Liigu sisu juurde
Cybsis

Turvalisus ja privaatsus

Läbipaistev kõiges peale võtmete.

Krüptosüsteem peab olema turvaline ka juhul, kui selle kohta on teada kõik peale võtme. Kerckhoffs sõnastas selle 1883. aastal; meie järgime seda põhimõtet. Siin on kirjeldatud teostus sellisena, nagu see täna päriselt tarnitakse — mis töötab, mis on veel puudu ja kuhu kirjutada, kui Sina leiad lünga, mis meil on kahe silma vahele jäänud.

01 — Kasutaja autentimine

Vaikimisi kaasaegne, kriitilistes kohtades riikliku taseme turvalisusega.

Autentimine on esimene indikaator sellest, kui tõsiselt platvormi ülejäänud osa võetakse. Cybsis kohtleb seda vastava tähtsusega.

Pääsuvõtmed (WebAuthn) – standardvalik
Andmepüügile vastupidavad krüptograafilised pääsutunnused, mis on seotud seadmega. Riistvaralised turvavõtmed, nagu YubiKey, on esmaklassiliselt toetatud — sama autentimisteekond sobib ühtviisi neile ja platvormi autentijatele (Touch ID, Windows Hello). @simplewebauthn/server v13
TARA — Eesti eID autentimislahendus (avalik sektor)
Üks OIDC autentimisvoog Eesti riigi SSO teenuses toetab kõiki riiklikke eID võimalusi: ID-kaarti, Mobiil-ID-d ja Smart-ID-d. Kasutaja teeb valiku TARA portaalis; Cybsis saab tagasi kinnitatud identiteediandmed. TARA on riigi pakutav teenus avaliku sektori süsteemidesse sisselogimiseks — erasektori lahendustes kasutatakse allpool toodud Web eID-d. openid-client v6
Active Directory / LDAP
Otseühendus kliendi AD või ükskõik millise LDAP-ühilduva kataloogiga. Ettevõtetele, kelle identiteedid on juba keskhalduse all ja kes ei soovi dubleerivat kasutajate hoidlat. Konto lukustamine töötab kooskõlas kataloogi enda poliitikaga. ldapts v8 · integrationAD moodul
Web eID — ID-kaart erasektorile
Eesti ID-kaardiga autentimine on saadaval erasektori ostjatele ning avaliku sektori tiimidele, kes eelistavad TARA kaudu mitte liikuda. Lahendus põhineb brauserilaiendusel ning kasutab OCSP sertifikaadikontrolli ja nonce’iga seotud väljakutse-vastuse mehhanismi. SK ID Solutionsi kaudu pakutavad kommertslikud Mobiil-ID ja Smart-ID on toetatud tasulise integratsioonimoodulina — olemasolevatele klientidele sisaldub see paketis, uute erasektori juurutuste puhul ostetakse eraldi. @peculiar/x509 · OCSP-valideeritud
Föderatsiooni API-võtmed
Cybsise paigalduste vaheline masin-masin liidese juurdepääs. Bearer-tokenid HMAC-SHA256 päringusignatuuride ja identiteedipäise rollikaardistusega; tühistatavad väljastanud eksemplaris. föderatsioonimoodul
Parool (kui muud võimalust pole)
Paroolid on räsitud Bcryptiga, miinimumpikkus on seadistatav ning konto lukustub pärast seadistatavat arvu ebaõnnestunud katseid jooksva 15-minutilise akna jooksul. Meie eelistus on, et Sa kasutaksid pääsuvõtmeid. bcryptjs v3

Seansimudel

Lühikese kehtivusajaga JWT-pääsutõendid (15 minutit, seadistatav) edastatakse httpOnly SameSite=Strict küpsistes ning kontrollitakse sihtsaajat ja väljaandjat. Värskendustõendid on 48 juhuslikku baiti, mis talletatakse puhkeolekus SHA-256 räsituna — avatekst esineb ainult brauseri küpsises. Jõudeaeg on seadistatav iga üksuse kohta; vaikimisi 60 minutit. Marsruudipõhised päringupiirangud kehtivad igale autentimise lõpp-punktile (nt parool: 10 päringut / 15 minutit; pääsuvõtme registreerimine: 20 / 5 minutit).

02 — Autoriseerimine ja isoleerimine

Üks andmebaas, kindlad piirid keskkondade vahel.

