Encrypted infrastructure + supply-chain hardening

A heavy week on the security side of the platform itself — the goal: customers should be able to ask "what happens if your server is compromised, your supply chain is poisoned, or your data centre catches fire?" and get a satisfying answer for each.

What landed

• At-rest encryption for the database. The volume holding customer telemetry is now LUKS-encrypted with TPM-bound keys. A snapshot, image, or stolen disk is unreadable without the running host's hardware root of trust. Documented runbook and reversibility plan published in the Trust Center.
• Signed container images. Every Lorika image pushed to our registry is now signed with cosign keyless OIDC and verified before the host pulls. A compromised registry token cannot push a poisoned image into production — the verifier rejects unsigned digests.
• Public Software Bill of Materials. A CycloneDX 1.6 SBOM is generated at build time and exposed at /api/v1/meta/sbom. Procurement and security teams can pull it directly without an NDA dance.
• Daily encrypted off-site backups. Postgres dumps go to encrypted object storage every night; a once-a-week automated restore drill verifies the backups actually open and the schema migrations replay cleanly. Failure of the drill pages the operator.
• Incident-response readiness. A complete tabletop exercise for ransomware, with regulatory-notification templates for nine jurisdictions Ukrainian SaaS commonly serves. The first quarterly management-review for governance is now on file.

Why this matters for customers

Most "we take security seriously" claims live on a marketing page and die there. We document each control with the runbook that operates it, the failure mode it protects against, and the evidence an auditor would need. The point isn't to look secure — it's to actually be auditable.

Шифрування інфраструктури + захист ланцюжка постачання

Важкий тиждень з боку безпеки самої платформи — мета: щоб замовник міг запитати «а що буде, якщо ваш сервер скомпрометують, ланцюжок постачання отруять, або ЦОД згорить?» — і отримати задовільну відповідь на кожен сценарій.

Що приземлилося

• Шифрування БД на рівні диска. Том з клієнтською телеметрією тепер LUKS-зашифрований з ключами, прив'язаними до TPM. Знімок, образ чи вкрадений диск нечитабельні без апаратного root-of-trust живого хоста. Runbook та план зворотності опубліковано у Trust Center.
• Підписані контейнерні образи. Кожен образ Lorika, що потрапляє в реєстр, тепер підписується cosign keyless OIDC і перевіряється перед pull. Скомпрометований токен реєстру не може запхнути отруєний образ — верифікатор відкине непідписаний digest.
• Публічний Software Bill of Materials. CycloneDX 1.6 SBOM генерується під час збірки і доступний на /api/v1/meta/sbom. Procurement та команди безпеки можуть його забрати без NDA-танців.
• Щоденний шифрований офсайт-бекап. Дампи Postgres щоночі їдуть у зашифроване об'єктне сховище; раз на тиждень автоматичний restore drill перевіряє, що бекапи відкриваються, а міграції чисто прокатують. Невдача drill — пейджер оператору.
• Готовність до інцидентів. Повна tabletop-вправа для ransomware, шаблони регуляторних повідомлень для дев'яти юрисдикцій, які часто покриває український SaaS. Перший квартальний management-review для governance уже у досьє.

Чому це важливо для замовників

Більшість заяв «ми ставимося до безпеки серйозно» живе на маркетинговій сторінці й там же й помирає. Ми документуємо кожен контроль із runbook-ом, режимом відмови, від якого він захищає, і доказом, що його шукав би аудитор. Сенс — не виглядати безпечно, а реально бути аудійовним.