Nortinia Engine — LLM orchestrator és AI model routing platform

99.97%

12 HAVI UPTIME

AES-256

GCM · MEZŐSZINTŰ

< 15p

INCIDENS ACK

ADATSZIVÁRGÁS

A HAT PILLÉR

Nem rövidítés. Nem kompromisszum.

Minden biztonsági elv mögött egy konkrét implementáció és egy felelős ember áll. Nem ISMS-dokumentum, amit a fiókban tartunk — kód, ami minden éjjel lefut.

Tenant izoláció

Egyetlen instance, sok tenant. PostgreSQL Row-Level Security szigorúan elválasztja a forgalmat. Egy tenant SQL-je sem éri el a másikét — ha a kód mégis próbálkozna, a Postgres elutasítja.

Titkosítás mindenhol

TLS 1.3 a vonalon, AES-256-GCM mezőszintű a Postgresben. Kulcsrotáció 90 naponta. A kulcshoz sem a mérnöki csapat, sem a founderek nem férnek hozzá — a HSM-ben él.

Auditált minden döntés

Minden router-döntés, minden modell-választás, minden fallback-trigger append-only audit logba kerül. A logot csak a SIEM eszköz írhatja, mérnök nem törölhet. PII automatikusan maszkolva.

RBAC + 2FA kötelező

Szerep-alapú hozzáférés, finom granularitás (router-szabály, modell-engedély, kvóta, költségplafon). A 2FA admin-nak kötelező, user-nek default. WebAuthn támogatás Q3 2026.

Adatközpont az EU-ban

Hetzner Falkenstein (DE) elsődleges, Nürnberg (DE) másodlagos. Az adat sosem hagyja el az EU-t. A sub-processorok listáját a Privacy oldalon nyilvánosan vezetjük.

Penetrációs teszt évente

Független harmadik féllel (White Hat, Budapest) 12 havonta. A jelentés összefoglalóját publikáljuk, a részleteket ügyfeleknek NDA alatt. A 2025-ös teszt: 0 kritikus, 2 közepes, mindkettő 48 órán belül javítva.

AUDIT NAPLÓ · ÉLŐ MINTA · PII MASZKOLVA

Minden döntés mögött egy log-sor.

Ez egy valós (anonimizált) audit log-sor. Tenant azonosító, modell-választás indoka, költség és latencia — minden mező a maga helyén, a PII pedig már a logger előtt maszkolva.

2026-04-22T08:14:33.412Z [engine.router] decision audit tenant_id="tenant_a1b2c3" request_id="req_9b22f1e8" user_email=[email protected] (masked) prompt_preview="please summarise [REDACTED]" model_chosen="anthropic/sonnet-4" reason="cost-optimal under 200ms SLA" cost_eur=0.18 latency_ms=110 audit_hash="sha256:1f9a…b3e0"

TANÚSÍTVÁNYOK

Nem dísz. Kötelesség.

KÓD	STÁTUSZ
GDPR	EU 2016/679 — teljes megfelelés, DPO kinevezve, DPIA kész
SOC 2	Type I kész, Type II folyamatban (audit 2026 Q4)
ISO 27001	Folyamatban — tervezett audit 2027 Q1
PCI DSS	Nem érintett — a motor nem érintkezik kártyaadattal

INCIDENS VÁLASZ

Mi történik, ha valami tényleg elromlik.

1. Riasztás (0–5 perc)

A PagerDuty riaszt az ügyeletes mérnököt. Az incidens súlyosságát a paginator automatikusan minősíti (P0–P3). P0 és P1 esetén a teljes csapat mobilját felhívja, nappal is.

2. Nyugtázás (≤ 15 perc)

Az ügyeletes válaszol a riasztásra, megnyit egy incidens-csatornát, és az érintett ügyfeleket e-mailben értesíti. A status.nortinia.com oldalon automatikusan megjelenik.

3. Lokalizáció (≤ 1 óra)

Három mérnök áll össze: egy a tűzoltó, egy a kommunikáló, egy a rögzítő. Minden lépést real-time rögzítünk a dedikált incidens-csatornán és a status.nortinia.com log-jában, hogy a post-mortem ne másnapi rekonstrukció legyen.

4. Helyreállítás (≤ 4 óra RTO)

Rollback, hotfix, vagy ha szükséges, visszaállítás a mentésből. Az RPO 15 perc — 15 percnél több audit-adat sosem veszhet el.

5. Post-mortem (≤ 72 óra)

Publikus, részletes, nevesített. Nincs „tanulság”-nyelv, nincs PR-tálalás. Amit elrontottunk, azt leírjuk. A post-mortem linkje az ügyfél e-mailjében megjelenik.

FELELŐS BEJELENTÉS

Találtál valamit? Írj.

Ha sebezhetőséget találsz, küldd el PGP-titkosítva a [email protected] címre. 24 órán belül válaszolunk, 7 napon belül javítunk, és ha szeretnéd, a Security Hall of Fame oldalunkon megköszönjük.

[email protected] →Adatvédelmi tájékoztató