name: data-security-storage description: Prisma migrations, file storage, SSRF protection, and secrets handling rules. metadata: short-description: Data safety rules (Prisma/files/SSRF/encryption/idempotency)

Data + Security + Storage — Prisma, файлы, SSRF, secrets

Prisma / миграции

• по умолчанию только additive изменения (новые таблицы/nullable колонки/индексы)
• NOT NULL делать двухфазно (nullable → backfill → not null)

Idempotency

• mobile/lifestyle write: обязателен Idempotency-Key
• повтор ключа → вернуть тот же результат
• reuse ключа для другого payload → 409

Файловые хранилища (volumes)

• BACKUP_DIR (/data/backups)
• AUTOTUNE_DIR (/data/autotune)
• MEALS_DIR (/data/meals)
• HEALTH_DIR (/data/health)
• UI_ASSETS_DIR (/data/ui-assets)

Файлы:

• ограничение типа и размера
• отдача файлов через backend (auth/ACL)
• soft delete для документов (Health Vault)

Secrets & encryption

• в БД: AES-256-GCM, ключ ENCRYPTION_KEY_BASE64
• никогда не логировать и не отдавать в браузер

SSRF

• запрет localhost/private IP
• запрет creds в URL
• редиректы: только безопасные правила