Niserva
PrisijungtiIšbandyti nemokamai
Į pradžią
Atnaujinta 2026-05-06

Saugumas

Mūsų techninės ir organizacinės priemonės jūsų duomenims apsaugoti.

Niserva yra NIS2 atitikties platforma — saugumas yra mūsų produkto pagrindas. Šiame puslapyje aprašome konkrečias technines ir organizacines priemones, kurias taikome jūsų duomenims apsaugoti.

1. Šifravimas

Ryšio šifravimas

Visas srautas tarp jūsų naršyklės ir Niserva vyksta per TLS 1.3 su moderniais cipher suite'ais. Įjungta HSTS antraštė — naršyklė atsisako jungtis prie niserva.com per nešifruotą HTTP.

Saugomų duomenų šifravimas

Duomenų bazė ir failų saugykla (Supabase Postgres + Storage) šifruojami AES-256 algoritmu disko lygmenyje. Atsarginės kopijos taip pat užšifruotos.

Slaptažodžiai

Slaptažodžiai niekada nesaugomi gryno teksto pavidalu — naudojame bcrypt su rotuojamais ratais per Supabase Auth. Net mes patys negalime jų pamatyti.

2. Multi-tenant izoliavimas

Kiekviena Niserva organizacija (klientas) yra atskirta per Postgres Row-Level Security (RLS) politikų sluoksnį. Tai reiškia, kad net su galiojančiu API raktu negalite skaityti, kurti ar keisti kitos organizacijos eilučių — izoliavimas užtikrinamas duomenų bazės lygmeniu, ne tik aplikacijos.

3. Autentifikacija ir prieiga

  • El. pašto patvirtinimas privalomas registracijos metu.
  • MFA (TOTP) palaikomas visiems naudotojams; super administratoriams — privalomas.
  • Slaptažodžių politika: minimalus ilgis 8 simboliai, patikra prieš HIBP (Have I Been Pwned) nutekėjimų sąrašą — atmetame žinomus išviešintus slaptažodžius.
  • Sesijos: trumpalaikis JWT prieigos žetonas + refresh token per sb-refresh-token; sesija pasibaigia po 7 dienų neaktyvumo.

4. Audito žurnalas

Kiekvienas INSERT, UPDATE ir DELETE Niserva atitikties duomenų lentelėse (rizikų, tiekėjų, incidentų, politikų, mokymų, įrodymų, kontrolės ir vertinimų) yra automatiškai užfiksuojamas Postgres trigger'iu su veikėjo (user_id), laiko žymos ir pakeitimo turinio (prieš/po) detalėmis. Žurnalo įrašai yra tik skaityti — net administratoriai negali jų ištrinti ar redaguoti.

5. Saugykla ir atsarginės kopijos

  • Pagrindinė duomenų bazė talpinama Frankfurte (eu-west-1).
  • Automatinis kasdien daromas DB backup, saugojimas — 30 dienų.
  • Failai (įrodymų dokumentai) saugomi Supabase Storage; prieiga prie jų — tik per trumpalaikius signed URL su laiko apribojimu.

6. Sub-processor'ių saugumas

Visi mūsų duomenų tvarkytojai turi pripažintus saugumo sertifikatus:

  • Supabase — SOC 2 Type II, ISO 27001.
  • Vercel — SOC 2 Type II, ISO 27001.
  • Anthropic — SOC 2 Type II.
  • Resend — SOC 2 Type II.
  • Stripe — PCI DSS Level 1, SOC 1 / SOC 2.

7. Pažeidimų reagavimas

Turime vidinį incidentų reagavimo planą (IRP). Pastebėjus saugumo pažeidimą, susijusį su Kliento duomenimis, klientus informuojame per 48 valandas (sutampa su DPA įsipareigojimu) ir laikomės NIS2 23 straipsnio reikalavimų — reikšmingas incidentas pranešamas priežiūros institucijai per 24 val. (early warning) ir 72 val. (incidento pranešimas).

8. Atskleidimas atsakingai

Saugumo tyrėjus kviečiame pranešti apie aptiktus pažeidimus el. paštu info@nexdev.lt. Atsakome per 72 valandas. Jei pažeidimas patvirtintas, koordinuosime atskleidimo terminus ir, esant galimybei, paminėsime tyrėją Niserva saugumo padėkų sąraše. Maloniai prašome neskelbti pažeidimo viešai, kol jis neištaisytas.

9. Atitiktis ir sertifikatai

  • NIS2 self-assessment — baigtas, dokumentai pasiekiami pagal poreikį.
  • ISO 27001 — kelyje (numatomas sertifikavimas 2027 m.).
  • SOC 2 Type II — numatomas 2027 m.
  • TISAX — numatomas 2027 m. automotive sektoriaus klientams.

10. Kontaktai

Saugumo klausimais (incidentų pranešimai, klientų security questionnaire'iai, audito ataskaitos) kreipkitės: info@nexdev.lt.