RBAC õigustel põhineva juurdepääsu piiramisega
Rollid koondavad pääsuõigusi; pääsuõigusi kontrollitakse lõpp-punktis vahevara abil, mitte mudelikihis. Lõpp-punkte, mille puhul õiguste kontroll puudub, ei ole olemas — nende lisamine otsustatakse kompileerimisetapis.
Reataseme isolatsioon keskkondade vahel
Kõigil tööolemitel on instanceId võõrvõti. Päringud, mis seda ei sisalda, jäävad kõrvale — iga loendi lõpp-punkt töötab ainult autenditud kasutajale kättesaadavate üksuste piires.
Föderatsiooni rollide kaardistamine
Kui födereeritud üksus teeb päringu, edastab API-võti identiteedipäised, mis seotakse kohaliku rolliga. Kaugpoolne kutsuja ei saa kunagi piiramatut ligipääsu — talle antakse roll, mille kohalik administraator on sellele föderatsioonilingile määranud.

03 — Krüpteerimine

Väljataseme saladused. Failipõhised sisuvõtmed.

  • Tundlikud konfiguratsiooniseaded

    AI teenusepakkujate API-võtmed, SMTP/IMAPi autentimisandmed ja teised süsteemi konfiguratsioonis talletatud saladused on krüpteeritud välja tasemel, kasutades AES-256-GCMi — šiffertekstile eelneb 12-baidine IV koos 16-baidise autentimissildiga. RaulWalteri töötajad ei saa neid lugeda; andmebaasirea olemasolust üksi ei piisa.

  • Laaditud failid

    Iga fail saab oma tuletatud võtme valemiga HMAC-SHA256(master, "file:" + fileId) — HKDF-konstruktsioon. Peavõti ei krüpteeri otseselt midagi; ühe failivõtme kompromiteerimine kompromiteerib ühe faili.

  • Paroolid

    Bcrypt-räsiga kaitstud. Andmebaas salvestab üksnes räsid; parooli lähtestamisel genereeritakse lühikese kehtivusega allkirjastatud tõendid, mitte kunagi parooli lihttekst.

  • Värskendusload

    Salvestatakse SHA-256 räsidena. Isegi täieliku andmebaasijuurdepääsu korral ei saa ründaja seanssi taasesitada — tal oleks vaja kasutaja brauseriküpsisest pärit avateksti.

  • Peavõti

    Asub keskkonnamuutujas ENCRYPTION_KEY — 32 baiti, base64-kodeeritud. Isehostitud ja kohapealsetes juurutustes ei lahku võti kunagi kliendi taristust; RaulWalteril koopiat ei ole. RW Hostingus asub võti kliendi isoleeritud AWS-keskkonnas, mitte kunagi arendajate sülearvutites ega versioonihalduses.

  • Andmete edastamisel

    TLS lõpetatakse pöördproksis (soovitatud juurutuses nginx). Cybsis ei aktsepteeri autenditud liikluse puhul krüptimata HTTP-d.

04 — Audit ja aruandekohustus

Kõik, mis toimub, pannakse kirja.

Tegevuste logi
Üle 80 toimingutüübi — sisselogimised, rollimuudatused, kontrollmeetmete muudatused, dokumentide elutsükli üleminekud, intsidentide töövood, integratsioonide sisse- ja väljalülitamised, litsentsisündmused. Otsitav ja eksporditav.
Sisselogimiskatsete logi
Iga sisselogimise autentimiskatse — meetod, IP-aadress, user-agent, õnnestumine või nurjumine — koos kasutajakirjega (või nurjumisel kasutatud kasutajanimega). Selle põhjal toimib konto lukustamise loogika ning audiitorid saavad selge kohtuekspertiisliku kontrolljälje.
Tehisintellekti kasutuslogi
Iga AI-kasutus salvestub koos üksikasjadega: kes oli kasutaja, millist funktsiooni ja teenusepakkujat kasutati, päringu ja vastuse sisu, sisend-/väljundtokenid, kuluprognoos, kestus ning olek. AI keelamise lüliti lülitab ka selle välja; platvormilt ei välju midagi nähtamatult.

05 — Juurutamine ja andmete paiknemine

Kolm usalduspiiri. Vali Sulle sobiv.

RW majutus

AWS eu-north-1 · 300 €/aasta fikseeritud hinnaga

Igal kliendil eraldi keskkond, isoleeritud AWS-i konto, puhkeolekus krüpteeritud andmed. RaulWalter haldab käituskeskkonda — samal päeval tehtavad uuendused, aktiivne tugi ja meile nähtav telemeetria, et abi jõuaks Sinuni kiiresti. See on kompromiss, mille valid, kui Sa ei soovi taristut ise käitada.

