Рамка на доверие за етапа на оценка
Project 4.0 е изграден като сериозна оперативна система с изолирани среди, логика за контрол на достъпа и структурирана архитектура. Тази страница описва конкретните мерки за сигурност, които защитават вашите данни.
Подходящо за разговори, в които
- сигурността и доверието имат значение още в началото
- системата се оценява от няколко страни
- работата с оперативни данни изисква увереност
- GDPR съответствие е изискване
Автентикация и контрол на достъпа
Платформата използва множество слоя за сигурна идентификация и управление на достъпа:
🔐 Двуфакторна автентикация (2FA)
TOTP authenticator мeханизъм с recovery codes. Допълнителен слой защита при логин — освен парола, се изисква и второ потвърждение.
🔑 Firebase Auth + OAuth
Email/password и Google OAuth за гъвкавост при корпоративни среди. Custom claims за роли: admin, superuser, poweruser, employee.
🛡️ Account Protection
Автоматичен session timeout при 1 час неактивност. Account lockout при множество неуспешни опити за влизане.
Изолация на tenant среди
Всяка организация работи в напълно изолирана средa (multi-tenant architecture). Данните на един tenant никога не са достъпни за друг:
- Firestore изолация — всички данни са под path
/{tenantId}/data/... - Security rules — tenant boundaries се проверяват при всяко четене/запис
- Custom claims —
tenant,employeeid,adminclaims на Firebase Auth token - Server-side enforcement — Cloud Functions писанията преминават през Admin SDK с tenant проверка
- Null tenant bypass prevention — enforced non-null check на всяко ниво
Защита на данните
- HTTPS enforcement — entire платформа с redirect to HTTPS
- Anti-forgery tokens — защита на всички форми
- Path traversal prevention — валидация при всяко качване на файл
- File size limits — контролиран максимален размер на uploads
- GCP Secret Manager — API ключовете са мигрирани от код
- Response compression — оптимизация + security
GDPR съответствие и одитна следа
Project 4.0 покрива изискванията на GDPR с вградени механизми:
- Personal Data Download — всеки потребител може да изтегли личните си данни
- Delete Personal Data — право на изтриване по заявка
- Correlation IDs — всяко действие може да бъде проследено с уникален идентификатор (
mob_/cf_/net_prefix UUID) - Audit trail — пълна хронология на промените с timestamp и user ID
- Firestore permissive rules — затворени (
allow write: if false) — всички записи преминават само през Cloud Functions
При необходимост предоставяме подробна техническа документация за security review при enterprise клиенти.
Сигурност в числа
| Двуфакторна автентикация | ✅ TOTP |
| Tenant изолация | ✅ пълна |
| GDPR compliance | ✅ |
| HTTPS | ✅ enforced |
| Secret management | GCP Secret Manager |
| Session timeout | 1 час |
| Correlation IDs | cross-layer tracing |
Ако имате нужда от повече информация за сигурността и доверието, нека я обсъдим в правилния контекст.
Ще подготвим подходящия следващ разговор според етапа на вашата оценка и нужната ви информация. При enterprise процеси предоставяме пълна документация за security review.
Свържи се с нас