Bezpieczeństwo Danych

Jak chronimy Twoje dane: szyfrowanie, kontrola dostępu, ujawnianie podatności i reagowanie na incydenty.

Bezpieczeństwo w CRA Evidence

CRA Evidence działa na infrastrukturze AWS w UE (Dublin, Irlandia). Wszystkie dane klientów są szyfrowane w tranzycie i w spoczynku. Stosujemy ścisłą izolację najemców — dane Twojej organizacji nigdy nie są dostępne dla innych klientów. Jesteśmy firmą prowadzoną przez założyciela w fazie beta i jesteśmy transparentni co do naszej aktualnej postawy bezpieczeństwa i mapy drogowej.

Infrastruktura

Szczegół Wartość
Dostawca Chmury Amazon Web Services (AWS)
Region eu-west-1 (Dublin, Irlandia)
Rezydencja Danych Wszystkie dane klientów przechowywane wyłącznie w UE
Sieć VPC z prywatnymi podsieciami, NAT Gateway, brak publicznych IP na kontenerach aplikacji
Dostęp Administracyjny VPN zero-trust z uwierzytelnianiem opartym na urządzeniach i kontrolami dostępu zgodnie z zasadą minimalnych uprawnień
Ruch Wewnętrzny VPC endpoints dla S3 i SES (ruch nigdy nie przechodzi przez publiczny internet)
Ochrona DDoS AWS Shield Standard
Audyt Infrastruktury AWS CloudTrail dla operacji płaszczyzny zarządzania
Audyt Aplikacji Niezmienny dziennik audytu wszystkich działań użytkowników (165+ typów zdarzeń, weryfikowany sekwencyjnie)

Szyfrowanie

Warstwa Metoda
W Tranzycie TLS 1.2 lub wyższy na wszystkich połączeniach (HTTPS wymagany)
W Spoczynku AES-256 przez AWS (RDS, S3, woluminy EBS)
Zarządzanie Kluczami AWS KMS (klucze nigdy nie opuszczają granicy KMS)
Hasła Hashowanie Argon2id (odporne na ataki GPU/ASIC)
Klucze API Hash SHA-256 przed zapisem (tekst jawny nigdy nie jest przechowywany)

Uwierzytelnianie i Kontrola Dostępu

  • Logowanie: Email/hasło z Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: Uwierzytelnianie wieloskładnikowe oparte na TOTP z kodami zapasowymi; organizacje mogą wymusić MFA dla wszystkich członków
  • Sesje: Tokeny dostępu JWT (krótkotrwałe) z rotacyjnymi tokenami odświeżania
  • Ochrona przed botami: Cloudflare Turnstile na endpointach uwierzytelniania
  • CSRF: Ochrona tokenowa na wszystkich operacjach zmieniających stan
  • RBAC: Cztery role na organizację — Właściciel, Administrator, Członek, Obserwator — zgodnie z zasadą minimalnych uprawnień
  • Klucze API: Zdefiniowane uprawnienia, hash SHA-256, indywidualnie odwoływalne
  • Wymuszanie SSO: Organizacje mogą wymagać SAML SSO dla wszystkich członków

Izolacja Najemców

CRA Evidence to platforma multi-tenant. Każde zapytanie do bazy danych filtruje po organisation_id na poziomie usługi:

  • Organizacje nie mogą uzyskać dostępu, zapytać ani odwoływać się do danych innej organizacji
  • Dane SBOM, dane o podatnościach, produkty i dokumenty zgodności są ograniczone do organizacji właściciela
  • Ścieżki przechowywania są segregowane według ID organizacji
  • Logowanie audytu śledzi cały dostęp do danych per organizacja

Zarządzanie Podatnościami

  • Skanowanie SBOM: Samodzielnie hostowany skaner Trivy do ciągłego wykrywania podatności w SBOM
  • Monitorowanie Zależności: Automatyczne sprawdzanie zależności aplikacji
  • Zarządzanie Łatkami: Regularne aktualizacje komponentów aplikacji i infrastruktury
  • Testy Penetracyjne: Niezależny test penetracyjny planowany (patrz Mapa Drogowa)

