StellarBase
Dokumentace Bezpečnost a compliance Šifrování
Bezpečnost a compliance

Šifrování

Šifrované při přenosu, v klidu a za běhu. Každý bajt, každá hranice. Customer-managed klíče u self-hosted; u managed nasazení plánované na Q3–Q4 2026.

Při přenosu

Externí spojení

  • Výhradně TLS 1.3 na veškerém ingressu. TLS 1.2 vypnuté.
  • HSTS s dlouhým max-age
  • Certificate pinning na mobilních klientech
  • HTTP Strict Transport Security (HSTS) preloaded na stellarbase.ai
  • Perfect forward secrecy přes ECDHE ciphery

Interní service mesh

  • mTLS mezi každou interní službou
  • Per-service certifikáty rotované automaticky
  • Service mesh (Istio / Linkerd) vynucuje šifrování
  • Žádný plaintext provoz v interní síti

Spojení do zdrojových systémů

  • Každý konektor používá provider-native TLS
  • Přihlašovací údaje (OAuth tokeny, API klíče) uložené šifrovaně
  • IP allowlisting podporovaný pro citlivé zdroje

V klidu

Primární data

  • Postgres: AES-256-GCM transparent data encryption
  • Object storage (S3 / MinIO): server-side encryption (SSE-KMS nebo SSE-S3)
  • Vector index: šifrovaný na úrovni filesystému
  • Zálohy: šifrované samostatným klíčem pro obranu před cross-compromise

Per-tenant izolace

  • Data každého tenanta jsou šifrovaná samostatným tenant-level klíčem
  • Kompromitace klíče jednoho tenanta neumožní dešifrovat data jiného
  • Hierarchie klíčů: data klíč → tenant klíč → master klíč (chráněný KMS)

Audit log

Audit log je v klidu šifrovaný v append-only úložišti se samostatnými klíči. Chain of custody je kryptograficky ověřitelný.

Za běhu

„Za běhu” znamená během zpracování, ne jen v klidu a při přenosu:

  • Secrets vymazané z paměti po dokončení requestu
  • GPU paměť scrubbovaná mezi tenant requesty
  • Dočasné soubory (pokud existují) šifrované a smazané po použití
  • Logy scrubbované od secrets a PII přes pattern matching + StellarGate

Správa klíčů

Managed nasazení

Klíče žijí v managed KMS (AWS KMS / Google CKM / HashiCorp Vault podle našeho datového centra). HSM-backed. Čtvrtletní rotace klíčů dle politiky. Nezměnitelná audit stopa každé operace s klíčem.

Self-hosted nasazení

Bring your own KMS. Podporované backendy:

  • HashiCorp Vault
  • AWS KMS / Google CKM / Azure Key Vault (pro cloud-deployed self-hosted)
  • PKCS#11 HSM (on-prem)
  • Thales CipherTrust
  • Gemalto SafeNet

Vy řídíte kadenci rotace, přístupovou politiku a nouzovou revokaci.

Customer-managed klíče (BYOK)

🛠 Ve vývoji — Q3–Q4 2026. Customer-managed klíče (BYOK) u managed nasazení jsou plánované na Q3–Q4 2026; nabízené na enterprise plánech.

Pro zákazníky, kteří potřebují kontrolu nad klíči i u managed nasazení, je BYOK dostupný na enterprise plánech. Váš klíč obaluje tenant klíč; my nikdy nevidíme váš surový klíčový materiál.

Rotace klíčů

ÚroveňDefaultní rotace
TLS certifikáty90 dní (Let’s Encrypt) nebo dle vaší CA
Service mesh certs24 hodin
Data encryption keysČtvrtletně
Master keyRočně
API klíče / tokenyKonfigurované zákazníkem; doporučujeme čtvrtletně

Revokace klíčů

🛠 Připravené v Q4 2026. Revokace jediného credential funguje dnes. Runbooky pro tenant-scope a full-system revokaci budou připravené v Q4 2026.

Nouzová revokace klíčů je zdokumentovaný runbook. Možnosti scope:

  • Jedna credentials — jeden API klíč revokován, ostatní nedotčeno
  • Tenant — veškerý přístup k šifrovaným datům jednoho tenanta zablokován
  • Celý systém — master klíč revokován, data nečitelná, dokud se klíč neobnoví (použít jen u potvrzené breach)

Audit dešifrování

Každá dešifrovací operace je logovaná. Pattern analýza alarmuje na neobvyklý přístup (mimo pracovní dobu, z neobvyklých lokalit, v neobvyklých objemech).

Kryptografické volby

Preferujeme široce nasazené, dobře auditované primitivy:

  • AES-256-GCM pro symetrické šifrování
  • RSA-4096 nebo ECDSA P-384 pro asymetrické
  • SHA-256 / SHA-3 pro hashování
  • Argon2id pro hashování hesel (kde se to hodí)
  • TLS 1.3 s moderními ciphersuites

Žádná vlastní kryptografie. Žádná „novel” schémata. Nic, co nebylo veřejně reviewed minimálně pět let.

Související