OpenDPP
Klientská konzole Objednat demo
Důvěra na podnikové úrovni

Centrum bezpečnosti, soukromí & souladu

OpenDPP je postaveno tak, aby bylo v souladu s principy ISO 27001 & SOC 2. Díky provozu na předních evropských cloudových hostech a uplatňování přísných zásad ochrany soukromí je každý digitální produktový pas (DPP) bezpečně uložen, zapečetěn a podepsán, aby vám pomohl splnit vaše regulační povinnosti v EU.

Objednat demo Portál pro audit pečetí
Infrastruktura & hosting

Certifikovaní poskytovatelé infrastruktury v EU

OpenDPP běží na certifikovaných poskytovatelích digitální infrastruktury v rámci Evropského hospodářského prostoru. Níže uvedené certifikace drží tito poskytovatelé (Google Cloud, Neon); OpenDPP dědí jejich kontroly bezpečnosti a rezidence dat. Samotné OpenDPP je postaveno tak, aby bylo v souladu s principy ISO 27001 & SOC 2, přičemž formální certifikace je na našem plánu.

Google Cloud Platform

Výpočetní & aplikační vrstva v europe-west1 (Belgie). Aktivní výpočetní uzly se nacházejí v hranicích EU a dědí fyzickou bezpečnost Google Cloud, biometrická omezení přístupu a ochrany životního cyklu hardwaru. Google Cloud drží certifikace ISO 27001, SOC 2 Type II a SOC 3 a podporuje rezidenci dat v EU v souladu s GDPR.

Neon PostgreSQL

Databázová & úložná vrstva v eu-central-1 (Frankfurt). Data registru jsou logicky izolována, šifrována v klidu klíči AES-256 a při přenosu přes TLS 1.3. Neon drží certifikace ISO 27001:2022, ISO 27701:2019 a SOC 2 Type II a podporuje rezidenci dat v EU v souladu s GDPR (hostováno na AWS).

Suverénní hranice EU

Aplikační a databázová vrstva OpenDPP — aplikační uzly, API brány, databázové enginy a zálohovací systémy — běží v rámci Evropské unie (Belgie a Německo), takže data vašeho pasu zůstávají hostována v EU. Některé funkce se spoléhají na zpracovatele třetích stran (např. Stripe pro fakturaci, Firebase / Google pro autentizaci, Iubenda a Google Analytics), kteří mohou zpracovávat omezená data za svých vlastních podmínek.

End-to-end šifrování

Data o cirkularitě, metadata výrobce a ověřovací události jsou šifrovány při přenosu pomocí moderních kryptografických sad TLS 1.3 a v klidu pomocí oborového standardu šifrování AES-256.

Prohlédněte si důkazy o souladu poskytovatelů přímo: Portál souladu Google Cloud · Centrum důvěry Neon

Soukromí již v návrhu

GDPR & správa souhlasů

OpenDPP vynucuje práva uživatelů na ochranu soukromí podle obecného nařízení EU o ochraně osobních údajů (GDPR) a směrnice o soukromí a elektronických komunikacích.

Aktivní blokování skriptů

Integrujeme vyhovující cookie banner Iubenda, který provádí automatické blokování souborů cookie a skriptů. Sledovací skripty (včetně Google Analytics) jsou dynamicky zadržovány a spouštěny až poté, co návštěvník udělí výslovný, granulární souhlas.

Jádro se soukromím ve výchozím nastavení

Na datových vrstvách JSON-LD obsluhovaných strojovým crawlerům a dohledovým botům celní správy EU se nenačítají žádné sledovače, čímž se udržuje čistý, datově efektivní resolver souladu.

Auditní protokolování

Anonymizace přístupových protokolů

Zatímco OpenDPP protokoluje dotazovací události v AccessAuditLog za účelem auditu integrity pasu, brání hromadění osobně identifikovatelných údajů (PII) prostřednictvím přísné anonymizace IP adres.

  • Maskování IPv4 (vynulování podsítě)Identifikátor hostitele je odstraněn vynulováním posledního oktetu — 192.168.1.123 je zaznamenáno jako 192.168.1.0 — čímž je nedohledatelný k jednotlivci.
  • Zkrácení IPv6 (maskování /48)Připojení IPv6 jsou zkrácena maskou podsítě /48, čímž se zachovávají obecná regionální metadata pro právní soulad a zároveň se odstraňují jedinečné identifikátory zařízení a rozhraní.
Řízení přístupu

Podnikové SSO & granulární řízení přístupu

OpenDPP je navrženo pro firemní prostředí. Jemně odstupňovaná, zabezpečená vrstva řízení přístupu se integruje se standardními podnikovými adresářovými systémy a zároveň udržuje provoz dodavatelů izolovaný.

