Securitate, Infrastructură & OperațiuniManagementul Riscurilor
Registrul Riscurilor
12 riscuri identificate cu probabilitate, impact, controale și risc rezidual — model Partajat
Registrul de riscuri de mai jos acoperă modelul Partajat (multi-tenant). Versiunea curentă: 1.0 | Data aprobare: 2026-04-29. Revizuire: anual sau la schimbare arhitecturală semnificativă.
Scala de evaluare: L = Scăzut · M = Mediu · H = Ridicat
Registrul Riscurilor
| # | Risc | Probabilitate | Impact | Controale în vigoare | Risc rezidual |
|---|---|---|---|---|---|
| 1 | Acces neautorizat la cont | M | H | Autentificare Devise (username + parolă, hashed); 2FA TOTP opțional (email sau aplicație authenticator); opțiune SSO OIDC per tenant pentru identitate federată; politici de lungime parolă și blocare cont | Scăzut |
| 2 | Acces neautorizat la documente în object storage | L | H | Acces S3 exclusiv prin API autentificat; Block Public Access activat; criptare server-side (SSE); versioning activat; replica este exclusiv backup, fără acces aplicație | Scăzut |
| 3 | Pierdere de date — date relaționale | L | H | Heroku Postgres managed Point-in-Time Recovery (WAL continuu) + snapshot-uri zilnice cu retenție 30 zile; capacitate de restaurare validată periodic | Scăzut |
| 4 | Pierdere de date — documente | L | H | S3 versioning activat (recuperare după ștergere/suprascriere accidentală); replicare cross-region la o regiune AWS separată; lifecycle delete-markers 100 zile; export zilnic opțional per tenant la o arhivă externă controlată de tenant (stocare cloud, e-arhivă calificată) | Scăzut |
| 5 | Indisponibilitate serviciu / epuizare capacitate | M | M | Heroku autoscaling web dynos și worker dynos (joburi asincrone); Postgres și Redis managed cu disponibilitate asigurată de provider; monitorizare New Relic cu alerte NRQL pe erori aplicație | Scăzut |
| 6 | Eșec deployment / integritate cod | L | M | Protecție branch GitHub pe main (PR review obligatoriu); schimbările testate în staging înainte de merge; build & release automat GitHub → Heroku; release-uri versionate cu rollback cu un click | Scăzut |
| 7 | Expunere secrete / credențiale | L | H | Secretele stocate exclusiv în Heroku config vars — nu sunt integrate în sursă; acces delimitat per mediu; 2FA obligatoriu pe GitHub, Heroku, AWS și alte console administrative | Scăzut |
| 8 | Dependențe vulnerabile / cod nesigur | M | M | Analiză statică a codului (SAST); scanare compoziție software (SCA) pe dependențele server-side și client-side; constatările sunt triate și remediate în cadrul ciclului de dezvoltare | Scăzut |
| 9 | Alterare log-uri audit / pierdere trail semnare | L | H | Trail de audit semnare scris în AWS CloudWatch Logs (append-only, criptat la repaus, retenție 5 ani); log-uri activitate clienți reținute în Postgres 3 luni, descărcabile de administratorii tenant | Scăzut |
| 10 | Compromitere terț / sub-procesor | L | M | TLS în tranzit la toți furnizorii (Postmark, furnizor semnătură electronică, New Relic, Sentry); furnizorul de semnătură electronică autentificat prin mTLS sau API token; credențiale limitate per furnizor; due diligence furnizori la selecție | Scăzut |
| 11 | Conformitate — retenție date și drepturi persoane vizate | L | M | Ferestre de retenție definite (log-uri semnare 5 ani; log-uri activitate 3 luni; backup-uri PG 30 zile; delete-markers S3 100 zile); procedură cereri persoane vizate GDPR documentată; descărcare self-service log-uri activitate de admin tenant; export zilnic opțional per tenant pentru portabilitatea datelor | Scăzut |
| 12 | Securitate rețea / transport | L | M | HTTPS/TLS 1.2+ aplicat la Heroku Router; certificate Let's Encrypt cu reînnoire automată; trafic intern Heroku confinat în rețea privată cu TLS în tranzit | Scăzut |