Skip to main content
VaultPAM
00 Bezpieczeństwo

bezpieczne z założenia. każda sesja, każde poświadczenie, każdy bajt.

Dostęp zero-trust, szyfrowanie end-to-end i pełne ślady audytowe były wymaganiami nie do negocjacji — nie dodatkami po fakcie.

01 Zasady bezpieczeństwa

Siedem zasad rządzących każdą decyzją.

01

Dostęp zero-trust

Każda sesja jest uwierzytelniana i autoryzowana dla każdego żądania. Brak niejawnego zaufania wynikającego z lokalizacji sieciowej, roli czy wcześniejszej sesji.

02

Szyfrowanie end-to-end

Ruch sesji szyfrowany w tranzycie. Poświadczenia szyfrowane w spoczynku za pomocą AES-256-GCM. Klucze nigdy nie są przechowywane razem z danymi.

03

Domyślnie najmniejsze uprawnienia

Minimalny wymagany dostęp, wymuszany w czasie wykonania: sesje ograniczone czasowo, wstrzykiwanie poświadczeń just-in-time, automatyczne wygasanie.

04

Niezmienny ślad audytowy

Każde działanie uprzywilejowane rejestrowane w magazynie odpornym na manipulacje. Nagrania, zdarzenia dostępu i zmiany polityk nie mogą zostać zmienione.

05

Rezydencja danych w UE

Wszystkie dane, nagrania i magazyny znajdują się w GCP europe-central2 (Warszawa). Brak transferu poza UE.

06

Brak ekspozycji poświadczeń

Poświadczenia są wstrzykiwane na poziomie protokołu i nigdy nie są ujawniane łączącemu się użytkownikowi. Hasła pozostają wewnątrz proxy.

07

Ciągła gotowość do zgodności

Kontrole NIS2, RODO, SOC 2 i ISO 27001 odwzorowane na funkcje. Raporty generowane na żądanie, nie składane ręcznie.

02 Uwierzytelnianie i autoryzacja

MFA, SSO i dostęp oparty na rolach — bez podatku konfiguracyjnego.

MożliwośćMechanizmStandard
Uwierzytelnianie wieloskładnikoweTOTP, FIDO2/WebAuthn, SMS OTPRFC 6238 / FIDO2
Logowanie jednokrotne (SSO)SAML 2.0, OIDC / OAuth 2.0SAML 2.0 / OIDC
Kontrola dostępu oparta na rolachRole dzierżawcy, polityki sesji, ACL celuNIST RBAC
Poświadczenia just-in-timePobranie magazynu ograniczone czasowo, automatyczna rotacjaNIS2 Art. 21
Timeout sesjiBezczynność konfigurowalna dla każdej roli + maksymalny czas trwaniaSOC 2 CC6.1
03 Ochrona danych

Szyfrowanie i przechowywanie, które zaakceptuje twój dział prawny.

POŚWIADCZENIA NIGDY NIEWIDOCZNE DLA UŻYTKOWNIKA UŻYTKOWNIK VAULT PAM rdp-prod-01 ssh-bastion db-master ●●●●●●● ●●●●●●● ●●●●●●● WSTRZYKNIĘCIE SERWER BEZPOŚREDNI DOSTĘP ZABLOKOWANY VAULTPAM PRZEPŁYW POŚWIADCZEŃ RYS.02 AES-256-GCM · EU-WAW
Rys. 02 Poświadczenia są pobierane z zaszyfrowanego sejfu i wstrzykiwane na poziomie protokołu — łączący się użytkownik nigdy nie widzi hasła.
3.1

Magazyn poświadczeń

Szyfrowany w spoczynku za pomocą AES-256-GCM. Klucze magazynu przechowywane oddzielnie i automatycznie obracane. Klucze nigdy nie są rejestrowane.

3.2

Szyfrowanie w tranzycie

TLS 1.3 dla sesji przeglądarki. Ruch RDP, SSH i baz danych proxy przez szyfrowane tunele. Brak zwykłego tekstu na drucie.

3.3

Nagrywanie sesji

Przechowywane w GCS (europe-central2), szyfrowanie na poziomie obiektu. Dostęp do audytu kontrolowany oddzielnie od odtwarzania.

3.4

Rezydencja danych w UE

Wszystkie dane, kopie zapasowe i dzienniki znajdują się w GCP europe-central2 (Warszawa). Brak replikacji między regionami poza UE.

3.5

Kontrola przechowywania

Konfigurowalne przechowywanie z prawem do usunięcia RODO. Usuwanie jest rejestrowane i nieodwracalne.

3.6

Kopia zapasowa i odzyskiwanie

Codzienne automatyczne kopie zapasowe, odzyskiwanie do punktu w czasie. Szyfrowane w spoczynku i testowane co kwartał.

04 Model zagrożeń

STRIDE — weryfikowany przy każdym wydaniu.

ZagrożenieKontrolaStatus
FałszowanieMFA + powiązanie tokenu sesjiZŁAGODZONE
ManipulacjaNiezmienny dziennik audytu + sygnatury HMACZŁAGODZONE
ZaprzeczeniePełne nagrywanie sesji + podpisane zdarzenia audytuZŁAGODZONE
Ujawnienie informacjiAES-256-GCM w spoczynku, TLS 1.3 w tranzycie, brak ekspozycji poświadczeńZŁAGODZONE
Odmowa usługiOgraniczenie częstości, limity połączeń, WAF (ModSecurity)ZŁAGODZONE
Podniesienie uprawnieńRBAC, poświadczenia JIT z najmniejszymi uprawnieniami, izolacja dzierżawcyZŁAGODZONE
05 Rezydencja w UE

Twoje dane pozostają w UE. Zawsze.

NIE JEST OPCJĄ KONFIGURACJI UNIA EUROPEJSKA RESZTA ŚWIATA SESSION-REC CREDENTIALS AUDIT-LOGS ACCESS-EVENTS GCP EUROPE-CENTRAL2 WARSZAWA · EU-WAW REGION GŁÓWNY GRANICA UE · RODO ART. 44 SERWER W KRAJU TRZECIM TRANSFER ZABLOKOWANY VAULTPAM GRANICA REZYDENCJI DANYCH W UE RYS.03 GCP EU-WAW · RODO ART. 44
Rys. 03 Wszystkie dane, nagrania i poświadczenia kończą się w GCP europe-central2 (Warszawa). Transfer transgraniczny jest zablokowany architektonicznie — nie przez ustawienie.

VaultPAM działa wyłącznie na GCP europe-central2 (Warszawa). Żadne dane nie są transferowane ani replikowane poza UE — to twarde ograniczenie architektoniczne, nie ustawienie.

  • GCP europe-central2 (Warszawa) — region główny i jedyny
  • Brak replikacji między regionami poza UE
  • GDPR/RODO Art. 44 — brak transferów do krajów trzecich
  • Kontrola rezydencji NIS2 Art. 21 spełniona
  • Zakres SOC 2 Type II obejmuje infrastrukturę eu-central2