AETHER
Gauti auditą

Saugumo politika

Paskutinį kartą atnaujinta: 2026 m. balandžio 19 d.

AETHER yra kibernetinio saugumo platforma — todėl jos pačios saugumas yra mūsų prioritetas. Šioje politikoje aprašome:

  1. Kaip apsaugome jūsų duomenis
  2. Kaip pranešti apie rastus pažeidžiamumus (responsible disclosure)

1. Technologinės apsaugos priemonės

  • TLS 1.2+ visiem ryšiams · HSTS preload · OCSP stapling
  • Row-level security kiekvienoje DB lentelėje (Supabase PostgreSQL)
  • Slaptažodžių hash'avimas — bcrypt per Supabase Auth (PBKDF2-alike pattern)
  • Cookies: HttpOnly + Secure + SameSite=Lax
  • Rate limiting auth + API endpoint'ams (Upstash Redis)
  • Content Security Policy (CSP) frame-ancestors: none, script-src strict
  • Klaidos stebėjimas Sentry — su PII redakcija (niekada kliento duomenų)
  • Backups: Supabase daily automatiniai + savaitinis dump į Backblaze B2 (ES)

2. Organizacinės priemonės

  • Prieigos valdymas — tik įkūrėjas turi admin prieigą produkcijai; jokių CI/CD bot'ų su write teisėmis
  • Audit log'ai — kiekvienas admin veiksmas (peržiūra, patvirtinimas, siuntimas) logojamas į audit_actions lentelę
  • Mokymai — įkūrėjas reguliariai stebi OWASP Top 10 ir Anthropic AI saugumo guidelines
  • Tiekėjų atitiktis — Supabase, Anthropic, Resend, Hetzner visi turi SOC 2 ar ISO 27001 sertifikatus

3. AI saugumas

  • Niekada nesiunčiame į Anthropic API slaptažodžių, API raktų, PII duomenų
  • Anthropic pagal sutartį nenaudoja mūsų duomenų modelio mokymui
  • Kiekviena AI sugeneruota rekomendacija privaloma žmogaus peržiūra prieš siunčiant klientui (ES AI Act 2024/1689 Art. 50)
  • Prompt injection mitigacija: sistema prompt'ai cache'uoti, user input sanitize'intas

4. Techninio skenavimo saugumas

Kai klientas pasirinko techninį skenavimą, užtikriname:

  • Dvigubas authorization check — Next.js + scanner-service kiekvienas nepriklausomai patikrina, kad klientas patvirtino taikinį
  • Privatūs tinklai blokuojami — jokio RFC 1918, loopback, AWS IMDS (169.254.169.254), IPv6 link-local skenavimo
  • DNS rebinding apsauga — domenai resolve'inami ir patikrinami prieš skenavimą
  • Rate limit — 1 rps per taikinį, max 5 paraleliūs skenavimai
  • Jokio eksploitavimo — nuclei tik info,low,medium severity, exploit,intrusive,dos,fuzz tags išjungti

5. Responsible Disclosure

Jei radote pažeidžiamumą AETHER platformoje arba scanner'yje:

  1. Praneškite mums per security@azorasec.lt
  2. Aprašykite žingsnius, kaip atkurti problemą, ir galimą poveikį
  3. Palaukite 90 dienų prieš viešinant — suteiksime laiko pataisyti
  4. Jokio DoS, duomenų eksfiltravimo ar kitų klientų duomenų prieigos bandymų

Atsakysime per 3 darbo dienas. Kritinius pažeidžiamumus taisome per 72 valandas.

Apdovanojimai

MVP metu neturime oficialios bug bounty programos, bet:

  • Padėka (jūsų vardas į /aciu puslapį, jei norite)
  • Reikšmingus radinius — kompensuojame protingai (susitariama individualiai, pradedant nuo 100 EUR)
  • Pilnos bug bounty programos planuojame Q3 2026

6. security.txt

Pagal RFC 9116, mūsų kontaktai struktūruoti /.well-known/security.txt faile.

7. Incidentų pranešimas

Incidento atveju, kurį galime paveikti klientams, pranešame per:

  • El. paštu visiem aktyviem klientam per 24 val.
  • Banner'iu dashboard'e su nuoroda į detalią post-mortem analizę per 72 val.
  • NKSC pranešimas per 24+72 val. (pagal KSĮ reikalavimus), jei incidentas laikomas „dideliu"