CypSec Logo
CypSec

Уведомление о безопасности

Суверенная позиция безопасности, программы раскрытия уязвимостей и операционная прозрачность для клиентов из государственного сектора, обороны и критической инфраструктуры.

Обзор безопасности

CypSec поддерживает комплексную программу безопасности, интегрирующую криптографические средства контроля, операционные меры безопасности и непрерывные мероприятия по обеспечению гарантий. Наша оборонительная позиция разработана для защиты конфиденциальных данных клиентов и операционной целостности во всех моделях развертывания, от изолированных классифицированных сред до инфраструктуры суверенного облака.

Суверенная позиция

Инфраструктура под контролем клиента с юрисдикционным размещением данных и отсутствием зависимости от иностранных органов власти.

Ответственное раскрытие

Активная программа отчетности об уязвимостях с оперативным подтверждением и соответствующим признанием.

Операционная прозрачность

Независимая валидация, комплексные аудиторские следы и документация по обеспечению нормативного соответствия.

Ответственное раскрытие

CypSec поддерживает активную программу раскрытия уязвимостей, приветствуя исследователей в области безопасности, тестировщиков на проникновение и этичных хакеров для выявления и отчетности о слабых местах в безопасности нашей инфраструктуры, продуктов и услуг. Мы обязуемся обеспечивать оперативное подтверждение, прозрачное взаимодействие и соответствующее признание за ответственное раскрытие.

В области действия

Все домены, управляемые CypSec, API, клиентские порталы, общедоступная инфраструктура и лицензионные программные продукты. Тестирование разрешено только в отношении активов, явно перечисленных в документации по области действия, предоставляемой при регистрации.

Вне области действия

Тестирование физической безопасности, социальная инженерия в отношении персонала CypSec, атаки типа «отказ в обслуживании» без явного письменного разрешения, а также тестирование сред клиентов или инфраструктуры партнеров.

Отправить отчет

Отчеты, направляемые в нашу службу безопасности, получают первоначальный ответ в течение 24 часов и оценку приоритета в течение 72 часов. Мы обеспечиваем публичное признание в Зале славы безопасности, денежное вознаграждение за критические находки и приоритетный доступ к программам обучения Академии CypSec.

security@cypsec.de

Ключ PGP доступен по аутентифицированному запросу. Сроки ответа не включают выходные дни и европейские государственные праздники.

Архитектура безопасности

Наша оборонительная позиция интегрирует автоматизированный мониторинг, криптографические средства контроля и изоляцию суверенной инфраструктуры для защиты данных клиентов и операционной целостности во всех моделях развертывания.

Криптографические стандарты

Постквантовые устойчивые алгоритмы (CRYSTALS-Dilithium, FALCON), AES-256-GCM для данных в состоянии покоя, TLS 1.3 для данных в процессе передачи и управление ключами с использованием аппаратных модулей безопасности (HSM) с сертификацией FIPS 140-3 Level 4.

Изоляция инфраструктуры

Варианты изолированного развертывания, резидентность в суверенном облаке с юрисдикционным контролем данных и сегментация сети на основе модели нулевого доверия, устраняющая неявное доверие на всех границах системы.

Контроль доступа

Многофакторная аутентификация обязательна для всех административных интерфейсов, управление доступом на основе ролей с принципом минимальных привилегий и непрерывный мониторинг сеансов с выявлением поведенческих аномалий.

Операционная безопасность

Непрерывные оборонительные операции, обеспечивающие обнаружение угроз, реагирование на инциденты и устойчивость к сложным устойчивым угрозам, направленным на государственный сектор и сектор критической инфраструктуры.

Разведка об угрозах

Автоматизированный сбор OSINT, мониторинг даркнета на предмет утечки учетных данных и отслеживание угроз, специфичных для отрасли, с индикаторами компрометации, передаваемыми в среды клиентов.

Активная оборона

Развернутые средства киберобмана, включая honeypot, honeytoken и приманочные сервисы, обеспечивающие раннее предупреждение о разведывательной деятельности и попытках бокового перемещения.

Реагирование на инциденты

Центр управления безопасностью (SOC) с круглосуточным режимом работы, многоуровневое эскалирование, автоматизированные протоколы сдерживания и процедуры судебного сохранения с поддержанием цепочки хранения для судебных разбирательств.

Соответствие нормативным требованиям и гарантии

Независимая валидация средств контроля безопасности через признанные рамки и стороннюю аттестацию, пригодную для нормативных представлений и деловой проверки.

Защита клиентов

Общий регламент по защите данных ЕС GDPR
Директива о сетевой и информационной безопасности NIS2
NIST CSF и CIS Controls Соответствует

Оценки

Внешнее тестирование на проникновение Ежегодно
Внутренняя красная команда Непрерывно
Криптографический аудит Ежеквартально

Отчеты об оценках, как правило, доступны государственным клиентам при наличии соответствующих соглашений о неразглашении. Аудиторские следы и данные телеметрии безопасности доступны через суверенные панели управления SOC с полным юрисдикционным контролем.

Безопасность цепочки поставок

В рамках тесного стратегического партнёрства с ASGAARD компания CypSec осуществляет комплексную оценку поставщиков и процедуры верификации целостности программного обеспечения в цепочке поставок, обеспечивая предотвращение компрометации со стороны третьих лиц и защиту инфраструктуры клиента от соответствующих воздействий.

Проверка поставщиков

Проверка персонала для всех лиц с административным доступом, опросники по безопасности для критически важных поставщиков и договорные требования по безопасности с правами аудита.

Целостность программного обеспечения

Криптографическая подпись всех распространяемых бинарных файлов, верификация воспроизводимых сборок, ведение перечня материалов программного обеспечения (SBOM) и сканирование уязвимостей зависимостей, интегрированное в CI/CD-конвейеры.

Происхождение оборудования

Верификация цепочки безопасной загрузки, аттестация аппаратного корня доверия и упаковка с индикаторами вскрытия для устройств изолированного развертывания.

Контакты и эскалация

Запросы по безопасности

security@cypsec.de

Ответ в течение 24 часов

Отчетность об инцидентах

incident@cypsec.de

Немедленная эскалация доступна

Правоохранительные органы

law.enforcement@cypsec.de

Требуется ордер или судебное решение

Все коммуникации по вопросам безопасности ведутся в рамках строгих протоколов конфиденциальности. Шифрованные отправления принимаются и приветствуются. Сроки ответа не включают выходные дни и европейские государственные праздники. Неаутентифицированные или недобросовестные запросы будут отклонены.