Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Безпека в YARDtwin

Як ми захищаємо дані клієнтів, забезпечуємо доступність платформи та дотримуємося вимог EU GMP Annex 11, 21 CFR Part 11 і GDPR.

Оцінка 4.8/5.00 знахідок пентестуЗберігання даних у ЄС/ЄЕЗВідповідність GDPR

Платформа та хостинг

YARDtwin працює на Microsoft Azure з обчислювальними ресурсами в регіоні Norway East та сховищем даних, реєстром і секретами в Sweden Central. Усі дані клієнтів зберігаються в межах ЄС/ЄЕЗ відповідно до статей 44–49 GDPR.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, приватні контейнери
Azure Key Vault — Sweden Central, керування доступом через RBAC
Azure Front Door + WAF — режим запобігання
Log Analytics + Microsoft Sentinel — зберігання даних 90 днів

Мережева безпека та безпека транспортного рівня

Контроль	Реалізація	Статус
TLS	TLS 1.3 з AES-256-GCM через Azure	Перевірено
WAF	Azure Front Door WAF (режим запобігання)	Активний
HSTS	max-age 2 роки з попереднім завантаженням	Перевірено
Лише HTTPS	Примусово через App Service	Перевірено
Міжмережевий екран БД	Лише Azure + список дозволених IP-адрес адміністратора	Перевірено

Автентифікація та керування доступом

Контроль	Реалізація	Статус
Політика паролів	8+ символів, великі, малі літери, цифра, спецсимвол	Застосовується
Перевірка витоків	HIBP k-anonymity пошук під час реєстрації / зміни пароля	Активний
MFA	TOTP (Google/Microsoft Authenticator)	Доступний
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Активний
Грубий перебір	5 спроб, блокування на 15 хв (429)	Активний
JWT токени	Доступ на 1 годину, оновлення на 7 днів	Активний
RBAC	8 ролей із примусовим контролем на рівні маршрутів	Активний
Ізоляція клієнтів	Кожен запит фільтрується за tenant_id	Перевірено

Захист даних

Контроль	Реалізація	Статус
Шифрування у спокої	Azure PostgreSQL AES-256	Активний
Шифрування під час передачі	TLS 1.3	Активний
Хешування паролів	bcrypt (12 раундів)	Активний
Параметризовані SQL-запити	154 запити, 0 конкатенацій	Перевірено
Секрети	Azure Key Vault	Активний
Журнал аудиту	Лише дозапис, відповідність ALCOA+	Активний

Content Security Policy

Сувора CSP з одноразовими nonce для кожного запиту на скрипти (без unsafe-inline). Повний набір заголовків безпеки повертається у кожній відповіді: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Тестування та валідація

Незалежне тестування на проникнення 17–18 квітня 2026 р. (10 категорій OWASP, 36 навантажень): 0 вразливостей.Функціональне тестування безпеки 11 квітня 2026 р., що охопило понад 1 890 API-викликів у 270 призначеннях: 0 збоїв.Щорічний сторонній пентест заплановано; аудит SOC 2 Type II триває.

Відповідність вимогам

EU GMP Annex 11 — Цілісність даних (ALCOA+), журнал аудиту лише з дозаписом, електронні записи, контроль доступу, валідація
21 CFR Part 11 — Електронні записи, журнал аудиту, атрибуція, ланцюг зберігання печатки
GDPR — Портативність даних (JSON + CSV), робочий процес DSAR, відстеження згоди, зберігання виключно в ЄС/ЄЕЗ
SOC 2 Type II — Аудит триває

Документи та шаблони

Шаблон угоди про обробку даних (DPA) — для корпоративного розгляду та підписання
Політика GDPR
Політика конфіденційності
security.txt

Відповідальне розкриття інформації

Ми вітаємо повідомлення від дослідників безпеки. Надішліть листа на адресу admin@yardtwin.comз описом знахідки та кроками для відтворення. Ми підтверджуємо отримання протягом 2 робочих днів і прагнемо усувати критичні проблеми протягом 7 днів. Будь ласка, не розкривайте вразливості публічно до того, як ми матимемо можливість їх усунути.

Останнє оновлення: квітень 2026 р. · yardtwin.com

Вітаємо! Почніть безкоштовний пробний період за 2 хвилини — я допоможу все налаштувати!