Bezbednosno obaveštenje CypSec - Suverena obaveštajna služba za sajber odbranu

Kompanija Atestacija Karijera

Kontakt

Pregled bezbednosti

CypSec održava sveobuhvatan bezbednosni program koji integriše kriptografske kontrole, mere operativne bezbednosti i aktivnosti kontinuiranog osiguranja. Naš odbrambeni stav projektovan je da zaštiti osetljive podatke klijenata i operativni integritet u svim modelima primene, od okruženja sa fizičkom izolacijom za poverljive informacije do infrastrukture suverenog oblaka.

Suvereni stav

Infrastruktura pod kontrolom klijenta sa jurisdikcijskom rezidencijom podataka i nultom zavisnošću od stranih organa vlasti.

Odgovorno otkrivanje

Aktivan program prijavljivanja ranjivosti sa blagovremenim potvrđivanjem i odgovarajućim priznanjem.

Operativna transparentnost

Nezavisna validacija, sveobuhvatni revizijski tragovi i dokumentacija o usklađenosti sa propisima.

Odgovorno otkrivanje

CypSec održava aktivan program otkrivanja ranjivosti, dočekujući bezbednosne istraživače, penetracione testere i etičke hakere da identifikuju i prijave bezbednosne slabosti u našoj infrastrukturi, proizvodima i uslugama. Obavezujemo se na blagovremeno potvrđivanje, transparentnu komunikaciju i odgovarajuće priznanje za odgovorna otkrivanja.

U okviru programa

Sve domene koje upravlja CypSec, API-ji, klijentski portali, javno dostupna infrastruktura i licencirani softverski proizvodi. Testiranje je dozvoljeno samo protiv sredstava koja su izričito navedena u dokumentaciji o opsegu dostavljenoj prilikom registracije.

Van okvira programa

Testiranje fizičke bezbednosti, socijalno inženjerstvo protiv osoblja CypSec, napadi uskraćivanja usluge bez izričite pismene autorizacije, kao i testiranje klijentskih okruženja ili infrastrukture partnera.

Podnesite izveštaj

Izveštaji dostavljeni našem bezbednosnom timu dobijaju početni odgovor u roku od 24 sata i procenu trijaže u roku od 72 sata. Pružamo javno priznanje u našoj Bezbednosnoj dvorani slavnih, novčane nagrade za kritične nalaze i prioritetni pristup programima obuke CypSec Akademije.

security@cypsec.de

PGP ključ dostupan na zahtev nakon autentikacije. Vremena odgovora ne uključuju vikende i evropske državne praznike.

Bezbednosna arhitektura

Naš odbrambeni stav integriše automatizovani monitoring, kriptografske kontrole i izolaciju suverene infrastrukture kako bi zaštitio podatke klijenata i operativni integritet u svim modelima primene.

Kriptografski standardi

Postkvantno otporni algoritmi (CRYSTALS-Dilithium, FALCON), AES-256-GCM za podatke u mirovanju, TLS 1.3 za podatke u tranzitu, i upravljanje ključevima hardverskim bezbednosnim modulom (HSM) sa FIPS 140-3 Level 4 sertifikacijom.

Infrastrukturna izolacija

Opcije primene sa fizičkom izolacijom, rezidencija u suverenom oblaku sa jurisdikcijskim kontrolama podataka, i segmentacija mreže zasnovana na principu nultog poverenja koja eliminiše implicitno poverenje na svim sistemskim granicama.

Kontrole pristupa

Višefaktorska autentikacija obavezna za sve administrativne interfejse, kontrola pristupa zasnovana na ulogama sa principom najmanjih privilegija, i kontinuirani monitoring sesija sa detekcijom ponašajnih anomalija.

Operativna bezbednost

Kontinuirane odbrambene operacije koje osiguravaju detekciju pretnji, reagovanje na incidente i otpornost protiv naprednih upornih pretnji koje ciljaju sektore državne uprave i kritične infrastrukture.

Obaveštajni podaci o pretnjama

Automatizovana OSINT kolekcija, monitoring dark veba za izlaganje akreditiva, i praćenje aktera pretnji specifičnih za sektor sa indikatorima kompromitacije deljenim u okviru klijentskih okruženja.

Aktivna odbrana

Raspoređena sredstva sajber dezinformacije uključujući honeypot-ove, honeytoken-e i mamcne usluge koje pružaju rano upozorenje o aktivnostima izviđanja i pokušajima bočnog kretanja.

Reagovanje na incidente

Centar za bezbednosne operacije (SOC) dostupan 24/7 sa slojevitim eskalacijama, automatizovanim protokolima sadržavanja i forenzičkim procedurama čuvanja koje održavaju lanac nadležnosti za pravne postupke.

Usklađenost i osiguranje

Nezavisna validacija bezbednosnih kontrola kroz priznate okvire i potvrde trećih strana pogodne za regulatorna podnošenja i due diligence ugovornih obaveza.

Zaštita klijenata

Opšta uredba o zaštiti podataka EU GDPR

Direktiva o mrežnoj i informacionoj bezbednosti NIS2

NIST CSF i CIS kontrole Usklađeno

Procene

Eksterno penetraciono testiranje Godišnje

Interni crveni tim Kontinuirano

Kriptografska revizija Tromesečno

Izveštaji o procenama su generalno dostupni vladinim klijentima pod odgovarajućim ugovorima o poverljivosti. Revizijski tragovi i bezbednosna telemetrija dostupni su kroz suverene SOC kontrolne table sa punom jurisdikcijskom kontrolom.

Bezbednost lanca snabdevanja

U uskoj saradnji sa ASGAARD-om, CypSec vrši sveobuhvatne procene dobavljača i verifikacije integriteta softverskog lanca snabdevanja, sprečavajući kompromitovanje od strane trećih lica i njegov uticaj na infrastrukturu klijenta.

Provera dobavljača

Provera pozadine za sve osoblje sa administrativnim pristupom, bezbednosni upitnici za kritične dobavljače i ugovorni bezbednosni zahtevi sa pravima revizije.

Integritet softvera

Kriptografsko potpisivanje svih distribuiranih binarnih datoteka, verifikacija reproducibilnih izgradnji, održavanje softverskog računa materijala (SBOM) i skeniranje ranjivosti zavisnosti integrisano u CI/CD tokove rada.

Poreklo hardvera

Verifikacija lanca sigurnog podizanja sistema, atestacija hardverskog korena poverenja i ambalaža sa dokazima neovlašćenog otvaranja za uređaje sa primenom u fizički izolovanim okruženjima.

Kontakt i eskalacija

Bezbednosni upiti

security@cypsec.de

Odgovor u roku od 24 sata

Prijavljivanje incidenata

incident@cypsec.de

Dostupna neposredna eskalacija

Pravosudni organi

law.enforcement@cypsec.de

Potreban nalog ili sudski nalog

Sva bezbednosna komunikacija održava se pod strogim protokolima poverljivosti. Šifrovane predaje su prihvaćene i preporučene. Vremena odgovora ne uključuju vikende i evropske državne praznike. Neautentikovani ili nelegitimni zahtevi biće odbačeni.