Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Saugumas YARDtwin platformoje

Kaip mes saugome klientų duomenis, užtikriname platformos prieinamumą ir laikomės ES GMP Annex 11, 21 CFR Part 11 ir GDPR reikalavimų.

Įvertinimas 4,8/5,00 pentest radiniųES/EEE duomenų buvimo vietaGDPR atitiktis

Platforma ir prieglauda

YARDtwin runs on Microsoft Azure with Norway East compute and Sweden Central for data, registry, and secrets. All customer data stays within the EU/EEA, compliant with GDPR Articles 44–49.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, privatūs konteineriai
Azure Key Vault — Sweden Central, valdoma RBAC
Azure Front Door + WAF — prevencijos režimas
Log Analytics + Microsoft Sentinel — 90 dienų saugojimas

Tinklo ir transporto saugumas

Valdiklis	Įgyvendinimas	Būsena
TLS	TLS 1.3 su AES-256-GCM per Azure	Patikrinta
WAF	Azure Front Door WAF (prevencijos režimas)	Aktyvu
HSTS	2 metų max-age su išankstiniu įkėlimu	Patikrinta
Tik HTTPS	Vykdoma per App Service	Patikrinta
DB užkarda	Tik Azure + administratoriaus IP sąrašas	Patikrinta

Autentifikacija ir prieigos valdymas

Valdiklis	Įgyvendinimas	Būsena
Slaptažodžio politika	8+ simboliai, didžiosios, mažosios raidės, skaičius, specialus simbolis	Taikoma
Pažeidimų tikrinimas	HIBP k-anonimiškumo paieška registruojantis / keičiant slaptažodį	Aktyvu
MFA	TOTP (Google/Microsoft Authenticator)	Prieinama
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktyvu
Brute force	5 bandymai, 15 min. blokavimas (429)	Aktyvu
JWT prieigos raktai	1 valandos prieiga, 7 dienų atnaujinimas	Aktyvu
RBAC	8 vaidmenys su maršruto lygio vykdymu	Aktyvu
Nuomininko izoliacija	Kiekviena užklausa filtruojama pagal tenant_id	Patikrinta

Duomenų apsauga

Valdiklis	Įgyvendinimas	Būsena
Šifravimas ramybės būsenoje	Azure PostgreSQL AES-256	Aktyvu
Šifravimas perdavimo metu	TLS 1.3	Aktyvu
Slaptažodžių maišymas	bcrypt (12 raundų)	Aktyvu
Parametrizuoti SQL užklausai	154 užklausos, 0 sujungimų	Patikrinta
Slaptieji raktai	Azure Key Vault	Aktyvu
Audito sekimas	Tik papildymo režimu, atitinka ALCOA+ reikalavimus	Aktyvu

Turinio saugumo politika (CSP)

Griežta CSP su vienkartiniais nonce kiekvienos užklausos scenarijams (ne unsafe-inline). Visas saugumo antraščių rinkinys, grąžinamas kiekviename atsakyme: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testavimas ir patvirtinimas

Nepriklausomas įsiskverbimo testavimas 2026 m. balandžio 17–18 d. (10 OWASP kategorijų, 36 naudingosios apkrovos): 0 pažeidžiamumų.Funkcinis saugumo testavimas 2026 m. balandžio 11 d., apimantis daugiau nei 1 890 API iškvietimų per 270 susitikimų: 0 klaidų.Metinis trečiosios šalies įsiskverbimo testavimas suplanuotas, SOC 2 Type II auditas vykdomas.

Atitiktis

EU GMP Annex 11 — Duomenų vientisumas (ALCOA+), tik papildomas audito žurnalas, elektroniniai įrašai, prieigos kontrolė, patvirtinta
21 CFR Part 11 — Elektroniniai įrašai, audito sekimas, priskyrimas, antspaudų grandinės valdymas
GDPR — Duomenų perkeliamumas (JSON + CSV), DSAR darbo eiga, sutikimo stebėjimas, buveinė tik ES/EEE
SOC 2 Type II — Auditas vykdomas

Dokumentai ir šablonai

Duomenų tvarkymo sutarties (DPA) šablonas — įmonės peržiūrai ir pasirašymui
GDPR politika
Privatumo politika
security.txt

Atsakingas atskleidimas

Laukiame saugumo tyrinėtojų pranešimų. Rašykite el. paštu admin@yardtwin.comsu radinio aprašymu ir atkūrimo žingsniais. Patvirtinimą apie gavimą išsiunčiame per 2 darbo dienas ir siekiame kritines problemas ištaisyti per 7 dienas. Prašome viešai neatskleidžiati pažeidžiamumų, kol neturėjome galimybės jų pašalinti.

Paskutinį kartą atnaujinta: 2026 m. balandis · yardtwin.com

Sveiki! Pradėkite nemokamą bandymą per 2 minutes — padėsiu viską nustatyti!