ВкусВилл: управление секретами без потерь и ручного контроля

ВкусВилл — розничная сеть натуральных продуктов, основанная в 2009 году. Сегодня это порядка 2200 магазинов в 156 городах России, 9,3 млн покупателей и свыше 4200 наименований под собственным брендом. В основе подхода компании — тесная работа с локальными поставщиками, быстрое обновление ассортимента и постоянные эксперименты с форматами. ВкусВилл одним из первых в российском ритейле начал внедрять искусственный интеллект и кассы самообслуживания собственной разработки.

Ключевые ИТ-системы компании развивает и поддерживает команда платформенных решений ТехВилл (ИТ-компания ВкусВилла). Подразделение отвечает за развёртывание и сопровождение внешних и внутренних сервисов, а также развивает онлайн-направление ВкусВилла. В работе команда опирается на современные фреймворки и инженерные практики, чтобы решения оставались производительными, безопасными и готовыми к росту нагрузки.

Задача: сделать доступы управляемыми

С ростом инфраструктуры управление паролями и секретами становилось всё сложнее: количество сервисов, сотрудников и точек доступа росло, а вместе с ним и риски. В ТехВилле решили выстроить централизованную систему хранения и сформулировали конкретные требования:

• интеграция с LDAP с автоматическим отзывом доступов при изменениях в кадрах
• быстрый доступ к данным (в штатном режиме и при инциденте)
• исключение потери паролей и секретов
• обязательное резервное копирование

Прежде чем остановиться на Пассворке, команда рассмотрела несколько инструментов. Ни один не закрывал все требования: слабый веб-интерфейс, отсутствие надёжной централизованной базы, неудобное администрирование, проблемы с синхронизацией пользователей.

«Нужно было централизовать хранение и обмен паролями и секретами. Самое главное — исключить возможность потери. Утрата каких-то секретов для нас была важна. В Пассворке у нас есть возможность и базу бэкапить, и централизованно всё хранить в защищённом виде», — Евгений Ананьев, инженер в команде платформенных решений ВкусВилла

Выбор: тестирование и аргументы

Пассворк тестировали в реальных условиях. Локальное размещение и автоматизация управления доступами стали главными аргументами в пользу выбора.

«Решение действительно понравилось: у Пассворка понятный интерфейс и высокая надёжность. Отдельный плюс — это российская система с качественной русификацией. В случае инцидента счёт идёт на минуты, и особенно важно быстро находить нужные доступы — Пассворк хорошо справляется с задачей»

Команда обратила внимание при выборе менеджера паролей на то, что иностранные сервисы уже не могут гарантировать поддержку и обновления сервиса. Выбрали отечественное решение, которое соответствует российским требованиям по защите конфиденциальной информации.

Внедрение: защищённый периметр

Пассворк развернули в контейнерной среде. Данные хранятся в отказоустойчивом кластере с резервированием и регулярными бэкапами. Внедрение заняло около месяца. Сначала систему подключила небольшая группа специалистов, которым нужен постоянный доступ к секретам, затем подключили остальных пользователей через синхронизацию с корпоративным каталогом. Так выстроили устойчивую модель распределения прав.

«С технической точки зрения развёртывание не было сложным. Основная доработка касалась адаптации типовой схемы под инфраструктуру компании — в частности, под сценарий, где приложение работает в контейнере, а база данных вынесена наружу»

Команда выстроила многоуровневую модель резервирования: помимо штатных бэкапов, формируются зашифрованные архивы, которые хранятся в отдельном контуре. После каждого обновления инженеры проверяют целостность данных — сравнивают состояние секретов до и после процедуры. Пассворк рассматривается как критичный сервис: важно не просто наличие резервных копий, а уверенность в том, что данные корректно пережили изменения.

Доступ к Пассворку ограничен корпоративной сетью. Для аудита доработали логирование: фиксируется не только факт завершения сессии, но и источник подключения — это упрощает расследование инцидентов и позволяет быстро связать активность с конкретным пользователем.

