Sigurnost & Povjerenje

Aegis SOC platforma je izgrađena za zaštitu vaših sustava. Ovdje opisujemo kako štitimo vas — i sebe.

Zadnje ažuriranje: travanj 2026.

Odgovorno prijavljivanje ranjivosti

Ako ste pronašli sigurnosnu ranjivost u Aegis platformi, molimo vas da nam to odgovorno prijavite. Cijenimo svaki doprinos sigurnosne zajednice.

Kako prijaviti

Email: noc@bu.hr

Telefon: +385 95 906 7874

security.txt: /.well-known/security.txt

Jezik: Hrvatski ili engleski

Što očekujemo

Prijavite ranjivost prije javnog objavljivanja
Dajte nam razuman rok za popravak (min. 90 dana)
Ne pristupajte tuđim podacima i ne ometajte rad sustava
Uključite korake za reprodukciju i mogući utjecaj

Naše obveze

Potvrđujemo prijem prijave unutar 48 sati
Dajemo procjenu ozbiljnosti unutar 7 dana
Obavještavamo vas o statusu popravka
Nećemo poduzimati pravne korake protiv istraživača koji poštuju ovu politiku

Odgovor na incidente

Aegis platforma ima definirani proces odgovora na sigurnosne incidente koji se primjenjuje na sve korisničke instance.

Razina	Opis	Vrijeme odgovora
Kritično	Aktivna kompromitacija, gubitak podataka	< 1 sat
Visoko	Ranjivost s mogućim utjecajem na podatke	< 4 sata
Srednje	Ranjivost bez izravnog utjecaja	< 24 sata
Nisko	Informativni nalaz, hardening preporuka	< 7 dana

U slučaju sigurnosnog incidenta koji utječe na korisničke podatke, obavještavamo pogođene korisnike unutar 72 sata u skladu s GDPR zahtjevima.

Obrada i zaštita podataka

Lokacija podataka

Svi podaci se pohranjuju isključivo u Hrvatskoj (EU). Nema transfera trećim stranama ili izvan EU-a.

Enkripcija

TLS 1.2/1.3 za sve komunikacije. Lozinke bcrypt hashirane. JWT tokeni s HMAC-SHA256.

Pristup podacima

RBAC s 19 kategorija dozvola. Obavezni 2FA/TOTP. Potpuna izolacija tenanta na razini baze.

GDPR usklađenost

Pravo na pristup, ispravak i brisanje podataka. Data Processing Agreement dostupan na zahtjev.

Koje podatke prikupljamo

Kategorija	Što	Svrha	Retencija
Logovi sustava	syslog, auth.log, apache, IIS	SIEM analiza i detekcija	90 dana (konfig.)
Metapodaci	CPU, RAM, disk, mreža, servisi	Telemetrija i NMS	30 dana
Alarmi	Detekcijski događaji, IP adrese	Sigurnosna analiza	365 dana
Korisnička aktivnost	Prijave, akcije u GUI-ju	Revizijski trag	365 dana
CIS/Compliance	Rezultati provjera	Usklađenost	180 dana

Retencijski periodi su konfigurabilni po korisniku. Na zahtjev pružamo potpuni data export (JSON/CSV).

Sigurnost platforme

Autentifikacija i pristup

Obavezna dvofaktorska autentifikacija (TOTP) za svaki pristup
Granularni RBAC sustav — 19 kategorija dozvola, 11 funkcijskih permisija
Potpuna izolacija tenanta na razini baze podataka
Session timeout i automatska odjava
Brute-force zaštita s rate limitingom (30 req/min login, 10 req/s API)

Supply-chain zaštita

SHA-256 hash verifikacija za svako ažuriranje agenta
Kriptografski potpisan lanac povjerenja server → agent
Automatski rollback u slučaju neuspjelog ažuriranja
AegisUpdate servis s watchdog mehanizmom

Mrežna sigurnost

Sva komunikacija isključivo preko porta 443 (HTTPS)
Agent → Server: TLS 1.2+ s validacijom certifikata
Nema inbound konekcija prema agentu
HSTS, X-Frame-Options DENY, CSP headeri

Sigurnosne kopije i otpornost

Automatske sigurnosne kopije

Dnevni backup baze podataka. Retencija backupa: 30 dana. Testiranje oporavka: kvartalno.

Samooporavak

SDS watchdog detektira zastoje unutar 120 s i automatski ponovno pokreće servis. Agent crash-loop zaštita s rollbackom.

Redundancija

Business i Enterprise paketi uključuju dediciranu instancu. On-premise opcija za potpunu kontrolu.

Decommission

Pri ukidanju noda, kompletni podaci se exportiraju u ZIP arhivu. Brisanje po GDPR standardima.

Testiranje i revizija

Interni penetracijski testovi provode se pri svakom većem ažuriranju platforme
Kontinuirano skeniranje ranjivosti vlastite infrastrukture pomoću Aegis agenta
CIS benchmark provjere (104 kontrole) primjenjujemo i na vlastite poslužitelje
Kompletni revizijski trag svih administrativnih akcija — dostupan korisnicima na zahtjev
Eksterni sigurnosni audit dostupan na zahtjev za Enterprise korisnike

Regulatorna usklađenost

Standard / Regulativa	Status	Detalji
GDPR (EU 2016/679)	Usklađeno	DPA na zahtjev, lokacija podataka HR/EU, pravo na brisanje
NIS2 Direktiva	Content Pack	7 ugrađenih pravila, incident response, supply-chain provjere
ISO 27001	Content Pack	Visibility Pack s mapiranjem na ISO 27001 kontrole
CIS Benchmarks	104 provjere	62 Windows + 42 Linux CIS kontrola s bodovanjem
MITRE ATT&CK	Mapirano	Svi alarmi mapirani na MITRE tehnike i taktike

Sigurnosni kontakt

Sigurnost: noc@bu.hr

Opće informacije: info@bu.hr

Telefon: +385 95 906 7874

security.txt: /.well-known/security.txt

Tvrtka: BUBA Usluge d.o.o., Zagrebačka 14, 10314 Križ, Hrvatska

OIB: Na zahtjev