Кейсы, советы и тренды автоматизации

Безопасность данных. Вебхуки

Безопасность при интеграциях. Вебхуки

В современном бизнесе автоматизация процессов играет ключевую роль. Битрикс24 — позволяет автоматизировать различные процессы, но иногда не обойтись без интеграций с различными сервисами. Однако при интеграции важно не забывать о безопасности, особенно если вы используете вебхуки. В этой статье мы разберем, что такое интеграции и вебхуки, как они работают в Битрик24, и какие меры безопасности нужно соблюдать, чтобы защитить данные компании и соответствовать требованиям Федерального закона №152-ФЗ.

Что такое интеграция

Интеграция — это процесс подключения различных программных продуктов друг к другу для обмена данными и автоматизации задач. Несколько примеров мы описывали в прошлых статьях
Интеграции позволяют:
  • сократить время на рутинные задачи,
  • избежать ошибок при вводе данных,
  • повысить прозрачность бизнес-процессов,
  • улучшить взаимодействие между отделами и внешними сервисами.
Чтобы интеграции работали корректно и безопасно, важно знать какие методы обмена данными существуют и как они устроены. При работе с Битрикс24 чаще всего используют вебхуки.

Что такое вебхуки

Вебхуки (webhooks) — это механизм, позволяющий приложениям обмениваться данными в режиме реального времени. В отличие от традиционных API, где система запрашивает данные у другого сервиса, вебхуки работают наоборот: внешний сервис отправляет данные в вашу систему, когда происходит определенное событие.
Простыми словами, вебхук — это «уведомление», которое приходит в вашу систему, когда что-то происходит в другой. Например, когда в Битрикс24 создается новая сделка, вебхук может отправить уведомление на ваш сервер, чтобы запустить автоматическую обработку.
Вебхуки особенно популярны при интеграции с внешними сервисами, такими как:
  • почтовые системы,
  • мессенджеры,
  • бухгалтерские программы,
  • CRM-системы других компаний.

Пример входящего вебхука из Битрикс24

Допустим, ваша компания использует Битрикс24 и хочет автоматически получать новые лиды от внешнего сервиса, например Marquiz. Вы настраиваете вебхук в Битрикс24, который будет получать данные о новых заявках.
Рассмотрим структуру вебхука
https://портал.bitrix24.ru/rest/1/psrqc4zkewoxtzbe/profile.json портал.bitrix24.ru - адрес вашего Битрикс24 1 - id пользователя создавшего вебхук psrqc4zkewoxtzbe - секретный ключ, по которому Битрикс24 разрешает выполнять операции profile.json - метод, задание по которому Битрикс24 понимает, что от него требуется, в текущем примере создание лида (crm.lead.add)
Теперь рассмотрим статью из базы знаний в marquiz - https://help.marquiz.ru/article/523
Как мы видим при создании вебхука можно указать права (наборы информации с которыми можно работать через созданный вебхук)
А так же в статье написано,
4. Есть ли все доступы у Ответственного, через которого был создан вебхук. Рекомендуем создать вебхук от лица администратора с id пользователя = 1.
что это значит?
Вебхук обладает всеми правами, что и администратор Битрикс24…
Используя возможности API можно выполнять любые действия (чтения, изменения, создания и удаления) со всеми данными в вашей CRM (контакты, компании, лиды и сделки)
Одно дело когда такую интеграцию настраивает собственник или доверенное лицо в компании и совсем другое когда такой вебхук запрашивает подрядчик занимающийся настройкой рекламы…

Меры безопасности при работе с вебхуками

Несмотря на удобство, вебхуки несут определенные риски. Поскольку данные передаются в режиме реального времени, важно обеспечить их защиту. Особенно это касается компаний, которые обрабатывают персональные данные сотрудников, клиентов или партнеров.

Основные риски:

  • Подделка источника данных — злоумышленник может отправить поддельный запрос на ваш сервер.
  • Утечка данных — если вебхук не защищен, данные могут быть перехвачены.
  • Несанкционированный доступ — если URL вебхука становится известен, его можно использовать для атак.

Как защитить вебхуки:

  1. Используйте вебхуки с ограниченным доступом –– мы создаем отдельную учетную запись в Битрикс24, которая может создавать, просматривать и изменять только те лиды, в которых эта запись указана как ответственный за лид. После получения лида, срабатывает распределение и лид более недоступен для чтения по этому вебхуку.
  2. Ограничьте доступ к вебхуку — не отправляйте вебхуки в групповые чаты подрядчикам.
  3. Логируйте и мониторьте запросы — это поможет быстро обнаружить подозрительную активность.
  4. Использование сервисов как посредников — подрядчик направляет данные на сервер посредник, далее данные собираются в необходимый формат и передаются в Битрикс24. Это самый надёжный способ, но и самый затратный

Соответствие требованиям ФЗ-152

Федеральный закон №152-ФЗ «О персональных данных» требует, чтобы компании обеспечивали конфиденциальность и защиту персональной информации. При работе с вебхуками важно соблюдать следующие пункты закона:
  • Обработка персональных данных должна быть безопасной и соответствовать установленным стандартам.
  • Передача данных должна происходить только по защищенным каналам.
  • Доступ к данным должен быть ограничен только уполномоченным лицам.
  • Компания несет ответственность за безопасность данных, даже если они передаются через сторонние сервисы.
Соблюдение этих требований не только защищает данные, но и помогает избежать штрафов и репутационных рисков.

Заключение

Вебхуки — это мощный инструмент для автоматизации бизнес-процессов. Однако, чтобы использовать их безопасно, важно соблюдать меры предосторожности и учитывать требования законодательства, включая ФЗ-152.
Если вы хотите внедрить безопасные и эффективные интеграции в свою CRM, обращайтесь к экспертам. Мы поможем настроить вебхуки, проверить их безопасность и обеспечить соответствие законодательным нормам.
ТГ
Вебхуки и безопасность CRM: на что стоит обратить внимание
Вебхуки в Битрикс24 ускоряют интеграции, но каждый из них — как ключ к CRM. Неосторожность может привести к утечке данных или несанкционированному доступу.
Что важно проверить:
  • кто получает доступ;
  • как защищён источник данных;
  • как логируются действия и персональные данные.
В полной статье мы разбираем работу вебхуков, основные риски и способы защиты, включая требования ФЗ-152.
Вк
Вебхуки в CRM: ускоряем работу и не теряем данные
Автоматизация в Битрикс24 помогает экономить время, но интеграции с внешними сервисами несут риски. Особенно это касается вебхуков — инструмента, который мгновенно передает данные между системами.
Что важно знать:
  • Вебхук — это «уведомление», которое приходит в систему при событии (например, новый лид).
  • Каждый вебхук имеет права администратора, поэтому доступ к нему нужно контролировать.
  • Если не защитить вебхук, данные могут быть подделаны, перехвачены или использованы злоумышленниками.
Как минимизировать риски:
  • Создавайте отдельные учётные записи для вебхуков с ограниченными правами.
  • Не передавайте вебхуки подрядчикам напрямую.
  • Логируйте действия и контролируйте активность.
  • Используйте сервер-посредник для безопасной обработки данных.
Кроме того, важно соблюдать требования ФЗ-152: персональные данные должны быть защищены, передаваться только по защищённым каналам, доступ к ним — строго ограничен.
В полной статье мы подробно разбираем работу вебхуков, показываем риски и эффективные способы защиты, чтобы автоматизация не оборачивалась угрозой для бизнеса.
2025-08-19 17:36 Кейсы
Made on
Tilda