CypSec Logo
CypSec

Biztonsági Közlemény

Szuverén biztonsági helyzet, sebezhetőség-nyilvánosságra hozatali programok és működési átláthatóság kormányzati, védelmi és kritikus infrastrukturális ügyfelek számára.

Biztonsági Áttekintés

A CypSec átfogó biztonsági programot tart fenn, amely kriptográfiai ellenőrzéseket, működési biztonsági intézkedéseket és folyamatos biztosítási tevékenységeket integrál. Védelmi helyzetünk az érzékeny ügyféladatok és a működési integritás védelmére szolgál minden telepítési modellben, a leválasztott minősített környezetektől a szuverén felhőinfrastruktúráig.

Szuverén Helyzet

Ügyfél által ellenőrzött infrastruktúra joghatósági adattartózkodással és nulla külföldi hatósági függőséggel.

Felelősségteljes Nyilvánosságra Hozatal

Aktív sebezhetőség-bejelentési program időben történő visszaigazolással és megfelelő elismeréssel.

Működési Átláthatóság

Független validáció, átfogó auditnyomvonalak és szabályozási megfelelési dokumentáció.

Felelősségteljes Nyilvánosságra Hozatal

A CypSec aktív sebezhetőség-nyilvánosságra hozatali programot tart fenn, amelyben biztonsági kutatókat, behatolásvizsgálókat és etikus hackereket üdvözölünk, hogy azonosítsák és bejelentsék infrastruktúránk, termékeink és szolgáltatásaink biztonsági gyengeségeit. Vállaljuk az időben történő visszaigazolást, az átlátható kommunikációt és a felelősségteljes nyilvánosságra hozatalok megfelelő elismerését.

Hatály

Minden CypSec által üzemeltetett domain, API, ügyfélkapu, nyilvánosan elérhető infrastruktúra és licencelt szoftvertermék. A vizsgálat kizárólag a regisztrációkor biztosított hatálydokumentációban kifejezetten felsorolt eszközökkel szemben engedélyezett.

Hatályon Kívül

Fizikai biztonsági vizsgálat, a CypSec személyzete elleni szociális mérnöki tevékenység, kifejezett írásos engedély nélküli szolgáltatásmegtagadási támadások, valamint ügyfélkörnyezetek vagy partnerinfrastruktúra vizsgálata.

Jelentés Benyújtása

A biztonsági csapatunkhoz benyújtott jelentések 24 órán belüli kezdeti választ és 72 órán belüli triázs értékelést kapnak. Nyilvános elismerést biztosítunk Biztonsági Dicsőségcsarnokunkban, pénzügyi jutalmat kritikus megállapításokért, valamint prioritásos hozzáférést a CypSec Akadémia képzési programjaihoz.

security@cypsec.de

PGP kulcs hitelesített kérésre elérhető. A válaszadási idők nem tartalmazzák a hétvégéket és az európai munkaszüneti napokat.

Biztonsági Architektúra

Védelmi helyzetünk automatizált megfigyelést, kriptográfiai ellenőrzéseket és szuverén infrastrukturális elkülönítést integrál az ügyféladatok és a működési integritás védelmére minden telepítési modellben.

Kriptográfiai Szabványok

Poszt-kvantum ellenálló algoritmusok (CRYSTALS-Dilithium, FALCON), AES-256-GCM nyugalmi adatokhoz, TLS 1.3 adatátvitelhez, valamint hardveres biztonsági modul (HSM) kulcskezelés FIPS 140-3 Level 4 tanúsítvánnyal.

Infrastrukturális Elkülönítés

Leválasztott telepítési lehetőségek, szuverén felhő-tartózkodás joghatósági adatellenőrzésekkel és nulla-bizalmi hálózati szegmentálás, amely megszünteti a hallgatólagos bizalmat minden rendszerhatáron.

