Pereiti prie pagrindinio turinio
AETHER
Gauti auditą

Saugumo politika

Paskutinį kartą atnaujinta:

AETHER yra kibernetinio saugumo platforma — todėl jos pačios saugumas yra mūsų prioritetas. Šioje politikoje aprašome:

  1. Kaip apsaugome jūsų duomenis
  2. Kaip pranešti apie rastus pažeidžiamumus (responsible disclosure)

1. Technologinės apsaugos priemonės

  • TLS 1.2+ visiem ryšiams · HSTS preload · OCSP stapling
  • Row-level security kiekvienoje DB lentelėje (Supabase PostgreSQL)
  • Slaptažodžių hash'avimas — bcrypt per Supabase Auth (PBKDF2-alike pattern)
  • Cookies: HttpOnly + Secure + SameSite=Lax
  • Rate limiting auth + API endpoint'ams (Upstash Redis)
  • Content Security Policy (CSP) frame-ancestors: none, script-src strict
  • Klaidos stebėjimas Sentry — su PII redakcija (niekada kliento duomenų)
  • Backups: Supabase daily automatiniai + savaitinis dump į Backblaze B2 (ES)

2. Organizacinės priemonės

  • Prieigos valdymas — tik įkūrėjas turi admin prieigą produkcijai; jokių CI/CD bot'ų su write teisėmis
  • Audit log'ai — kiekvienas admin veiksmas (peržiūra, patvirtinimas, siuntimas) logojamas į audit_actions lentelę
  • Mokymai — įkūrėjas reguliariai stebi OWASP Top 10 ir Anthropic AI saugumo guidelines
  • Tiekėjų atitiktis — Supabase, Anthropic, Resend, Hetzner visi turi SOC 2 ar ISO 27001 sertifikatus

3. AI saugumas

  • Niekada nesiunčiame į Anthropic API slaptažodžių, API raktų, PII duomenų
  • Anthropic pagal sutartį nenaudoja mūsų duomenų modelio mokymui
  • Kiekviena AI sugeneruota rekomendacija privaloma žmogaus peržiūra prieš siunčiant klientui (ES AI Act 2024/1689 Art. 50)
  • Prompt injection mitigacija: sistema prompt'ai cache'uoti, user input sanitize'intas

4. Techninio skenavimo saugumas

Kai klientas pasirinko techninį skenavimą, užtikriname:

  • Dvigubas authorization check — Next.js + scanner-service kiekvienas nepriklausomai patikrina, kad klientas patvirtino taikinį
  • Privatūs tinklai blokuojami — jokio RFC 1918, loopback, AWS IMDS (169.254.169.254), IPv6 link-local skenavimo
  • DNS rebinding apsauga — domenai resolve'inami ir patikrinami prieš skenavimą
  • Rate limit — 1 rps per taikinį, max 5 paraleliūs skenavimai
  • Jokio eksploitavimo — nuclei tik info,low,medium severity, exploit,intrusive,dos,fuzz tags išjungti

5. Responsible Disclosure

Jei radote pažeidžiamumą AETHER platformoje arba scanner'yje:

  1. Praneškite mums per security@azorasec.lt
  2. Aprašykite žingsnius, kaip atkurti problemą, ir galimą poveikį
  3. Palaukite 90 dienų prieš viešinant — suteiksime laiko pataisyti
  4. Jokio DoS, duomenų eksfiltravimo ar kitų klientų duomenų prieigos bandymų

Atsakysime per 3 darbo dienas. Kritinius pažeidžiamumus taisome per 72 valandas.

Apdovanojimai

MVP metu neturime oficialios bug bounty programos, bet:

  • Padėka (jūsų vardas į /aciu puslapį, jei norite)
  • Reikšmingus radinius — kompensuojame protingai (susitariama individualiai, pradedant nuo 100 EUR)
  • Pilnos bug bounty programos planuojame Q3 2026

6. security.txt

Pagal RFC 9116, mūsų kontaktai struktūruoti /.well-known/security.txt faile.

