Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

← Powrót do strony głównej

Bezpieczeństwo w YARDtwin

Jak chronimy dane klientów, zapewniamy dostępność platformy i zachowujemy zgodność z EU GMP Annex 11, 21 CFR Part 11 oraz GDPR.

Ocena 4,8/5,00 wyników pentestówRezydencja danych EU/EEAZgodność z GDPR

Platforma i hosting

YARDtwin działa na Microsoft Azure z obliczeniami w regionie Norway East oraz Sweden Central dla danych, rejestru i sekretów. Wszystkie dane klientów pozostają w obrębie EU/EEA, zgodnie z artykułami 44–49 GDPR.

  • App Service (Linux Container) — Norwegia Wschodnia
  • Azure PostgreSQL Flexible Server — Szwecja Centralna
  • Azure Blob Storage — Norwegia Wschodnia, prywatne kontenery
  • Azure Key Vault — Szwecja Centralna, kontrola dostępu RBAC
  • Azure Front Door + WAF — tryb prewencyjny
  • Log Analytics + Microsoft Sentinel — retencja 90 dni

Bezpieczeństwo sieci i transportu

KontrolaImplementacjaStatus
TLSTLS 1.3 z AES-256-GCM przez AzureZweryfikowano
WAFAzure Front Door WAF (tryb prewencyjny)Aktywny
HSTSmax-age 2 lata z preloadZweryfikowano
Tylko HTTPSWymuszane przez App ServiceZweryfikowano
Zapora bazy danychTylko Azure + lista dozwolonych IP administratorówZweryfikowano

Uwierzytelnianie i kontrola dostępu

KontrolaImplementacjaStatus
Polityka hasełMin. 8 znaków: wielka litera, mała litera, cyfra, znak specjalnyWymuszony
Weryfikacja naruszeńWyszukiwanie HIBP k-anonymity przy rejestracji / zmianie hasłaAktywny
MFATOTP (Google/Microsoft Authenticator)Dostępny
SSO/SAMLSAML 2.0 (Azure AD, Okta, Google Workspace)Aktywny
Atak brute force5 prób, blokada na 15 min (429)Aktywny
Tokeny JWTDostęp: 1 godzina, odświeżenie: 7 dniAktywny
RBAC8 ról z wymuszaniem na poziomie trasAktywny
Izolacja dzierżawcyKażde zapytanie filtrowane według tenant_idZweryfikowano

Ochrona danych

KontrolaImplementacjaStatus
Szyfrowanie danych w spoczynkuAzure PostgreSQL AES-256Aktywny
Szyfrowanie danych w tranzycieTLS 1.3Aktywny
Haszowanie hasełbcrypt (12 rund)Aktywny
Parametryzowane SQL154 zapytania, 0 konkatenacjiZweryfikowano
SekretyAzure Key VaultAktywny
Ścieżka audytuTylko dołączanie, zgodność z ALCOA+Aktywny

Content Security Policy

Rygorystyczna CSP z jednorazowymi nonces per żądanie dla skryptów (bez unsafe-inline). Pełny zestaw nagłówków bezpieczeństwa zwracanych przy każdej odpowiedzi: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Testowanie i walidacja

Niezależny test penetracyjny przeprowadzony 17–18 kwietnia 2026 (10 kategorii OWASP, 36 ładunków testowych): 0 podatności.Funkcjonalne testy bezpieczeństwa z 11 kwietnia 2026 obejmujące ponad 1 890 wywołań API dla 270 awizacji: 0 błędów.Coroczny pentest przez zewnętrzną firmę zaplanowany; audyt SOC 2 Type II w toku.

Zgodność z przepisami

  • EU GMP Annex 11 — Integralność danych (ALCOA+), niemodyfikowalny dziennik audytu, zapisy elektroniczne, kontrola dostępu, walidacja
  • 21 CFR Part 11 — Zapisy elektroniczne, dziennik audytu, atrybucja, łańcuch nadzoru nad plombami
  • GDPR — Przenoszalność danych (JSON + CSV), procedura DSAR, śledzenie zgód, przechowywanie danych wyłącznie w UE/EOG
  • SOC 2 Type II — Audyt w toku

Dokumenty i szablony

Odpowiedzialne ujawnianie podatności

Zachęcamy badaczy bezpieczeństwa do zgłaszania znalezisk. Wyślij wiadomość na adres admin@yardtwin.comz opisem znaleziska i krokami reprodukcji. Potwierdzamy odbiór w ciągu 2 dni roboczych i dążymy do usunięcia krytycznych problemów w ciągu 7 dni. Prosimy o nieujawnianie podatności publicznie przed uzyskaniem przez nas możliwości ich naprawienia.

Ostatnia aktualizacja: kwiecień 2026 · yardtwin.com

Cześć! Rozpocznij bezpłatny okres próbny w 2 minuty — pomogę Ci wszystko skonfigurować!