Bezpieczeństwo Danych

Jak chronimy Twoje dane: szyfrowanie, kontrola dostępu, ujawnianie podatności i reagowanie na incydenty.

Bezpieczeństwo w CRA Evidence

CRA Evidence jest hostowane na AWS w Unii Europejskiej. Wszystkie dane klientów są szyfrowane w tranzycie i w spoczynku. Stosujemy ścisłą izolację najemców: dane Twojej organizacji nigdy nie są dostępne dla innych klientów.

Infrastruktura

  • Chmura: Hostowane w Unii Europejskiej (Dublin, Irlandia)
  • Rezydencja Danych: Wszystkie dane klientów przechowywane wyłącznie w UE
  • Sieć: Kontenery aplikacji działają w sieciach prywatnych bez publicznej ekspozycji
  • Audyt: Niezmienny dziennik audytu wszystkich działań użytkowników (165+ typów zdarzeń, weryfikowany sekwencyjnie)

Szyfrowanie

  • W Tranzycie: TLS 1.2 lub wyższy na wszystkich połączeniach (HTTPS wymagany)
  • W Spoczynku: Szyfrowanie AES-256 na wszystkich magazynach danych
  • Zarządzanie Kluczami: Dedykowany serwis zarządzania kluczami; klucze nigdy nie są eksponowane do warstwy aplikacji
  • Poświadczenia: Hasła hashowane algorytmami pamięciochłonnymi; klucze API hashowane przed zapisem (tekst jawny nigdy nie jest przechowywany)

Uwierzytelnianie i Kontrola Dostępu

  • Logowanie: Email/hasło, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: Uwierzytelnianie wieloskładnikowe oparte na TOTP z kodami zapasowymi; organizacje mogą wymusić MFA dla wszystkich członków
  • Role: Cztery role na organizację (Właściciel, Administrator, Członek, Obserwator), zgodnie z zasadą minimalnych uprawnień
  • Klucze API: Zdefiniowane uprawnienia, indywidualnie odwoływalne
  • Wymuszanie SSO: Organizacje mogą wymagać SAML SSO dla wszystkich członków

Izolacja Najemców

CRA Evidence to platforma multi-tenant. Każde zapytanie do bazy danych filtruje po organisation_id na poziomie usługi:

  • Organizacje nie mogą uzyskać dostępu, zapytać ani odwoływać się do danych innej organizacji
  • Dane SBOM, dane o podatnościach, produkty i dokumenty zgodności są ograniczone do organizacji właściciela
  • Ścieżki przechowywania są segregowane według ID organizacji
  • Logowanie audytu śledzi cały dostęp do danych per organizacja

Zarządzanie Podatnościami

  • Baza Wiedzy o Podatnościach: Samodzielnie hostowana wieloźródłowa baza danych podatności z synchronizacją co 15 minut z NVD, OSV.dev, GitHub Advisories, CISA KEV i EPSS. Nasz skaner podatności działa jako niezależna warstwa weryfikacji.
  • Monitorowanie Zależności: Automatyczne sprawdzanie zależności aplikacji
  • Zarządzanie Łatkami: Regularne aktualizacje komponentów aplikacji i infrastruktury

Przechowywanie Danych

  • Dane aktywnego konta: Przechowywane podczas aktywnej subskrypcji
  • Usunięte konta: Dane usuwane w ciągu 30 dni od żądania
  • Dzienniki audytu: Przechowywane przez 10 lat zgodnie z wymaganiami Artykułu 13(14) CRA
  • Kopie zapasowe: Szyfrowane codzienne automatyczne snapshoty

RODO i Prywatność

  • Umowa o Przetwarzanie Danych (DPA): Dostępna na żądanie (privacy@craevidence.com)
  • Rejestr Czynności Przetwarzania (ROPA): Prowadzony zgodnie z art. 30 RODO
  • Podwykonawcy: Opublikowana lista z 30-dniowym powiadomieniem o zmianach
  • Przenoszenie Danych: Eksport SBOM w standardowych formatach (CycloneDX, SPDX)
  • Usuwanie Danych: Konto i wszystkie powiązane dane usuwane w ciągu 30 dni od żądania
  • Polityka Prywatności: Przeczytaj naszą politykę prywatności

Zgodność

Nasza Zgodność

  • Zgodność z RODO (UE 2016/679): ROPA, DPA, lista podwykonawców, polityka prywatności
  • Rezydencja danych w UE: wszystkie dane hostowane w Unii Europejskiej
  • RFC 9116: security.txt opublikowany
  • Zgodność z ISO 29147/30111: Proces Skoordynowanego Ujawniania Podatności

Certyfikaty Dostawcy Infrastruktury

Nasz dostawca infrastruktury utrzymuje certyfikaty SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 i C5 (niemiecki BSI) dla regionu UE, w którym działamy.

Mapa Drogowa

  • Niezależny test penetracyjny (planowany)
  • SOC 2 Type II (planowany)
  • ISO 27001 (w trakcie oceny)

Budujemy naszą postawę zgodności równolegle z naszym produktem. Ta strona odzwierciedla, gdzie jesteśmy dzisiaj.

Ujawnianie Podatności

Zachęcamy do odpowiedzialnych badań bezpieczeństwa. Jeśli odkryjesz podatność w naszej platformie, prosimy o jej zgłoszenie.

Jak Zgłosić

  • Email: security@craevidence.com
  • Odpowiedź: Potwierdzenie odbioru w ciągu 24 godzin, wstępna ocena w ciągu 7 dni roboczych

Zakres

  • W zakresie: *.craevidence.com, API CRA Evidence, CLI CRA Evidence
  • Poza zakresem: Usługi stron trzecich, inżynieria społeczna, ataki odmowy usługi

Bezpieczna Przystań

Nie będziemy podejmować kroków prawnych przeciwko badaczom bezpieczeństwa, którzy:

  • Działają w dobrej wierze
  • Unikają naruszeń prywatności, niszczenia danych lub zakłóceń usługi
  • Zgłaszają wyniki niezwłocznie i pozwalają na rozsądny czas na naprawę

Polityka CVD

Stosujemy standardy ISO 29147/30111 dla Skoordynowanego Ujawniania Podatności.

Kontakt

Ostatnia aktualizacja: Marzec 2026.

Kontakt ds. bezpieczeństwa
Zespół ds. bezpieczeństwa
security@craevidence.com
Zapytania ogólne
Formularz kontaktowy
Zgodność

Nasza zgodność

  • Zgodny z GDPR (UE 2016/679)
  • Rezydencja danych w UE
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Dostawca infrastruktury

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Plan działania

  • Niezależne testy penetracyjne
  • SOC 2 Type II
  • ISO 27001
Powiązane strony
Polityka prywatności Warunki korzystania z usługi Polityka cookies security.txt

Pytania dotyczące naszych praktyk bezpieczeństwa?

Stawiamy na przejrzystość. Skontaktuj się z nami, jeśli masz pytania dotyczące bezpieczeństwa.

Skontaktuj się z zespołem bezpieczeństwa Kontakt ogólny