Слежение за ошибками без утечки личных данных клиентов

battle-testedпроцессприменён: vision-club-bizmanager

Плейбук: Слежение за ошибками без утечки личных данных клиентов

Зачем я это сделал

В CRM хранятся личные данные людей — почта, телефоны, заметки о резидентах. Когда подключаешь систему слежения за ошибками, есть риск: вместе с ошибкой она утащит и эти личные данные в свой журнал. Это уже нарушение приватности. Нужно было видеть ошибки, но НЕ собирать при этом персональные данные.

Что это даёт

Система ловит и показывает ошибки программы, но автоматически вырезает из них всё личное — почту, телефоны. Я вижу, что и где сломалось, но данные клиентов остаются в безопасности. И это реально проверено, а не «вроде настроено».

Как это работает (простыми словами)

Представь, что у программы есть «чёрный ящик», который записывает каждый сбой — чтобы потом разобраться. Проблема: в момент сбоя рядом могут лежать личные данные человека, и они попадут в запись. Поэтому я поставил «фильтр на входе»: перед тем как сбой запишется, фильтр вычищает оттуда всё личное. Сама причина ошибки остаётся видна, а персональные данные — нет.

Шаги

1. Разделяю две вещи, которые путают. «Подключить слежение за ошибками» — это на самом деле ДВЕ отдельные вещи: программа-ловушка в коде И адрес, куда она шлёт. Бывает, что адрес настроен, а ловушки в коде нет вообще — и кажется, что всё работает, а на деле ошибки никуда не идут. Проверяю обе.
2. Включаю фильтр личных данных — он вырезает почту и телефоны из каждой записи об ошибке, прежде чем она сохранится.
3. Прячу секретный адрес в защищённое место на сервере, не в общий код.
4. Проверяю настоящей ошибкой. Намеренно создаю тестовый сбой → смотрю, появилась ли запись о нём в системе за минуту. Только так понимаю, что всё реально работает. Потом тестовый сбой убираю.

На чём сэкономило / что оптимизировало

Закрыл «слепую зону»: раньше было видно только проблемы на стороне пользователя, а внутренняя часть была чёрной дырой. Теперь видны обе. И всё это без риска собрать личные данные клиентов — что для бизнеса с персональными данными критично (иначе штрафы и потеря доверия). Стоит бесплатно, ставится за пару часов.

Грабли

- Адрес настроен, а ловушки в коде нет → «вроде подключено», а ошибки не приходят. Проверять именно код, а не только настройку.
- Один общий запрет «не собирать личное» работает плохо — нужен отдельный фильтр-вычищалка. Одной галочки мало.
- «Настроено» ≠ «работает». Доказательство — только настоящая тестовая ошибка, появившаяся в системе.

🔧 Техническая часть (можно пропустить — для исполнителя)

- Библиотека sentry_sdk, инициализация ДО создания app, ленивая: if settings.SENTRY_DSN: → local/CI = no-op.
- PII-защита: send_default_pii=False + before_send-скруббер отдельным модулем (режет email/телефоны из текста исключений, request, breadcrumbs, extra; stacktrace не трогать). Покрыть unit-тестами.
- DSN в .env.production (gitignored), меняет owner на сервере.
- Эндпоинты только под /api/v1/* (иначе nginx отдаёт SPA вместо бэка; проверка = 401 JSON, не 200 HTML).
- Проверка: owner-gated raise RuntimeError("...TestError...") → 500 → событие в трекере ~40с → убрать.
- Источник: уроки разработки Vision CRM 2026-06-08. Связь: playbook-monitoring-stack.