7. Incidentų valdymas (NIS2 23 str. analogija)

Saugumo incidentų valdymo procesas atitinka NIS2 Direktyvos 2022/2555 23 str. ir LR Kibernetinio saugumo įstatymo (KSĮ) reikalavimus, taip pat BDAR 33+34 str. duomenų pažeidimo pranešimo timeline'ą:

EtapasTerminasAdresatasTurinys
Ankstyvas perspėjimas24 val. nuo aptikimoNKSC + paveiktas klientasĮtarimas, ar incidentas piktavališkas / tarpvalstybinis
Pirminis pranešimas72 val. nuo aptikimoNKSC, VDAI (jei PII), klientasPradinis vertinimas, paveiktos sistemos, mitigacijos žingsniai
Tarpinė ataskaitaPagal poreikįNKSC + paveiktas klientasStatus update, jei incidentas tęsiasi
Galutinė ataskaita30 d. nuo aptikimoNKSC + visi paveikti klientaiDetali analizė, post-mortem, prevenciniai veiksmai

7.1. Pranešimo kanalai

  • Klientams: el. paštu visiem aktyviem klientam + banner'iu dashboard'e
  • NKSC: nksc.lt / cert.lt (CERT.LT) jei incidentas „didelis" pagal KSĮ
  • VDAI: vdai.lrv.lt jei pažeisti asmens duomenys (BDAR 33 str.)
  • Vidaus kanalas: security@azorasec.lt

7.2. Detekcija

  • Postgres triggers — automatinis anomalijų detekcija RLS violation'uose
  • SSH watcher bot — failed login monitoring per Telegram alert
  • Sentry — exception tracking + error rate threshold alerts
  • Manual review — kasdienis admin audit log peržiūra

7.3. Incident Response runbook (viešas excerpt'as)

Viešas excerpt'as iš mūsų vidaus IR runbook'o — pilnas variantas (privatūs tel. numeriai, įgaliotinių contact'ai, secret rotation procedūros) saugomas vidaus dokumentacijoje. Šis excerpt'as skirtas klientams, procurement teams ir audit'oriams, kad matytų operacijos struktūrą.

Eskalacijos matrica

SunkumasKriterijusSLA atsakymuiPirminis atsakingas
P0 — CriticalAktyvus duomenų pažeidimas, full system outage, RCE / Auth bypass eksploatavimas15 minFounder + advisor backup
P1 — HighPartial outage, suspected unauthorized access (be confirmed pažeidimo), DDoS1 val.Founder
P2 — MediumPerformance degradation, single-user issue, delayed jobs4 val. (verslo dienomis)Founder
P3 — LowVisual bugs, minor data inconsistency, cosmetic issuesKita verslo dienaFounder

Aukšto lygio response procesas (P0/P1)

  1. Detect (T+0): Telegram alert nuo Postgres trigger / SSH watcher / Sentry / klientai
  2. Acknowledge (T+15 min): on-call atsakomas Telegram'e su "ACK + investigation started"
  3. Triage (T+30 min): preliminarus paveiktų sistemų identifikavimas, severity klasifikacija
  4. Contain (T+1-4 val.): isolate paveikti komponentai, revoke compromised credentials, enable enhanced logging
  5. Eradicate (T+4-24 val.): remove root cause, deploy patch, verify fix
  6. Recover (T+12-72 val.): restore normal operations, confirm no residual compromise
  7. Post-mortem (T+7 d.): blameless review, root cause analysis, prevention plan

Komunikacijos template (paveiktiems klientams)

Aukšto lygio struktūra el. paštui ir dashboard banner'iui:

Tema: AETHER incidento pranešimas — [Severity P0/P1] — [Trumpa antraštė]

Sveiki,

Pranešame apie [data + laikas] aptiktą incidentą AETHER platformoje:

1. Incidentas: [trumpas neutralus aprašymas]
2. Paveiktos sistemos: [konkretūs komponentai]
3. Paveikti duomenys: [ar PII paliesta? jei taip — kokia kategorija]
4. Status: [investigating / contained / resolved]
5. Veiksmai, kurių jūs galite imtis: [pvz. password reset rekomendacija]
6. Kada kitą atnaujinimą gausite: [konkretus laikas]

Pilna post-mortem ataskaita pateikiama per 30 d.

Klausimams: security@azorasec.lt
NIS2 / KSĮ pranešimo statusas: [pateikta / planuojama / netaikoma]
BDAR 33+34 statusas: [VDAI pateikta / netaikoma]

Pagarba,
Azora Lab — AETHER security team

External notification channels

  • Klientai: el. paštas + dashboard banner per 24 val. (P0/P1) arba 72 val. (P2)
  • NKSC / CERT.LT: per 24 val. (early warning) + 72 val. (primary report) jei "didelis" pagal KSĮ — žr. §7 timeline
  • VDAI: per 72 val. jei pažeisti asmens duomenys (BDAR 33 str.) per vdai.lrv.lt
  • Sub-procesoriai: pranešama per kiekvieno DPA numatytą kanalą (paprastai support / security el. paštas)
  • Acknowledgments: research'eriai radę pažeidimą gauna padėką į /aciu (jei norima)

Pilną runbook'o versiją (su privačiais kontaktais + secret rotation procedūromis) galite gauti pasirašant NDA per security@azorasec.lt.