Как устроена работа с Пассворком

Компания использует Пассворк с 2023 года: ТехВилл и ВкусВилл централизованно хранят секреты команд. В карточку каждого секрета и пароля можно добавить ссылку, файлы и комментарии. Учётные записи синхронизируются с корпоративным каталогом автоматически — ручное управление доступом не нужно. Для передачи данных без выдачи постоянного доступа используются одноразовые ссылки.

«Ограниченное количество пользователей имеет доступ к сейфам и отдельным областям внутри них. Сотрудники группируют пароли по тегам для большего удобства поиска, также используют автозаполнение с помощью браузерного расширения. Тем, кто не пользуется Пассворком постоянно, мы выдаём одноразовые ссылки»

Структура хранения адаптирована под бизнес-процессы: сейфы организованы по сервисам и командам, внутри — по продуктам. Права доступа разграничены: сотрудники работают только со своими разделами, к остальным — доступ на чтение при необходимости.

Результат: безопасность и контроль

Структура и удобство

У команды появилась единая точка доступа к секретам, автоматическая синхронизация пользователей и возможность оперативно отключать пользователей при необходимости. Пароли собраны в одном месте с удобным поиском, а браузерные расширения подставляют нужные учётные данные прямо на сайтах.

«Мы сейчас не боимся потерять пароль к сервису, который человек когда-то сделал, записал, а потом ушёл из компании. Это очень сильно выручает»

Безопасная командная работа

Пассворк позволяет передавать пароли конкретному пользователю внутри системы — без открытия доступа ко всему сейфу. Одноразовые ссылки решают задачу быстро и точечно: поделиться доступом можно с тем, кому постоянный аккаунт не нужен.

«Пассворк полностью закрывает текущие задачи команды как инструмент хранения и оперативного использования секретов. Удобно, что есть обзорность, сколько у нас паролей, какие, и где конкретно они хранятся»

Надёжность решения

Пассворк стал частью инженерного процесса — там, где важны скорость, управляемость и уверенность в том, что критичные доступы не исчезнут в нужный момент. 

ТехВилл решила задачу, с которой сталкивается любая растущая ИТ-команда: сделать управление данными предсказуемым и независимым от конкретных людей. Пассворк дал инструмент, который работает без ручного контроля, без риска потери и без лишних точек отказа. Секреты под защитой, доступы под контролем, команда сосредоточена на задачах.

«Потерянный пароль — это часто потеря данных. Потеря данных в 80% случаев ведёт к исчезновению компании. С Пассворком у нас есть возможность делать бэкапы и централизованно хранить нужные данные в защищённом виде»

ВкусВилл решил задачу централизованного хранения секретов и автоматического управления доступами — без потери данных и ручной работы с правами. Если перед вашей командой стоят похожие вызовы, попробуйте Пассворк: наши специалисты и поддержка помогут с установкой и настройкой. Протестировать можно бесплатно

Пассворк: как разделить контуры ИБ и бизнеса

ИБ-секреты отличаются от обычных корпоративных доступов: компрометация пароля от SIEM — это потеря контроля над всей защитной инфраструктурой. Разбираем, когда достаточно одной инсталляции Пассворка, а когда нужен физически изолированный ИБ-контур.

Блог ПассворкаИлья Шелыгин

Кейс-стади: МТС Банк и Пассворк

Как МТС Банк объединил управление паролями в единой системе с помощью Пассворка и повысил уровень безопасности.

Блог ПассворкаАнастасия Лебедева

ГОСТ-шифрование для разработчиков: алгоритмы, СКЗИ и интеграция 2026

ГОСТ-стек хорошо специфицирован — сложность в интеграции. Разбираем четыре актуальных стандарта с OID-ами, механику шифрования изнутри, типичные точки отказа в nginx, Docker и браузерах, классы СКЗИ и границы лицензирования ФСБ и ФСТЭК.

Блог ПассворкаИлья Шелыгин