Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Сигурност в YARDtwin

Как защитаваме данните на клиентите, осигуряваме наличността на платформата и поддържаме съответствие с EU GMP Annex 11, 21 CFR Part 11 и GDPR.

Оценка 4.8/5.00 открити проблема при пентестСъхранение на данни в ЕС/ЕИПСъответствие с GDPR

Платформа и хостинг

YARDtwin работи на Microsoft Azure с изчислителни ресурси в Норвегия Изток и Швеция Централна за данни, регистри и тайни. Всички клиентски данни остават в рамките на ЕС/ЕИП, в съответствие с членове 44–49 от GDPR.

App Service (Linux Container) — Норвегия Изток
Azure PostgreSQL Flexible Server — Швеция Централна
Azure Blob Storage — Норвегия Изток, частни контейнери
Azure Key Vault — Швеция Централна, контролиран с RBAC
Azure Front Door + WAF — Режим на превенция
Log Analytics + Microsoft Sentinel — задържане 90 дни

Мрежова и транспортна сигурност

Контрол	Имплементация	Статус
TLS	TLS 1.3 с AES-256-GCM чрез Azure	Верифициран
WAF	Azure Front Door WAF (режим на предотвратяване)	Активен
HSTS	max-age 2 години с preload	Верифициран
Само HTTPS	Принудително от App Service	Верифициран
Защитна стена на БД	Само Azure + списък с разрешени администраторски IP адреси	Верифициран

Удостоверяване и контрол на достъпа

Контрол	Имплементация	Статус
Политика за пароли	8+ знака, главна буква, малка буква, цифра, специален знак	Приложен
Проверка за пробиви	HIBP k-anonymity справка при регистрация / промяна	Активен
MFA	TOTP (Google/Microsoft Authenticator)	Наличен
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Активен
Груба сила	5 опита, блокиране за 15 мин. (429)	Активен
JWT токени	Достъп 1 час, обновяване 7 дни	Активен
RBAC	8 роли с прилагане на ниво маршрут	Активен
Изолация на наематели	Всяка заявка е филтрирана по tenant_id	Верифициран

Защита на данните

Контрол	Имплементация	Статус
Криптиране в покой	Azure PostgreSQL AES-256	Активен
Криптиране при пренос	TLS 1.3	Активен
Хеширане на пароли	bcrypt (12 рунда)	Активен
Параметризиран SQL	154 заявки, 0 конкатенации	Верифициран
Тайни	Azure Key Vault	Активен
Одит журнал	Само за добавяне, съответстващ на ALCOA+	Активен

Политика за сигурност на съдържанието

Строга Content Security Policy с nonce на заявка за скриптове (без unsafe-inline). Пълен набор от заглавки за сигурност при всеки отговор: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Тестване и валидиране

Независимо тестване за проникване на 17–18 април 2026 г. (10 категории OWASP, 36 полезни товара): 0 уязвимости.Функционално тестване на сигурността на 11 април 2026 г., обхващащо 1 890+ API извиквания при 270 записа: 0 неуспехи.Годишен pentest от трета страна е планиран, а SOC 2 Type II одитът е в процес.

Съответствие

EU GMP Annex 11 — Цялостност на данните (ALCOA+), одит журнал само за добавяне, електронни записи, контрол на достъпа, валидиран
21 CFR Part 11 — Електронни записи, одит журнал, атрибуция, верига на попечителство на печатите
GDPR — Преносимост на данните (JSON + CSV), работен процес за DSAR, проследяване на съгласието, резидентност само в ЕС/ЕИП
SOC 2 Type II — Одитът е в процес

Документи и шаблони

Шаблон на Споразумение за обработка на данни (DPA) — за корпоративен преглед и подпис
Политика по GDPR
Политика за поверителност
security.txt

Отговорно разкриване

Приветстваме сигнали от изследователи по сигурността. Изпратете имейл на admin@yardtwin.comс описание на констатацията и стъпки за възпроизвеждане. Потвърждаваме получаването в рамките на 2 работни дни и се стремим да отстраним критичните проблеми в рамките на 7 дни. Моля, не разкривайте публично уязвимости, преди да сме имали възможност да ги отстраним.

Последна актуализация: април 2026 г. · yardtwin.com

Здравейте! Започнете безплатния си пробен период за 2 минути — ще ви помогна да настроите всичко!