шифрования и слияния, Ghostscript для сжатия, LibreOffice для конвертации.

Часто задаваемые вопросы

Хранит ли сервис мои файлы после обработки?

У нас — нет. Файлы попадают во временную папку под случайным именем (UUID), обрабатываются и автоматически удаляются скриптом-уборщиком, который запускается раз в час и удаляет всё старше 24 часов. У других сервисов время хранения может варьироваться от 1 часа до 30 дней — это всегда есть в их политике конфиденциальности.

Что такое end-to-end шифрование и есть ли оно у вас?

End-to-end шифрование (E2E) — когда файл шифруется на устройстве отправителя и расшифровывается только у получателя. Для онлайн-конвертеров E2E технически невозможно: серверу нужно прочитать файл, чтобы его обработать. Все легальные сервисы используют TLS/HTTPS для канала и шифруют файлы «в покое» (at-rest), но во время обработки файл расшифрован.

Можно ли загружать паспорт, СНИЛС, ИНН?

Технически можно — мы используем HTTPS, авто-удаление и не ведём журналы по содержимому. Но если документ строго конфиденциальный, лучше использовать локальные программы (PDF Sam, qpdf, Ghostscript) — там данные вообще не покидают ваш компьютер.

Что делать, если сервис требует регистрацию?

Регистрация сама по себе не плохо, если сервис прозрачен. Опасны: автоматический сбор телеметрии без согласия, требование данных платёжной карты «для бесплатной пробной версии», отсутствие политики удаления аккаунта.

Как проверить, что сайт настоящий?

Проверьте URL — должен начинаться с https://, домен должен совпадать с тем, что вы ищете (а не «pdf-words.com» или «pdf-word.ru»). Кликните на замок в адресной строке — сертификат должен быть выдан проверенным CA. И никогда не вводите пароли на страницах, открытых из подозрительных писем.

Связанные инструменты и статьи

Защитить ваш PDF паролем

AES-256, бесплатно, без регистрации. Файлы автоматически удаляются.

Открыть инструмент