הצפנה בכל שכבה
AES-256-GCM בשכבת האחסון, TLS 1.3 בתעבורה, הפרדת מפתחות לכל לקוח דרך AWS KMS. תבניות אמצעי זיהוי נשמרות רק על המכשיר.
גלו את המוצר
עוד מ-EntryBit
מרכז אמון
EntryBit שומר על הדלתות שלכם — ואנחנו מחזיקים את עצמנו באותו סטנדרט. הנה בדיוק איך.
שישה עמודים
כל שכבה נבדקת ומוקשחת באופן עצמאי. אף כשל בודד לא פוגע במערכת.
AES-256-GCM בשכבת האחסון, TLS 1.3 בתעבורה, הפרדת מפתחות לכל לקוח דרך AWS KMS. תבניות אמצעי זיהוי נשמרות רק על המכשיר.
SSO, SCIM, אכיפת MFA, והרשאות מינימליות כברירת מחדל. ללא חשבונות שירות קבועים.
לוג אירועים עם שרשרת Hash. כל פעולת אדמין חתומה וניתנת לייצוא.
VPC פרטי, צי מכשירים עם mTLS, WAF בקצה.
כל עדכון Firmware לבקרים חתום קריפטוגרפית.
SOC פעיל, תורנות כוננות, תגובה לאירועים תוך 15 דקות.
חשיפה אחראית
אנחנו מעודדים חשיפה אחראית. שלחו מייל ל-security@entrybit.net עם צעדי שחזור. המדיניות המלאה, ההיקף ותנאי המקלט המשפטי מופיעים להלן — עם קרדיט בהכרת תודה שלנו.
תוכנית חשיפת פגיעויות
אם מצאתם פגיעות אבטחה ב-EntryBit, אנא דווחו דרך הערוץ למטה. חוקרי אבטחה הפועלים בהתאם למדיניות הזו מתוך כוונות טובות מוזמנים כאן — הסעיפים להלן מפרטים בדיוק מה בהיקף, מה לא, איך אנחנו מגיבים, ואילו הגנות מקלט משפטי ניתנות.
מחקר, בדיקה וחשיפת פגיעויות מורשים כנגד הנכסים הבאים שבהפעלת EntryBit:
הקטגוריות הבאות אינן נכללות בתוכנית. דיווחים בקטגוריות אלה ייסגרו ללא חקירה.
אם תפעלו בתום לב בהתאם למדיניות זו במהלך המחקר, EntryBit תתחייב:
מחקר בתום לב פירושו:
אנחנו מאשרים דיווחים במסגרת היעדים הבאים. זמני התיקון הם יעדים — תיקונים מורכבים או תיאום הטמעה אצל לקוחות עשויים להאריך אותם; נתקשר מראש.
אנחנו פועלים במודל חשיפה מתואמת. חלון ברירת המחדל הוא 90 ימים מרגע הדיווח הראשוני. לתיקונים מורכבים, הטמעה אצל לקוחות או תיאום שרשרת אספקה, אנחנו עשויים להציע הארכה עם תאריך יעד מפורש. לבעיות קריטיות תחת ניצול פעיל, נבקש הארכה ארוכה יותר; לבעיות שוליות נפרסם מהר יותר. פרסום משותף מוקדם מתקבל בברכה בהסכמה הדדית.
דיווח שימושי כולל:
שלחו מייל ל-security@entrybit.net. איש הקשר הקריא-למכונה מתפרסם ב-/.well-known/security.txt לפי RFC 9116. חוקרים עם דיווחים שהתקבלו מפורסמים, בהסכמתם, בהכרת התודה שלנו.
המדיניות הזו מעובדת מתבנית disclose.io Core (CC0). אנגלית היא שפת המקור הסמכותית; תרגומים מיועדים להפניה בלבד. זוהי תוכנית חשיפה, לא תוכנית תגמולים (bug-bounty) בתשלום.
צוות האבטחה שלנו ישמח ללוות אתכם בסקירת הארכיטקטורה, הנהלים וראיות הביקורת.