PayCal Technologies Inc.

Status der Sicherheitsüberprüfung

PayCal bleibt ab dem 24.03.2026 im PASS-Status, wobei Sicherheitsmaßnahmen zur Kontrolle durch die Architektur in Code, Tests und Release-Governance durchgesetzt werden.

Published:

Verifizierungsmetadaten

Routenmetadaten

  • Route: /transparency/security-audit/
  • Aktueller Stand: PASS
  • Zuletzt überprüft:
  • Nächste Rezension fällig:

Beweisquellen

  • docs/security/GEMINI_SECURITY_AUDIT_HANDOFF_AUDITOR_2026-03-23.md
  • docs/SECURITY_INTERROGATION_EVIDENCE_2026-03-23.md
  • docs/security/PHASE_CLOSURE_PROGRAM.md

Diese Seite fasst den Status der Öffentlichkeit zusammen; Detaillierte technische Beweise finden sich in den verlinkten Repository-Artefakten.

Geltungsbereich geschlossen in den PASS-Zyklen 1.042–1.043

  • Arbeitsablauf A: Korrelations-Governance zentralisiert durch vom Broker bewertete, verweigerungssichere Umschläge.
  • Arbeitsstream B: Durchsetzung der Telemetrie-Abfrage-Governance mit Stream-bezogenen Token und Stream-übergreifender Beitrittsverweigerung.
  • Workstream C: Kontrollen privilegierter Rollen durch Singleton-Superadministrator und Mutation Guard-Erzwingung gestärkt.
  • Arbeitsstream D: Lebenszykluskontrollen für entschlüsselte Daten zur Laufzeit abgeschlossen, einschließlich Lebenszyklus-Nullisierung und DOM-Sensitivitätsbereinigungsverhalten.
  • Arbeitsstream E: CSP-Nonce + streng dynamische Richtlinie und Durchsetzung der Aufnahme von Verstößen in Produktionsrouten.
  • Workstream F: One-Shot-Capability-Token-Gates für hochriskante Admin-Mutationen mit Denial-Regression-Abdeckung.
  • Workstream G: Entfernung der Browser-Anmeldeinformationsbrücke für Passkey-Flows und deterministische, von Anmeldeinformationen abgeleitete KEK-Governance.
  • Workstream H: Zustandsmaschine zur Überwachung der Laufzeitintegrität (SAFE/DEGRADED/LOCKED/TERMINATED) mit Telemetrie-Hooks.
  • Arbeitsschritt I: Guardian-Desinfektionsmittelauswahl/-härtung mit aktualisierten Abdeckungsankern.

Validierungs-Snapshot (24.03.2026)

Tor Ergebnis Beweis
Dramatiker-Lebenszyklus-Rauch PASS 8 bestanden
JS-Flusen- und Waschbeckenkontrollen PASS npm run test:js
PHPStan strict (Level 9) PASS [OK] No errors
Backend-PHPUnit-Suite PASS 1.212 gelistete Tests (Release-Validierungen bestanden)

Zusammenfassung des Laufzeitlebenszyklusabschlusses

  • Der speicherinterne Kryptostatus wird an Navigations- und Lebenszyklusgrenzen auf Null gesetzt.
  • Der verzögerte Ablauf mit versteckter Registerkarte umfasst jetzt einen Nullisierungsnachweis für den entsperrten Zustand.
  • Die DOM-Sensitivitätsbereinigung löscht Laufzeit-Nutzlastspuren vor dem Zurücksetzen des Status.
  • Das deterministische Wiederentsperr- und Wiederherstellungsverhalten ist regressionsgetestet.

Wartungsverpflichtungen

Um den PASS-Status beizubehalten, bleiben die folgenden Release-Blocker bestehen:

Anwendungsfall: Blockieren einer unsicheren Veröffentlichung

Wenn ein Release-Kandidat eine Regression bei der Nullisierung des Lebenszyklus oder der CSP-Durchsetzung einführt, stoppen diese Blocker-Gates die Heraufstufung, bis die Kontrollen und Tests wiederhergestellt sind, und verhindern so, dass eine geschwächte Haltung die Produktion erreicht.

  • tests/smoke-ui/dev-bypass-smoke.spec.js lifecycle regression suite.
  • composer run phpstan:strict with no baseline policy exceptions.
  • Vollständige Backend-Testsuite und JS-Sicherheitsprüfungen für Release-Kandidaten.

Alle Änderungen am Kalenderlebenszyklus, am Kryptostatus oder am DOM-Rendering müssen vor der Veröffentlichung entsprechende Regressionsaktualisierungen umfassen.