Bezpieczeństwo i zaufanie

Prosimy Cię o zaufanie w najbardziej wrażliwym obszarze Twojej infrastruktury. Oto, co robimy, żeby na nie zasłużyć.

Architektura minimalnego zaufania

Skanowanie podatności odbywa się lokalnie na maszynie klienta - Secvalis nigdy nie ma dostępu do Twojej infrastruktury. Do platformy trafiają wyłącznie metadane skanu (nazwa hosta, zainstalowane pakiety, wersje, dopasowane CVE).

Nie ma agenta ani demona działającego w tle - skrypt uruchamiany jest w kontrolowanym przez Ciebie harmonogramie i można go wyłączyć w każdej chwili. Klucz API wydany skryptowi ma zakres ograniczony wyłącznie do bezpiecznej wysyłki wyników skanu.

Pełna specyfikacja wysyłanego payloadu: Jakie dane są wysyłane.

Ochrona danych

Hosting: OVHcloud, serwery zlokalizowane w Warszawie, Polska (UE / EOG).

Szyfrowanie: TLS 1.2+ w tranzycie. Jawnie i uczciwie: sama baza danych nie jest szyfrowana at rest, natomiast kopie zapasowe są szyfrowane (restic) przed wysłaniem i przechowywane codziennie, offsite, w OVH Object Storage (S3, region Polska), z polityką retencji 7 kopii dziennych, 4 tygodniowych i 6 miesięcznych, wraz z cotygodniowym testem odtworzenia.

Separacja danych klientów: izolacja per konto (multi-tenancy).

Retencja / usuwanie: dane są usuwane w ciągu 30 dni po zamknięciu konta; eksport dostępny jest w każdej chwili.

RODO: administratorem danych jest SYSDEVOPS.EU Jarosław Karsznia. Podprocesorzy: OVHcloud (hosting + przechowywanie kopii zapasowych, EOG) oraz Resend (wysyłka e-maili transakcyjnych, USA - na podstawie Data Privacy Framework / Standardowych Klauzul Umownych).

Pełne informacje: Umowa Powierzenia Przetwarzania Danych Osobowych (DPA).

Bezpieczeństwo platformy

Dostęp: role w platformie oraz MFA per-konto - właściciel konta może wymusić MFA dla wszystkich użytkowników. Niemutowalny audit log rejestruje działania i jest dostępny dla roli AUDITOR.

Testy bezpieczeństwa: każda funkcjonalność testowana jest wewnętrznie pod kątem podatności przed wydaniem.

Responsible disclosure

Znalazłeś podatność w Secvalis? Napisz na [email protected]. Odpowiadamy w ciągu 72 h, nie podejmujemy kroków prawnych wobec badaczy działających w dobrej wierze.

Kim jesteśmy

Secvalis rozwija Jarosław Karsznia (SYSDEVOPS.EU), z ponad 17-letnim doświadczeniem w administracji i utrzymaniu infrastruktury (DevOps/SysOps). Narzędzie powstało z własnej potrzeby zarządzania podatnościami setek maszyn bez budżetu enterprise.

Więcej o mnie

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS