Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

← На главную

Безопасность в YARDtwin

Как мы защищаем данные клиентов, обеспечиваем доступность платформы и соответствие требованиям EU GMP Annex 11, 21 CFR Part 11 и GDPR.

Оценка 4.8/5.00 уязвимостей по пентестуХранение данных в ЕС/ЕЭЗСоответствие GDPR

Платформа и хостинг

YARDtwin работает на Microsoft Azure: вычисления — регион Norway East, данные, реестр и секреты — Sweden Central. Все данные клиентов хранятся в пределах ЕС/ЕЭЗ в соответствии со статьями 44–49 GDPR.

  • App Service (Linux Container) — Norway East
  • Azure PostgreSQL Flexible Server — Sweden Central
  • Azure Blob Storage — Norway East, приватные контейнеры
  • Azure Key Vault — Sweden Central, управление доступом RBAC
  • Azure Front Door + WAF — режим предотвращения угроз
  • Log Analytics + Microsoft Sentinel — хранение 90 дней

Сетевая безопасность и защита транспортного уровня

КонтрольРеализацияСтатус
TLSTLS 1.3 с AES-256-GCM через AzureПодтверждено
WAFAzure Front Door WAF (режим предотвращения)Активно
HSTSmax-age 2 года с предварительной загрузкойПодтверждено
Только HTTPSПринудительно на уровне App ServiceПодтверждено
Брандмауэр БДТолько Azure + список разрешённых IP администраторовПодтверждено

Аутентификация и управление доступом

КонтрольРеализацияСтатус
Политика паролей8+ символов: верхний, нижний регистр, цифра, спецсимволПрименяется
Проверка утечекHIBP k-anonymity проверка при регистрации / смене пароляАктивно
MFATOTP (Google/Microsoft Authenticator)Доступно
SSO/SAMLSAML 2.0 (Azure AD, Okta, Google Workspace)Активно
Перебор паролей5 попыток, блокировка на 15 мин (429)Активно
JWT токеныДоступ — 1 час, обновление — 7 днейАктивно
RBAC8 ролей с контролем доступа на уровне маршрутовАктивно
Изоляция арендаторовКаждый запрос фильтруется по tenant_idПодтверждено

Защита данных

КонтрольРеализацияСтатус
Шифрование в состоянии покояAzure PostgreSQL AES-256Активно
Шифрование при передачеTLS 1.3Активно
Хеширование паролейbcrypt (12 раундов)Активно
Параметризованный SQL154 запроса, 0 конкатенацийПодтверждено
СекретыAzure Key VaultАктивно
Журнал аудитаТолько добавление записей, соответствие ALCOA+Активно

Политика безопасности контента (CSP)

Строгая CSP с одноразовыми nonce-токенами для каждого запроса к скриптам (без unsafe-inline). Полный набор заголовков безопасности в каждом ответе: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Тестирование и валидация

Независимое тестирование на проникновение 17–18 апреля 2026 г. (10 категорий OWASP, 36 векторов атак): 0 уязвимостей.Функциональное тестирование безопасности 11 апреля 2026 г.: более 1 890 API-вызовов по 270 заявкам: 0 ошибок.Ежегодный сторонний пентест запланирован; аудит SOC 2 Type II в процессе.

Соответствие требованиям

  • EU GMP Annex 11 — Целостность данных (ALCOA+), журнал аудита только для добавления, электронные записи, контроль доступа, валидация
  • 21 CFR Part 11 — Электронные записи, журнал аудита, атрибуция, цепочка хранения пломб
  • GDPR — Переносимость данных (JSON + CSV), рабочий процесс DSAR, отслеживание согласий, хранение только в ЕС/ЕЭЗ
  • SOC 2 Type II — Аудит в процессе

Документы и шаблоны

Ответственное раскрытие уязвимостей

Мы приветствуем сообщения от исследователей безопасности. Отправьте письмо на адрес admin@yardtwin.comс описанием обнаруженной проблемы и шагами для её воспроизведения. Мы подтверждаем получение в течение 2 рабочих дней и стремимся устранить критические уязвимости в течение 7 дней. Просим не раскрывать уязвимости публично до того, как мы получим возможность их устранить.

Последнее обновление: апрель 2026 г. · yardtwin.com

Здравствуйте! Начните бесплатный пробный период за 2 минуты — я помогу всё настроить!