Securitate

6 piloni de securitate pentru AI gateway

Q: Pot dezactiva MFA pe contul meu?

Nu. Din mai 2026 MFA TOTP e obligatorie pentru toți utilizatorii. Folosește 1Password, Google Authenticator sau Authy. Backup codes la activare — păstrează-le într-un loc sigur.

Q: Audit log-ul e accesibil pentru clienți?

Da. Vezi audit log-ul propriei tale acțiuni în dashboard (secțiunea Settings → Audit). Pentru Enterprise, export SIEM compatibil cu retenție extinsă (până la 7 ani).

Q: Cum aflu de un breach care mă afectează?

Notificare email + alertă în dashboard în max 72h, conform GDPR Art. 33. Status page la /status afișează incidentele majore live. Post-mortem public în 5 zile lucrătoare.

Q: Cum raportez o vulnerabilitate?

Email la contracte@megapromoting.com cu subiect Security Report. Confirmare în 48h. Politică 90-day disclosure, safe harbor pentru cercetători responsabili, bug bounty ad-hoc.

Q: Care e diferența între /security și /trust?

/security e tehnic — controale pe chei, MFA, audit log, breach. /trust e overview pentru InfoSec — sub-procesatori, certificări, vulnerability disclosure policy.

Q: Aveți DDoS protection?

Da. Cloudflare în fața gateway-ului cu rate limiting și WAF. Rate limiting suplimentar pe cheie API pentru a preveni abuse intern.

Q: Cum protejați împotriva prompt injection?

Nu modificăm conținutul prompturilor — responsabilitatea e a aplicației client. Recomandăm: sanitizare input, separare clară între system prompt și user content, validare output. Detalii în /docs/security-best-practices.

Q: Pot avea IP whitelist pe cheia mea?

Pe Enterprise da. Pe planurile standard recomandăm backend proxy cu cheia stocată server-side. Detalii în /docs/api-key-best-practices.

MFA TOTP obligatorie, encryption at rest, audit log append-only, breach notification 72h, pentest plans pentru Q3 2026 și controale stricte pentru chei API.

Trust center Conformitate

TOTP obligatoriu

MFA

AES-256 + TLS 1.3

Encryption

<72h

Breach notif.

Append-only

Audit log

Piloni securitate

6 controale operaționale

MFA TOTP obligatorie

Activată implicit pentru toți utilizatorii noi (din mai 2026). Compatibilă Google Authenticator, 1Password, Authy. Backup codes single-use. Pentru admin nu se poate dezactiva.

Encryption at rest

Postgres TDE (Transparent Data Encryption), MinIO server-side encryption AES-256, parole bcrypt cost 12. Cheile API stocate doar ca hash (token complet vizibil doar la creare).

TLS 1.3 in transit

TLS 1.3 obligatoriu pe toate endpoint-urile API + UI. HSTS preload, X-Content-Type-Options, CSP cu allowlist strict, certificate Let's Encrypt rotate automat.

Audit log append-only

Orice acțiune sensibilă (creare cheie, modificare buget, login admin, rotație, ștergere, DSR) e log-uită cu user, IP, timestamp, diff. Append-only la nivel DB — nu se poate edita.

Network isolation

Docker network privat pentru servicii backend. Postgres + MinIO nu sunt expuse public — doar prin reverse proxy autentificat. SSH admin restricționat pe IP whitelist.

Breach notification 72h

Conform GDPR Art. 33. Pentru orice incident material notificăm autoritățile competente și clienții afectați în max 72h. Runbook intern, status page realtime la /status.

Controale chei API

Discipline strictă pentru secrete

Token complet o singură dată

Cheia completă se afișează doar la creare. După aceea folosești preview-uri și metadate non-secrete.

Buget per cheie

Fiecare cheie poate avea cap lunar și perioadă proprie, sincronizate în gateway.

Model whitelist

Cheile pot fi limitate la modelele necesare proiectului sau agentului.

Block/unblock

Cheile compromise pot fi blocate operațional fără să oprești tot gateway-ul.