Sinu pilvekeskkond

AWS · GCP · Azure · lisatasuta

Dockeri tõmmis, juurutusdokumentatsioon ja käitamine Sinu poolt. Krüptimise peavõti asub Sinu saladuste hoidlas; RaulWalteril puudub lugemisõigus Sinu andmebaasile ning käsurea ligipääs Sinu eksemplaridele. Ainsad väljaminevad ühendused on litsentsikontrollid meie litsentsiserveri vastu.

On-premise

Kaitsevaldkond · luure · tervishoid · ilma lisatasuta

Sama Dockeri tõmmis, kliendi paigaldatav. Võrgust eraldatud töörežiim võrgust eraldatud litsentsimise kaudu. Väljuv liiklus puudub. Kui tehisintellekti funktsioonid on lubatud ise majutatud mudeliteenuse pakkujaga, töötab kogu tehnoloogiapinu perimeetri sees.

Andmebaasid ja varukoopiad

PostgreSQL 17 on vaikeandmebaas ja meie testimise aluseks. Kuna andmekiht asub Prisma peal ning ei tugine PostgreSQL-ile omastele veerutüüpidele, JSON-operaatoritele ega laiendustele, on MySQL ja SQLite skeemi tasemel toetatud provider-sihtmärgid — kasutuskõlblikud juhul, kui organisatsioon on standardinud mõne teise andmebaasi ja on valmis juurutust ise käitama. Range skeemikäsitlus on teadlik otsus, mitte juhus.

Sisseehitatud varundustööriist käivitab pg_dump-i astmelise ajakava alusel — kord tunnis, kord päevas ja kord nädalas — koos seadistatava säilitusega. Isehostimisel suunad varundusmahu Sinu valitud salvestusruumi; RW Hostingus jõuavad varukoopiad kliendipõhiselt eraldatud S3-e. Mitte-Postgresi juurutustes kasutatakse operaatori enda varundustööriistu.

06 — tehisintellekti usalduspiir

Vaikimisi keelatud. Seadistatav. Logitud.

AI on ainus funktsioon, mis võib viia andmed väljapoole Sinu usalduspiiri. Seetõttu käsitleme seda kõige rangema korraga.

  • 01Välja lülitatud, kuni administraator selle lubab. Esmasel paigaldusel on väärtus ai_enabled = false. Pole AI-nuppe, Ludwig’i sisenemisteed ega väljaminevaid päringuid. Administraator lubab selle jaotises Administration → AI Settings; valiku saab hiljem tagasi võtta.
  • 02Kolm teenusepakkuja režiimi. Kasuta oma võtit (Anthropic, OpenAI, Gemini, Azure OpenAI), suuna ühendus ise hostitud OpenAI-ga ühilduvasse lõpp-punkti (Ollama, vLLM, mis tahes ettevõttesisene LLM) või lase võtme pakkuda RaulWalteril. Täpsem ülevaade on AI funktsioonide lehel.
  • 03Teenusepakkuja konfiguratsioon on krüpteeritud. API võtme väli on jõudeolekus krüpteeritud algoritmiga AES-256-GCM. Andmebaasi hetktõmmis seda ei paljasta; dekrüpteerida saab ainult töötav protsess, millel on peavõti.
  • 04Iga AI-päring logitakse. AI kasutuslogi registreerib kasutaja, üksuse, teenusepakkuja, mudeli, täieliku prompti ja vastuse sisu, tokenite arvu, kuluhinnangu ning kestuse. Auditeeritav nagu kõik teised tegevused.
  • 05Automaatset redigeerimist ei tehta. Lihtsalt öeldes: Cybsis ei eemalda päringutest automaatselt isikuandmeid ega tundlikku sisu enne, kui need saadetakse Sinu valitud teenusepakkujale. Päring, mille saadad, on sama päring, mis jõuab teenusepakkujani. Kui töökoormuse puhul on see oluline, kasuta režiimi 2 — Sinu perimeetri sees paiknevat ise majutatud LLM-i lõpp-punkti — nii ei lahku ükski päring kunagi võrgust.

07 — Turvalisuse järgmised sammud

Mida me pole veel kasutajateni toonud.

Kerckhoffsi printsiibil on kaks poolt. Kui eeldame, et usaldad meie teostust, peame Sulle ausalt näitama, mis selles veel puudu on.

