Przejdź do głównej zawartości

Bezpieczeństwo i zgodność

VaultPAM został zaprojektowany z myślą o środowiskach regulowanych. Skorzystaj z tej sekcji, gdy chcesz zrozumieć, w jaki sposób produkt wspiera mechanizmy kontroli bezpieczeństwa, gdzie przechowywane są dane oraz jak odpowiedzieć na kwestionariusz zgodności.

Postawa SOC 2

VaultPAM wspiera typowe rodziny mechanizmów kontroli poprzez:

  • MFA oraz wzmocnione (step-up) MFA dla wrażliwych działań
  • Nagrywanie sesji w celu zapewnienia rozliczalności użytkowników
  • Rejestrowanie audytu dla zdarzeń administracyjnych i dostępowych
  • Bramki zatwierdzeń dla sejfów wysokiego ryzyka
  • Izolację sieciową dzięki modelowi konektorów

Rezydencja danych

  • Bieżąca architektura referencyjna wykorzystuje region GCP eu-west1.
  • Dane najemcy są rozdzielone pomiędzy zakresowy dla najemcy PostgreSQL a magazyn obiektowy MinIO.
  • Metadane sesji, nagrania oraz dzienniki audytu pozostają powiązane z najemcą i są przechowywane zgodnie ze skonfigurowaną polityką.

Dostęp do audytu

  • Rekordy audytu można przeglądać w konsoli.
  • Dostępny jest eksport do formatu CSV na potrzeby dalszej analizy.
  • Retencja jest sterowana polityką i powinna odpowiadać Twoim wewnętrznym mechanizmom kontroli.

Szyfrowanie i obsługa poświadczeń

  • Ruch jest szyfrowany w tranzycie z użyciem TLS 1.3 lub nowszego.
  • Dane w spoczynku są chronione algorytmem AES-256 w warstwie magazynowania oraz kluczami zarządzanymi przez GCP.
  • Poświadczenia są wstrzykiwane w czasie sesji za pośrednictwem OpenBao i nie są ujawniane użytkownikom końcowym w postaci jawnej.

Zakres zgodności

VaultPAM ma na celu wspieranie zgodności z SOC 2 oraz ISO 27001. Obowiązki podmiotu przetwarzającego wynikające z RODO, kwestie eIDAS oraz NIS2 powinny zostać zweryfikowane względem ustawień Twojego wdrożenia oraz zobowiązań umownych.

Zgłoś podatność

Jeśli wykryłeś problem bezpieczeństwa w VaultPAM, zapoznaj się z naszą Polityką ujawniania podatności.

Potrzebujesz dowodów?

Skontaktuj się ze swoim kanałem wsparcia lub opieki nad klientem, aby uzyskać kwestionariusze zgodności, noty architektoniczne oraz pakiety dowodowe.