Vissza
QuoteForge

Információbiztonság

Utolsó frissítés: 2026-01-01

Biztonsági program áttekintése

A TeleCetli Kft. átfogó információbiztonsági programot üzemeltet a QuoteForge platform tekintetében. Kontrolljaink az OWASP Top 10-hez és a CASA (Cloud Application Security Assessment) Tier 2 kontrollcsaládokhoz vannak igazítva — alkalmazásbiztonság, API-biztonság és felhőkonfiguráció területén. Jelenleg a SOC 2 Type I megfelelőség elérésén dolgozunk.

  • Adatok titkosítása átvitel közben és tárolásban
  • Szerepkör-alapú hozzáférés-vezérlés és kötelező MFA minden munkavállalónak
  • Bérlői elkülönítés adatbázis-lekérdezési szinten
  • Éves harmadik felek által végzett penetrációs tesztelés
  • Folyamatos függőség-sebezhetőség vizsgálat
  • Incidensészlelési és -kezelési program

Titkosítás

In transit

Az ügyfelek és a QuoteForge-szolgáltatás közötti összes kommunikáció TLS 1.2 vagy újabb protokollt használ. Csak HTTPS-hozzáférést engedélyezünk; a HTTP-kérések HTTPS-re irányítódnak át. Az Azure Container Apps-környezeten belüli belső szolgáltatások közötti kommunikáció ahol elérhető, mTLS-t alkalmaz.

At rest

A tárolt adatok — beleértve a STEP-fájlokat, az árajánlat-adatokat és az adatbázis tartalmát — AES-256 titkosítással vannak védve az Azure-kezelt titkosítás segítségével. A STEP-fájlokat az Azure Blob Storage-ban tároljuk, kiszolgálóoldali titkosítással. A PostgreSQL adatbázis az Azure-kezelt átlátható adattitkosítást alkalmazza.

Key management

A titkosítási kulcsokat az Azure Key Vault kezeli CSI Driver-integrációval. Az alkalmazás-titkok (API-kulcsok, kapcsolati karakterláncok) az Azure Key Vaultban tárolódnak, és futásidőben kerülnek a tárolókba injektálásra — soha nem tárolódnak forráskódban vagy tárolóképekben.

Hozzáférés-vezérlés

Minden végfelhasználói hitelesítést a Keycloak végez (az auth.gridex.ai oldalon), amely OIDC/OAuth 2.0 folyamatokat támogat. A jelszavak PBKDF2-HMAC-SHA512 algoritmussal vannak kivonatolva (a Keycloak alapértelmezett hitelesítő-algoritmusa); soha nem látjuk vagy tároljuk a jelszavak szöveges változatát.

A QuoteForge alkalmazáson belül a bérlői adatokhoz való hozzáférést alkalmazásszintű RBAC érvényesíti. A felhasználók csak a saját bérlőjükhöz tartozó adatokat érhetik el; a bérlők közötti lekérdezések az EF Core lekérdezési szűrő szintjén meg vannak akadályozva (lásd alább a Bérlői elkülönítést).

Az éles rendszerekhez való munkavállalói hozzáférés feltételei: Keycloak-fiók kötelező MFA-val és egy második csapattag jóváhagyása. Minden adminisztratív tevékenység naplózva van.

A legkisebb jogosultság elvét követjük: minden szolgáltatásfiók és munkavállalói szerepkör csak az adott feladathoz szükséges engedélyekkel rendelkezik. A jogosultság-emeléshez kifejezett jóváhagyás szükséges.

Bérlői elkülönítés

A QuoteForge egy több-bérlős SaaS alkalmazás. A bérlői elkülönítés adatbázis szinten valósul meg az EF Core globális lekérdezési szűrők segítségével: a bérlői hatókörű táblákra (árajánlatok, ügyfelek, STEP-fájlok, költségsorok stb.) irányuló minden lekérdezés automatikusan szűrődik a hitelesített felhasználó tenant_id-je alapján. Ezt a szűrőt az ApplicationDbContext alkalmazza, és az alkalmazáskód nem tudja megkerülni. Technikailag nincs olyan mechanizmus, amellyel az egyik bérlő hozzáférhetne egy másik bérlő adataihoz. A bérlői elkülönítést éves penetrációs tesztelési hatókörünkben ellenőrizzük.

Adatfeldolgozók minősítése

Átvilágítást végzünk minden ügyfél-adatokat kezelő adatfeldolgozónál:

Mentés és helyreállítás

Az Azure Database for PostgreSQL Flexible Server automatikus napi mentésekkel van konfigurálva, amelyek 30 napig kerülnek megőrzésre. Az adott időpontra való visszaállítás a megőrzési időszakon belül lehetséges. Jelenlegi helyreállítási céljaink: Recovery Point Objective (RPO) 24 óra, Recovery Time Objective (RTO) 8 óra. A STEP-fájlok Azure Blob Storage-ban való tárolása geo-redundáns tárhelyet (GRS) alkalmaz a tartósság érdekében. Ezeket a célokat évente felülvizsgáljuk és a szolgáltatás fejlődésével frissítjük.

Biztonsági tesztelés

Munkavállalói biztonság

  • Biztonsági tudatossági képzés minden, éles rendszerekhez hozzáféréssel rendelkező munkavállaló számára
  • Munkaállomás teljes lemezes titkosítás kötelező
  • FIDO2/WebAuthn hardver biztonsági kulcsok privilegizált fiókokhoz
  • Háttérellenőrzés elvégzése a felvételi folyamat során
  • Kilépési eljárások, köztük azonnali hozzáférés-visszavonás

Incidenskezelés

Dokumentált incidenskezelési tervvel rendelkezünk. Minden feltételezett biztonsági incidenst értékelünk, osztályozunk, és ahol szükséges, az érintett ügyfeleknek és a NAIH-nak a GDPR 33. cikke által előírt 72 órán belül bejelentünk. A részletekért látogasson el az Incidenskezelési Szabályzatunkhoz (/legal/incident-response). Incidenskezelés

Sebezhetőség-bejelentés

Köszönjük a biztonsági sebezhetőségek felelős bejelentését. A quoteforge.gridex.ai oldalán sebezhetőséget azonosító kutatók a [email protected] e-mail-címre küldhetnek bejelentést [VULN] tárgysorral. Vállaljuk, hogy 5 munkanapon belül visszaigazoljuk, és 10 munkanapon belül osztályozzuk a bejelentéseket. A részletekért látogasson el a Sebezhetőség-bejelentési szabályzatunkhoz (/legal/vulnerability-disclosure). Sebezhetőség-bejelentés

Megfelelőség

Biztonsági kapcsolat

Biztonsági sebezhetőség bejelentéséhez vagy biztonsági aggály felvetéséhez írjon a [email protected] e-mail-címre. Sürgős esetekben tüntesse fel az 'URGENT' szót a tárgysorban. Nem fogadunk el biztonsági bejelentéseket közösségi médián vagy hibakövetőkön keresztül.