Сигурност и съответствие
Доверието е в основата на Certyneo. Тази страница описва точно какво е внедрено в нашата инфраструктура и приложение днес.
Актуализирано на .
Съвместим с eIDAS
Нашите обикновени (SES) и усъвършенствани (AES с OTP имейл + SMS) подписи отговарят на Регламента eIDAS на Европейския съюз.
Криптиране TLS 1.3
Цялата комуникация клиент-сървър е защитена с TLS 1.3 чрез нашия reverse proxy (автоматично подновявани сертификати Let's Encrypt).
Хостинг във Франция
Приложението, базата данни PostgreSQL и обектното съхранение се хостват в нашата инфраструктура във Франция (IONOS).
Одитна следа на подписите
Всяко действие (отваряне, OTP, подписване, отказ, изтичане) се маркира с времеви печат и се съхранява. Одитно долно поле е интегрирано в подписания PDF.
Удостоверяване на подписващия
За усъвършенстваното ниво (AES): двоен OTP имейл + SMS (OTP SMS). За вход на изпращача: имейл + парола, Google, Microsoft Entra.
GDPR
Съответствие с Общ регламент относно защитата на данните (GDPR): право на достъп, на поправка и на изтриване, регистър на обработващите дейности.
Регулаторни съответствия
Certyneo е в съответствие с европейските регламенти, приложими към електронния подпис и защитата на данните.
eIDAS
Подписи SES и AES
Обикновен електронен подпис (SES) по подразбиране. Усъвършенстван електронен подпис (AES) с OTP имейл + SMS за по-силна правна тежест по смисъла на Регламент (ЕС) № 910/2014.
GDPR
Защита на личните данни
Съответствие с Регламент (ЕС) 2016/679. Данните се хостват в Европейския съюз, документирани срокове на съхранение, регистър на обработващите дейности и DPA по заявка.
Нашите практики за сигурност
Ето конкретните мерки, внедрени в производствена среда.
- TLS 1.3 криптиране за целия HTTP трафик (Caddy 2, Let's Encrypt)
- scrypt хеширане (със сол и timing-safe сравнение) за потребителски пароли
- Еднократни токени за потвърждение на имейл и нулиране на парола, с 1 час валидност
- OTP (OTP SMS) за усъвършенстван подпис, кратка валидност, еднократна употреба
- Приложно ниво на ограничаване на заявките (Redis) по план за чувствителни крайни точки
- S3-съвместимо обектно съхранение с активирано версиониране на документите
- Времеви печат на одитен журнал за всяка стъпка от жизнения цикъл на плика
- Дневник на одита с временна мара за всеки етап на жизнения цикъл на пликаво
Готови ли сте да подпишете безопасно?
5 безплатни плика на месец, без банкова карта. Включени sa съответствие с eIDAS и GDPR.
Security roadmap
Нашите следващи стъпки за укрепване на доверието и съответствието.
- Q4 2026 г.
Одит ISO 27001
ПланираноОдит за сертификация ISO 27001, планиран с акредитована организация.
- 2027
SOC 2 тип II
ПланираноSOC 2 Type II доклад, обхващащ сигурност, достъпност и конфиденциалност.
Responsible disclosure
Открихте уязвимост? Моля, свържете се с нас отговорно преди всяка публична разкрива. Потвърждение в рамките на 48 работни часа.
security@certyneo.comСпоразумение за обработка на данни
Нашето DPA детайлизира задълженията на Certyneo като подизпълнител по смисъла на GDPR, включително техническите и организационните мерки.
Прегледайте DPAЧесто задавани въпроси за сигурността на Certyneo
- Където са разположени данните на Certyneo?
- Всички данни се съхраняват изключително в Германия (IONOS SE, Франкфурт), в Европейския съюз. Не се извършва репликация или аутсорсинг към сървъри извън ЕС.
- Подлежи ли Certyneo на американския Cloud Act?
- Не. Certyneo е френско юридическо лице (SAS по френско право), което не подлежи на екстериториалността на американския Cloud Act. За разлика от DocuSign, Adobe Sign или Dropbox Sign (американски компании), американските органи не могат да принудят Certyneo да разкрие вашите данни.
- Отговаря ли Certyneo на GDPR?
- Да. Certyneo е в съответствие с GDPR: съхранение в ЕС, криптиране TLS 1.3 при транспорт и AES-256 в покой, налична DPA (член 28 на GDPR), ограничен и документиран период на съхранение, спазени права на достъп и изтриване.
- Как подписаните документи са защитени срещу подделяне?
- Всеки подписан документ е защитен чрез криптографски печат (хеш SHA-256), записан в запис за аудит с времева марка. Всяка модификация на документа след подписване обезвалидира печата и се открива веднага. Записът за аудит се съхранява 10 години.
- Располага ли Certyneo с DPA (Data Processing Agreement)?
- Да. Certyneo предоставя DPA в съответствие с член 28 на GDPR, който е налични и може да се подпише електронно от вашия контролен панел или по искане. Той детайлизира подизпълнителите, техническите и организационни мерки (TOMs) и правата на засегнатите лица.
За по-задълбочено четене
Задълбочете разбирането си за регулацията и нивата на подпис.