  • TOTP teise faktorina

    Platvorm eelistab pääsuvõtmeid, sest need on andmepüügi suhtes vastupidavamad kui parool + TOTP. Samas vajavad TOTP-i kohustuslikuks tegevad keskkonnad — eriti avaliku sektori hankeraamistikud — parooli kõrvale selgesõnalist teist tegurit. Järgmises väiksemas väljalaskes.

  • SAML SSO

    OIDC tugi on TARA integratsiooni kaudu juba olemas; üldine OIDC mis tahes IdP jaoks nõuab vaid väikest edasiarendust. SAML — nendele ettevõtetele, kelle IdP meeskond tunnistab ainult SAML-it — on backlog’is ja ootab esimest klienti, kellel seda tegelikult vaja on.

  • Võltsimiskindel auditilogi

    Auditilogi on põhjalik, kuid selle ridu saab muuta nagu iga teise andmebaasitabeli omi — kirjutusõigusega andmebaasi administraator võib ajalugu redigeerida. Plaanitud tugevdamismeede on räsiahel või ainult lisamist võimaldav salvestuslahendus; see on kõige olulisem reguleeritud sektorites, kus audiitor vajab krüptograafilist salgamatust.

  • Tarneahela automaatkontroll

    Lukustusfail on koodihoidlas olemas ja läbib ülevaatuse iga väljalaskega, kuid me ei kasuta hoidlas veel automatiseeritud Dependaboti ega Renovate’i ning SBOM-i pole avaldatud. Mõlemad on järgmise kvartali tööde nimekirjas.

  • Isikuandmete eemaldamine AI-viipadest

    Platvormi genereeritud AI-prompti lõigud on juba võimalikult napid: kontrollitud väljad koos piiratud näidismahtudega, ilma kasutajatunnuste, paroolide või riiklike identifikaatoriteta. Veel ei ole olemas automaatset puhastuskihti kasutaja kirjutatud promptisisule: sädelusnupuga (sparkle button) sisendisse sisestatud kommentaar või vabavormiline märge saadetakse teenusepakkujale sõna-sõnalt. Andmete eemaldamise läbikäik — olemite tuvastus, seadistatavad mustrid ja üksusepõhine reeglistik — on arendusnimekirjas.

  • Turvanõrkuste preemiaprogramm

    Täna on kokkulepe selline: koordineeritud avalikustamine toimub allpool toodud e-posti aadressi kaudu. Rahastatud preemiaprogramm haavatavuste leidmiseks — tõenäoliselt avalikul platvormil — avatakse siis, kui meie kasutajabaas on piisavalt suur, et pakkuda uurijatele tegelikku väärtust.

08 — Vastutustundlik teavitamine

Leidsid turvanõrkuse? Anna meile teada.

Kui oled avastanud Cybsises turvanõrkuse — olgu see tootes, veebisaidil või meie avaldatud integratsioonis — anna sellest teada aadressil security@raulwalter.com. Kinnitame kättesaamise 24 tunni jooksul igal päeval aastas.

PGP — kaitse tundlikke teateid krüpteerimisega

Võtme sõrmejälg: 3361 FEA1 BF78 5BDA A1BF 0385 860E 681F 87FF 816A
Võti: /.well-known/security-raulwalter.asc · viidatud ka failis /.well-known/security.txt

Mida me ette võtame

  • — Kinnitame Sinu teate kättesaamist 24 tunni jooksul.
  • — Teavitame Sind 5 tööpäeva jooksul, kas meil õnnestub seda taasesitada.
  • — Hoiame Sind kursis, kuni probleem on lõplikult lahendatud.
  • — Lisame Sinu nime muudatuste logisse, kui parandus välja tuleb, välja arvatud juhul, kui Sa seda ei soovi.
  • — Me ei ähvarda Sind kunagi selle leidmise eest.

Mida palume Sinul teha

  • — Võimalda meil probleem enne avalikustamist mõistliku aja jooksul parandada.
  • — Ära vii klientide andmeid süsteemist välja, isegi mitte selleks, et tõestada vea toimimist.
  • — Ära kasuta automaatseid skannereid tootmiskeskkondades, mille omanik Sa ei ole.
  • — Kui Sul on vaja midagi demonstreerida, kasuta testüksust või RW Hosting trialit.

Kui Sul on toote kohta küsimusi, mis ei puuduta turvalisust, kasuta hinnapäringu vormi või kirjuta sales@raulwalter.com. Turvateadete postkasti jälgitakse eraldi ning seda tuleks kasutada ainult haavatavuste raporteerimiseks.