Ciągłość Działania i Odzyskiwanie po Awarii

Szczegół Wartość
Kopie Zapasowe BD Szyfrowane codzienne automatyczne snapshoty RDS
Przechowywanie SBOM S3 z 99,999999999% trwałością (11 dziewiątek)
Zobowiązanie Dostępności 99,5% (zgodnie z umową serwisową)
RPO 24 godziny (codzienne kopie zapasowe)
RTO Cel 4 godziny
Wdrożenie Pojedynczy region (eu-west-1) — multi-AZ planowany
Reagowanie na Incydenty Monitoring i reagowanie prowadzone przez założyciela podczas fazy beta

Przechowywanie Danych

  • Dane aktywnego konta: Przechowywane podczas aktywnej subskrypcji
  • Usunięte konta: Dane usuwane w ciągu 30 dni od żądania
  • Dzienniki audytu: Przechowywane przez 10 lat zgodnie z wymaganiami Artykułu 13(14) CRA
  • Kopie zapasowe: Szyfrowane codzienne automatyczne snapshoty

RODO i Prywatność

  • Umowa o Przetwarzanie Danych (DPA): Dostępna na żądanie (privacy@craevidence.com)
  • Rejestr Czynności Przetwarzania (ROPA): Prowadzony zgodnie z art. 30 RODO
  • Podwykonawcy: Opublikowana lista z 30-dniowym powiadomieniem o zmianach
  • Przenoszenie Danych: Eksport SBOM w standardowych formatach (CycloneDX, SPDX)
  • Usuwanie Danych: Konto i wszystkie powiązane dane usuwane w ciągu 30 dni od żądania
  • Polityka Prywatności: Przeczytaj naszą politykę prywatności

Zgodność

Nasza Zgodność

  • Zgodność z RODO (UE 2016/679) — ROPA, DPA, lista podwykonawców, polityka prywatności
  • Rezydencja danych w UE — wszystkie dane w AWS eu-west-1 (Dublin, Irlandia)
  • RFC 9116 — security.txt opublikowany
  • Zgodność z ISO 29147/30111 — Proces Skoordynowanego Ujawniania Podatności

Certyfikaty Dostawcy Infrastruktury

AWS utrzymuje następujące certyfikaty dla eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (niemiecki BSI).

Mapa Drogowa

  • Niezależny test penetracyjny — planowany
  • SOC 2 Type II — planowany
  • ISO 27001 — w trakcie oceny

Budujemy naszą postawę zgodności równolegle z naszym produktem. Ta strona odzwierciedla, gdzie jesteśmy dzisiaj.

Ujawnianie Podatności

Zachęcamy do odpowiedzialnych badań bezpieczeństwa. Jeśli odkryjesz podatność w naszej platformie, prosimy o jej zgłoszenie.

Jak Zgłosić

  • Email: security@craevidence.com
  • Odpowiedź: Potwierdzenie odbioru w ciągu 24 godzin, wstępna ocena w ciągu 7 dni roboczych

Zakres

  • W zakresie: *.craevidence.com, API CRA Evidence, CLI CRA Evidence
  • Poza zakresem: Usługi stron trzecich, inżynieria społeczna, ataki odmowy usługi

Bezpieczna Przystań

Nie będziemy podejmować kroków prawnych przeciwko badaczom bezpieczeństwa, którzy:

  • Działają w dobrej wierze
  • Unikają naruszeń prywatności, niszczenia danych lub zakłóceń usługi
  • Zgłaszają wyniki niezwłocznie i pozwalają na rozsądny czas na naprawę

Polityka CVD

Stosujemy standardy ISO 29147/30111 dla Skoordynowanego Ujawniania Podatności.

Kontakt

Ostatnia aktualizacja: Luty 2026.

Kontakt ds. bezpieczeństwa
Zespół ds. bezpieczeństwa
security@craevidence.com
Zapytania ogólne
Formularz kontaktowy
Zgodność

Nasza zgodność

  • Zgodny z GDPR (UE 2016/679)
  • Rezydencja danych w UE (eu-west-1)
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Dostawca infrastruktury

AWS eu-west-1: SOC 1/2/3, ISO 27001/27017/27018, C5

Plan działania

  • Niezależne testy penetracyjne
  • SOC 2 Type II
  • ISO 27001
Powiązane strony
Polityka prywatności Warunki korzystania z usługi Polityka cookies security.txt

Pytania dotyczące naszych praktyk bezpieczeństwa?

Stawiamy na przejrzystość. Skontaktuj się z nami, jeśli masz pytania dotyczące bezpieczeństwa.

Skontaktuj się z zespołem bezpieczeństwa Kontakt ogólny