Bezpieczeństwo i zaufanie
Prosimy Cię o zaufanie w najbardziej wrażliwym obszarze Twojej infrastruktury. Oto, co robimy, żeby na nie zasłużyć.
Architektura minimalnego zaufania
Skanowanie podatności odbywa się lokalnie na maszynie klienta - Secvalis nigdy nie ma dostępu do Twojej infrastruktury. Do platformy trafiają wyłącznie metadane skanu (nazwa hosta, zainstalowane pakiety, wersje, dopasowane CVE).
Nie ma agenta ani demona działającego w tle - skrypt uruchamiany jest w kontrolowanym przez Ciebie harmonogramie i można go wyłączyć w każdej chwili. Klucz API wydany skryptowi ma zakres ograniczony wyłącznie do bezpiecznej wysyłki wyników skanu.
Pełna specyfikacja wysyłanego payloadu: Jakie dane są wysyłane.
Ochrona danych
Hosting: OVHcloud, serwery zlokalizowane w Warszawie, Polska (UE / EOG).
Szyfrowanie: TLS 1.2+ w tranzycie. Jawnie i uczciwie: sama baza danych nie jest szyfrowana at rest, natomiast kopie zapasowe są szyfrowane (restic) przed wysłaniem i przechowywane codziennie, offsite, w OVH Object Storage (S3, region Polska), z polityką retencji 7 kopii dziennych, 4 tygodniowych i 6 miesięcznych, wraz z cotygodniowym testem odtworzenia.
Separacja danych klientów: izolacja per konto (multi-tenancy).
Retencja / usuwanie: dane są usuwane w ciągu 30 dni po zamknięciu konta; eksport dostępny jest w każdej chwili.
RODO: administratorem danych jest SYSDEVOPS.EU Jarosław Karsznia. Podprocesorzy: OVHcloud (hosting + przechowywanie kopii zapasowych, EOG) oraz Resend (wysyłka e-maili transakcyjnych, USA - na podstawie Data Privacy Framework / Standardowych Klauzul Umownych).
Pełne informacje: Umowa Powierzenia Przetwarzania Danych Osobowych (DPA).
Bezpieczeństwo platformy
Dostęp: role w platformie oraz MFA per-konto - właściciel konta może wymusić MFA dla wszystkich użytkowników. Niemutowalny audit log rejestruje działania i jest dostępny dla roli AUDITOR.
Testy bezpieczeństwa: każda funkcjonalność testowana jest wewnętrznie pod kątem podatności przed wydaniem.
Responsible disclosure
Znalazłeś podatność w Secvalis? Napisz na [email protected]. Odpowiadamy w ciągu 72 h, nie podejmujemy kroków prawnych wobec badaczy działających w dobrej wierze.
Kim jesteśmy
Secvalis rozwija Jarosław Karsznia (SYSDEVOPS.EU), z ponad 17-letnim doświadczeniem w administracji i utrzymaniu infrastruktury (DevOps/SysOps). Narzędzie powstało z własnej potrzeby zarządzania podatnościami setek maszyn bez budżetu enterprise.

