Skip to main content
VaultPAM
00 Zgodność

każdy mechanizm kontrolny pam wymagany przez nis2 art. 21. jedna platforma.

Nagrywanie sesji, sejf uprzywilejowany, MFA i dziennik audytu — zmapowane do NIS2 art. 21 od razu po instalacji. Twoje dane pozostają w Polsce.

Hostowany w UE · GCP Warszawa, Polska · SOC 2 Type II 2026 · Zgodny z NIS2 · natywny dla RODO

01 NIS2 Art. 21

NIS2 art. 21 — każdy mechanizm kontrolny PAM objęty.

VaultPAM projektowano od początku z myślą o NIS2. Bez ręcznego mapowania.

ArtykułWymógMechanizm VaultPAM
Art. 21(2)(a)Analiza ryzyka i polityki bezpieczeństwa systemów informatycznychŚcieżka audytu + nagrywanie sesji dla całego dostępu uprzywilejowanego. Raporty ryzyka do eksportu.
Art. 21(2)(b)Obsługa zdarzeń incydentowychAlerty w czasie rzeczywistym na podejrzane sesje uprzywilejowane. Pełna analiza sesji dla badania incydentów.
Art. 21(2)(e)Bezpieczeństwo przy akwizycji, rozwoju i utrzymaniu systemów sieciowych i informatycznych, w tym obsługa podatności i ujawnianieSBOM, SAST/SCA przy każdym wydaniu, test penetracyjny co roku. SLA patchy wymuszony w potoku CI.
Art. 21(2)(g)Uwierzytelnianie wielofaktorowe lub rozwiązania ciągłego uwierzytelnianiaTOTP, FIDO2/WebAuthn, SSO SAML 2.0 z wymuszeniem MFA na poziomie sesji.
Art. 21(2)(h)Zarządzanie dostępem uprzywilejowanym — bezpieczna komunikacja, komunikacja nadzwyczajnaPobranie poświadczeń just-in-time, sesje ograniczone czasowo, brak stałych uprawnień. Dostęp oparty na rolach z logiem audytu.
Art. 21(2)(i)Polityki i procedury dotyczące kryptografii i szyfrowaniaAES-256-GCM w stanie spoczynku, TLS 1.3 w tranzycie. Polityka rotacji kluczy wymuszana. Brak poświadczeń w czystym tekście przechowywanych.
Art. 21(2)(j)Bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzanie zasobamiRBAC z izolacją organizacji. Automatyczna dezaktywacja dostępu poprzez odwołanie sesji i rotację poświadczeń.
OKNO WYMUSZANIA PAŹ 2024 NIS2 W MOCY ✓ MINĘŁO STY 2025 TERMIN ZAŁĄCZNIKA I ✓ MINĘŁO PAŹ 2025 RAMPA WYMUSZANIA ✓ MINĘŁO DZIŚ JESTEŚ TUTAJ ⊙ TERAZ KWI 2027 PEŁNE WYMUSZANIE + GRZYWNY ~10 MIESIĘCY VAULTPAM HARMONOGRAM WYMUSZANIA NIS2 RYS.04 DYR. 2022/2555/EU
Rys. 04 Wymuszanie NIS2 nie jest zdarzeniem przyszłym — trzy kamienie milowe już minęły. Pełne wymuszanie i kary administracyjne zaczynają się w kwietniu 2027.
02 Łańcuch audytu

Integralność łańcucha skrótów — nienaruszalność wbudowana w projekt.

Każde zdarzenie dostępu jest uszczelnione kryptograficznym skrótem łączącym się z następnym. Zmiana dowolnego rekordu zrywa łańcuch — co sprawia, że ingerencja jest natychmiast wykrywalna.

Każde zdarzenie dostępu jest kryptograficznie powiązane z kolejnym — nienaruszalność wbudowana w projekt.

03 Zakres zgodności

Zakres ram zgodności na pierwszy rzut oka.

RamaZakres PAMStatus
NIS2Art. 21(2)(a)(b)(e)(g)(h)(i)(j) — wszystkie kontrole istotne dla PAMObjęte
GDPR / RODOArt. 5, 25, 32, 44 — ochrona danych z projektu, rezydencja w UE, kontrola dostępuObjęte
SOC 2 Type IICC6.1–CC6.3, CC7.2, CC9.2 — dostęp, bezpieczeństwo logiczne, zarządzanie zmianamiW audycie (2026)
ISO 27001A.9 (kontrola dostępu), A.12 (operacje), A.14 (bezpieczny rozwój)Plan 2026
DORAArt. 9 — bezpieczeństwo ICT, zarządzanie dostępem, rejestrowanie zdarzeńWyrównane
04 Kontrole SOC 2

SOC 2 Type II — dowody na poziomie mechanizmów kontrolnych.

Każde kryterium zaufania zmapowane do mechanizmu kontrolnego VaultPAM z eksportowalnym dowodem.

CC6.1

Kontrola dostępu logicznego

Dostęp oparty na rolach, wymuszenie MFA i powiązanie tokenu sesji implementowane we wszystkich powierzchniach VaultPAM.

CC6.2

Zarządzanie poświadczeniami

Przechowywanie haseł, pobranie just-in-time, automatyczna rotacja i brak stałych poświadczeń.

CC6.3

Aprowizacja dostępu

Aprowizacja zgodna z zasadą najmniejszych uprawnień, przepływy zatwierdzania, dostęp ograniczony czasowo i automatyczne odebranie dostępu.

CC7.2

Monitorowanie systemu

Monitorowanie sesji w czasie rzeczywistym, wykrywanie anomalii i niezmienne dzienniki audytu.

CC8.1

Zarządzanie zmianami

Wszystkie zmiany w infrastrukturze i aplikacjach wymagają przeglądu, automatycznych testów i udokumentowanej zgody przed wdrożeniem.

CC9.2

Mitygacja ryzyka

Oceny ryzyka dostawcy, zobowiązania SLA i roczne testy penetracyjne udokumentowane i śledzone do zamknięcia.

05 GDPR & rezydencja danych

Natywne dla RODO, hostowane w UE, audytowalne z założenia.

VaultPAM został zaprojektowany do zgodności z RODO od samego początku. Rezydencja danych w GCP europe-central2 (Warszawa) spełnia artykuł 44. Przepływy usuwania danych, minimalizacja danych i rejestry przetwarzania są wbudowane.

W przypadku żądań dokumentacji zgodności skontaktuj się z nami pod adresem contact@vaultpam.com.

  • Dane przechowywane wyłącznie w GCP europe-central2 (Warszawa)
  • Brak transferów poza UE (zgodne z GDPR art. 44)
  • Przepływ pracy do usunięcia dostępny w panelu administratora
  • Rejestry przetwarzania danych (art. 30) generowane na żądanie
  • Minimalizacja danych wymuszana — brak telemetrii dla usług trzecich