Audit și owner

Cheile au owner, purpose și metadata pentru urmărire internă.

Fără master key în client

Master key rămâne doar pentru administrare, nu se pune în agenți, frontend sau chat.

Riscuri și reguli

Ce să faci când se întâmplă

Risc	Regulă Router by MP
Cheie expusă în chat	Rotește cheia, blochează vechea cheie și verifică spend pe ultimele 3 ore.
Agent cu buget nelimitat	Setează max_budget_usd și whitelist doar pe modelele necesare.
Widget frontend	Nu pune cheia în browser; folosește backend proxy sau token temporar.
Date sensibile	Nu trimite PII sau documente sensibile fără aprobare și politici clare.

Pentest plans

Audit extern onest și planificat

Q3 2026

External penetration test cu firmă specializată EU. Scope: API + dashboard public. Raport sumar publicat, raport complet în Trust Report.

Q4 2026

Internal red team exercise pe componente sensibile (billing, key management, admin panel). Findings remediate înainte de re-test.

2027

Pentest anual recurent + bug bounty privat invitațional. Pregătire SOC 2 Type I (audit Q1 2027).

Responsible disclosure

Vulnerability disclosure policy

Trimite la contracte@megapromoting.com cu subiect Security Report.
Confirmăm primirea în max. 48h.
Politică 90-day disclosure — fix înainte de publicare, sau extensie dacă bug-ul e structural.
Safe harbor pentru cercetători care respectă politica.
Bug bounty ad-hoc proporțional cu severitatea CVSS.

Backup și DR

Backup zilnic + restore drill trimestrial

Postgres dumps automate cu encryption at rest
Replicare către secundar OVH Strasbourg (FR)
MinIO replicated cross-region
Retenție backups 30 zile
Restore drill test trimestrial
RPO target 1h, RTO target 4h

Întrebări frecvente

Răspunsuri pentru echipa de InfoSec

Pot dezactiva MFA pe contul meu?

Nu. Din mai 2026 MFA TOTP e obligatorie pentru toți utilizatorii. Folosește 1Password, Google Authenticator sau Authy. Backup codes la activare — păstrează-le într-un loc sigur.

Audit log-ul e accesibil pentru clienți?

Da. Vezi audit log-ul propriei tale acțiuni în dashboard (secțiunea Settings → Audit). Pentru Enterprise, export SIEM compatibil cu retenție extinsă (până la 7 ani).

Cum aflu de un breach care mă afectează?

Notificare email + alertă în dashboard în max 72h, conform GDPR Art. 33. Status page la /status afișează incidentele majore live. Post-mortem public în 5 zile lucrătoare.

Cum raportez o vulnerabilitate?

Email la contracte@megapromoting.com cu subiect Security Report. Confirmare în 48h. Politică 90-day disclosure, safe harbor pentru cercetători responsabili, bug bounty ad-hoc.

Care e diferența între /security și /trust?

/security e tehnic — controale pe chei, MFA, audit log, breach. /trust e overview pentru InfoSec — sub-procesatori, certificări, vulnerability disclosure policy.

Aveți DDoS protection?

Da. Cloudflare în fața gateway-ului cu rate limiting și WAF. Rate limiting suplimentar pe cheie API pentru a preveni abuse intern.

Cum protejați împotriva prompt injection?

Nu modificăm conținutul prompturilor — responsabilitatea e a aplicației client. Recomandăm: sanitizare input, separare clară între system prompt și user content, validare output. Detalii în /docs/security-best-practices.

Pot avea IP whitelist pe cheia mea?

Pe Enterprise da. Pe planurile standard recomandăm backend proxy cu cheia stocată server-side. Detalii în /docs/api-key-best-practices.

Contact securitate

Raportează un incident sau vulnerabilitate

Pentru incidente legate de chei, spend spike sau acces model, contactează MEGA PROMOTING S.R.L. la contracte@megapromoting.com. Include alias cheie, perioadă, simptom. Nu trimite cheia completă.

contracte@megapromoting.com Trust center