Hozzáférési Ellenőrzések

Többfaktoros hitelesítés kötelező minden adminisztratív felülethez, szerepalapú hozzáférés-ellenőrzés a legkisebb jogosultság elvével, valamint folyamatos munkamenet-figyelés viselkedési anomália észleléssel.

Működési Biztonság

Folyamatos védelmi műveletek a fenyegetésészlelés, incidensválaszadás és reziliencia biztosítására a kormányzati és kritikus infrastrukturális szektorokat célzó fejlett fenntartott fenyegetésekkel szemben.

Fenyegetési Hírszerzés

Automatizált OSINT gyűjtés, dark web figyelés hitelesítő adatok kiszivárgására, valamint szektor-specifikus fenyegetési szereplők nyomon követése kompromisszumindikátorokkal, amelyeket megosztunk az ügyfélkörnyezetek között.

Aktív Védelem

Telepített kibercsalódási eszközök, beleértve a csapdahálózatokat, csapdajeleket és csaló szolgáltatásokat, amelyek korai figyelmeztetést nyújtanak a felderítési tevékenységről és a oldalirányú mozgási kísérletekről.

Incidensválaszadás

24/7 biztonsági műveleti központ (SOC) szintezett eszkalációval, automatizált elszigetelési protokollokkal és bizonyítékmegőrzési eljárásokkal, amelyek fenntartják a láncolatot jogi eljárásokhoz.

Megfelelés és Biztosítás

A biztonsági ellenőrzések független validálása elismert keretrendszereken és harmadik fél általi igazoláson keresztül, amelyek megfelelnek szabályozási benyújtásokhoz és szerződéses due diligence-hez.

Ügyfélvédelem

Általános Adatvédelmi Rendelet EU GDPR
Hálózati és Információbiztonsági Irányelv NIS2
NIST CSF és CIS Ellenőrzések Összehangolt

Értékelések

Külső Behatolásvizsgálat Éves
Belső Red Team Folyamatos
Kriptográfiai Audit Negyedéves

Az értékelési jelentések általában megfelelő titoktartási megállapodások mellett állnak rendelkezésre kormányzati ügyfelek számára. Az auditnyomvonalak és biztonsági telemetria szuverén SOC irányítópultokon keresztül érhetők el teljes joghatósági ellenőrzéssel.

Ellátási Lánc Biztonság

Az ASGAARD-dal folytatott szoros együttműködés keretében a CypSec átfogó beszállítói értékeléseket és szoftverellátási lánc integritásának ellenőrzését végzi, megelőzve, hogy harmadik felek kompromittálása érintse az ügyfél környezeteit.

Beszállítói Ellenőrzés

Háttérellenőrzés minden adminisztratív hozzáféréssel rendelkező személyzet számára, biztonsági kérdőívek kritikus beszállítóknak, valamint szerződéses biztonsági követelmények auditjogokkal.

Szoftverintegritás

Minden terjesztett bináris kriptográfiai aláírása, reprodukálható build ellenőrzés, szoftveranyagjegyzék (SBOM) karbantartás, valamint függőségi sebezhetőség-ellenőrzés integrálva a CI/CD folyamatokba.

Hardvereredet

Biztonságos rendszerindítási lánc ellenőrzés, hardveres bizalmi gyökér igazolás, valamint manipuláció-érzékeny csomagolás leválasztott telepítési eszközökhöz.

Kapcsolat és Eszkaláció

Biztonsági Érdeklődések

security@cypsec.de

Válasz 24 órán belül

Incidens Bejelentése

incident@cypsec.de

Azonnali eszkaláció elérhető

Rendvédelem

law.enforcement@cypsec.de

Parancs vagy bírósági végzés szükséges

Minden biztonsági kommunikációt szigorú titoktartási protokollok alatt tartanak fenn. Titkosított benyújtások elfogadottak és ösztönzöttek. A válaszadási idők nem tartalmazzák a hétvégéket és az európai munkaszüneti napokat. Nem hitelesített vagy jogtalan kérelmeket elutasítanak.