Rediacc полностью работает на вашей инфраструктуре. Во время операций клонирования окружения, резервного копирования и развёртывания данные никогда не покидают вашу машину. Вы остаётесь и контроллером, и обработчиком данных. Никакой сторонний SaaS не обрабатывает ваши данные.
В этом разделе технические возможности Rediacc сопоставлены с требованиями основных систем соответствия. Каждая страница охватывает конкретное регулирование со ссылками на уровне статей официальных правовых текстов.
Матрица соответствия
| Стандарт | Область применения | Ключевые возможности Rediacc |
|---|---|---|
| GDPR | Защита данных и конфиденциальность в ЕС | CoW-клонирование на той же машине, шифрование LUKS2, хранилище конфигурации с нулевым разглашением, журналирование аудита, право на удаление через rdc repo destroy |
| SOC 2 | Критерии доверительных сервисов для сервисных организаций | Шифрование в состоянии покоя, синхронизация конфигурации с нулевым разглашением, сетевая изоляция, аудиторский след, резервное копирование и восстановление |
| HIPAA | Защита медицинской информации в США | Шифрование LUKS2, хранилище конфигурации с нулевым разглашением, доступ только по SSH, изолированные Docker daemons, безопасность передачи |
| CCPA | Права на конфиденциальность потребителей Калифорнии | Самостоятельное размещение (без продажи/передачи данных), шифрование с нулевым разглашением, зашифрованное удаление, инвентаризация данных по репозиториям |
| ISO 27001 | Средства управления информационной безопасностью | Управление активами, криптографические средства, хранилище конфигурации с нулевым разглашением, контроль доступа, операционная безопасность |
| PCI DSS | Защита данных платёжных карт | Сегментация сети на уровне архитектуры, обязательное шифрование, журналирование аудита, сокращение области охвата за счёт самостоятельного размещения |
| NIS2 и DORA | Кибербезопасность и финансовая устойчивость ЕС | Устранение рисков цепочки поставок, тестирование устойчивости через CoW-клонирование, шифрование, обнаружение инцидентов |
| Суверенитет данных | Мировые законы о локализации данных (PIPL, LGPD, KVKK, PIPA и другие) | Самостоятельное размещение = данные никогда не покидают вашу юрисдикцию. Без трансграничных передач, без оценок адекватности |
Архитектурные основы
Каждая система соответствия в этом разделе опирается на одни и те же технические свойства:
- Шифрование в состоянии покоя: Каждый репозиторий зашифрован LUKS2 AES-256. Учётные данные хранятся только в локальной конфигурации оператора, никогда на сервере.
- Сетевая изоляция: Каждый репозиторий получает собственный Docker daemon, подсеть loopback IP (/26) и правила iptables. Контейнеры из разных репозиториев не могут взаимодействовать.
- Клонирование copy-on-write:
rdc repo forkиспользует reflinks файловой системы (cp --reflink=always). Данные дублируются на той же машине без сетевой передачи. - Журналирование аудита: Более 40 типов событий, охватывающих аутентификацию (вход, 2FA, смена паролей, отзыв сессий), жизненный цикл API-токенов, операции хранилища конфигурации и активность подписок/лицензий. Доступно через панель администратора и
rdc auditCLI. Операции на уровне машины (форк, резервное копирование, развёртывание) выполняются на самой машине через SSH и системные журналы. - Зашифрованное резервное копирование:
rdc repo backup push/pullпередаёт данные по SSH. Место назначения резервной копии получает зашифрованные LUKS-тома. - Хранилище конфигурации с нулевым разглашением: Опциональная зашифрованная синхронизация конфигурации между устройствами. Конфигурации шифруются на стороне клиента с помощью AES-256-GCM перед загрузкой. Сервер хранит только непрозрачные блобы. Сервер не может прочитать SSH-ключи, учётные данные, IP-адреса или любые данные конфигурации в открытом виде. Вывод ключей использует passkey PRF extension + HKDF с разделением доменов. Доступ участников управляется через обмен ключами X25519, а отзыв происходит мгновенно.
Подробнее об этих возможностях см. Архитектура, Репозитории, Хранилище конфигурации и Безопасность аккаунта.
Почему это важно
Нарушения соответствия обходятся дорого. Эти случаи правоприменения касались проблем, которые архитектура Rediacc структурно предотвращает:
| Инцидент | Штраф | Что пошло не так |
|---|---|---|
| Meta: трансграничная передача данных ЕС-США | 1,2 млрд EUR | Персональные данные передавались через границы без надлежащих гарантий. Самостоятельное размещение означает отсутствие передачи. |
| Equifax: незашифрованные данные | 700 млн USD | 147 миллионов записей хранились без шифрования с плохой сегментацией сети. LUKS2 обязателен, не опционален. |
| Target: боковое перемещение | 18,5 млн USD | Атакующие перешли от поставщика HVAC к платёжным системам через плоскую сеть. Изоляция по репозиториям предотвращает это. |
| Anthem: незашифрованные PHI | 16 млн USD | 79 миллионов медицинских записей хранились без шифрования. LUKS2 AES-256 всегда активен. |
| Blackbaud: каскад взлома SaaS | 49,5 млн USD | Программа-вымогатель у одного SaaS-поставщика раскрыла данные более 13 000 организаций-клиентов. Самостоятельное размещение означает, что взлом поставщика не может достичь ваших данных. |
| British Airways: плохая сегментация | 20 млн GBP | Атакующие внедрили вредоносный код из-за недостаточного сетевого контроля. Изолированные Docker daemons и iptables предотвращают боковой доступ. |
| Google: право на удаление | 50 млн EUR | Сложность полного удаления данных в распределённых системах. Криптографическое удаление через уничтожение LUKS мгновенно и полно. |
Важное замечание
Эти страницы описывают технические возможности Rediacc применительно к требованиям соответствия. Соблюдение любого регулирования требует организационных политик, процедур, обучения персонала и, возможно, сторонних аудитов, выходящих за рамки любого отдельного инструмента. Обратитесь к своей юридической команде и команде по соответствию за рекомендациями, специфичными для вашей организации.