  • Podnikové jednotné přihlášení (SSO). Připojte stávající firemní poskytovatele identity (IdP), jako jsou Okta, Keycloak, Ping Identity nebo Azure AD. Dynamicky ověřujeme podpisy na tokenech OIDC pomocí koncových bodů JWKS pro bezstavové, kryptograficky zabezpečené ověření.
  • Granulární řízení přístupu na základě oprávnění (PBAC). OpenDPP se vyhýbá širokým, nezabezpečeným rolím a provádí přesnou kontrolu oprávnění při každém dotazu na koncový bod, s podporou 8 specializovaných rolí — včetně dedikovaných úředníků pro soulad (operace s klíči eIDAS) a úředníků pro dohled (ověřovací audity pouze pro čtení).
  • Izolace dodavatelů na úrovni řádků (ochrana proti sondování konkurence). Agenti zařízení zastupující externí dodavatele jsou omezeni na své přiřazené identifikátory hospodářských subjektů. Uzel programově blokuje požadavky napříč hospodářskými subjekty na API bráně, čímž zabraňuje průmyslové špionáži nebo únikům konkurenčních dat.
Soulad s NIS2

Směrnice NIS2 & integrita dodavatelského řetězce

Směrnice EU NIS2 (směrnice o sítích a informačních systémech 2) klade zásadní důraz na bezpečnost a odolnost digitálních dodavatelských řetězců. OpenDPP je navrženo tak, aby bylo v souladu s těmito požadavky prostřednictvím strukturovaných infrastrukturních kontrol.

Ověření trasování dodavatelského řetězce UNTP

OpenDPP podporuje kontroly integrity dodavatelského řetězce v souladu s NIS2 Article 21 kryptografickým ověřováním převodů úschovy a transakčních událostí. Přijaté události jsou zabaleny do podepsaných ověřitelných přihlašovacích údajů W3C podle protokolu transparentnosti OSN (UNTP), čímž se rozlišují DID vydavatelů a kontrolují zabezpečené certifikační řetězce eIDAS.

Tím, že OpenDPP staví na Google Cloud a Neon Postgres, běží na infrastruktuře, která splňuje standardní požadavky na řízení rizik dodavatelského řetězce. Oba poskytovatelé jsou široce důvěryhodné digitální služby — lokalizované v EU (GCP Europe / AWS Europe) s kontrolami rezidence dat v souladu s GDPR.

— Postaveno na certifikované infrastruktuře EU
Sdílená odpovědnost

Model sdílené odpovědnosti

Robustní bezpečnost vyžaduje společné rozdělení úkolů mezi naše základní infrastrukturní hosty a aplikační vrstvy OpenDPP.

Infrastrukturní hosté

GCP & Neon. Fyzická bezpečnost (biometrické brány, dohled, nepřetržitá ostraha, obvodové oplocení), izolace hardwaru a hypervizoru a vysokokapacitní ochrana proti DDoS s omezováním rychlosti na okraji sítě a filtry páteřní sítě.

Kryptografické podepisování eIDAS

Aplikační vrstva OpenDPP. Zabezpečená správa asymetrických podpisových klíčů ECC, zašifrovaných pro každý tenant v PostgreSQL (tabulka VaultKey) a vázaných ke každému tenantu jako dodatečná autentizovaná data GCM.

OIDC SSO & granulární PBAC

Aplikační vrstva OpenDPP. Podnikové SSO prostřednictvím ověření JWKS, mapování 8 standardních platformních rolí na jemně odstupňované rozsahy oprávnění a vynucování přísných hranic dodavatelů na úrovni řádků pro agenty zařízení.

Validace vstupů & shoda se schématem

Aplikační vrstva OpenDPP. Automatické ověřování struktur JSON-LD pro zabránění injektáže payloadu a udržení shody s registrem.

Postaveno pro soulad v EU, zabezpečeno již v návrhu.

Podívejte se, jak OpenDPP vydává podepsané digitální produktové pasy hostované v EU, kterým mohou vaši auditoři důvěřovat.

Objednat demo
Klíčové poznatky

OpenDPP je postaven v souladu se zásadami ISO 27001, SOC 2 a NIS2 a běží na infrastruktuře certifikované dle ISO 27001 / SOC 2 Type II (Google Cloud + Neon); formální certifikace samotného OpenDPP je na našem plánu. Zahrnuje kontroly soukromí dle GDPR, jako je explicitní správa souhlasu přes cookie banner Iubenda a automatická anonymizace IP adres v přístupových logách.

Bezpečnost OpenDPP a soulad s GDPR · Naposledy zkontrolováno