PayCal Technologies Inc.

Status van beveiligingsaudit

PayCal behoudt de PASS-status vanaf 24-03-2026, waarbij controle-door-architectuur-waarborgen worden afgedwongen in code, tests en release-beheer.

Published:

Verificatie-metagegevens

Metagegevens routeren

  • Routebeschrijving: /transparency/security-audit/
  • Huidige status: PAS
  • Laatst geverifieerd:
  • Volgende beoordeling gepland:

Bewijsbronnen

  • docs/security/GEMINI_SECURITY_AUDIT_HANDOFF_AUDITOR_2026-03-23.md
  • docs/SECURITY_INTERROGATION_EVIDENCE_2026-03-23.md
  • docs/security/PHASE_CLOSURE_PROGRAM.md

Deze pagina vat de status van het publiek samen; gedetailleerd technisch bewijsmateriaal blijft aanwezig in de gekoppelde repository-artefacten.

Scope gesloten in PASS-cycli 1.042-1.043

  • Werkstroom A: Correlatiebeheer gecentraliseerd via door makelaars geëvalueerde, deny-safe-enveloppen.
  • Werkstroom B: beheer van telemetriequery's wordt afgedwongen met op streams gerichte tokens en weigering van deelname aan meerdere streams.
  • Workstream C: Controles op geprivilegieerde rollen zijn versterkt met singleton-superadmin en mutatiebewaking.
  • Werkstroom D: Runtime gedecodeerde levenscycluscontroles van gegevens voltooid, inclusief nulstelling van de levenscyclus en scrubgedrag van DOM-gevoeligheid.
  • Werkstroom E: CSP nonce + strikt dynamisch beleid en handhaving van overtredingsopname in productieroutes.
  • Werkstroom F: eenmalige tokenpoorten voor risicovolle beheerdersmutaties met dekking voor denial-regressie.
  • Workstream G: Verwijdering van browserreferenties voor wachtwoordstromen en deterministische, van credentialen afgeleide KEK-governance.
  • Werkstroom H: Runtime-integriteitsmonitorstatusmachine (SAFE/DEGRADED/LOCKED/TERMINATED) met telemetriehaken.
  • Werkstroom I: Guardian-selector voor ontsmettingsmiddel/stijlverharding met bijgewerkte dekkingsankers.

Validatiemomentopname (24-03-2026)

Poort Resultaat Bewijs
Levenscyclusrook van toneelschrijvers PAS 8 geslaagd
JS-pluis- en zinkcontroles PAS npm run test:js
PHPStan strikt (niveau 9) PAS [OK] No errors
Backend PHPUnit-suite PAS 1.212 vermelde tests (vrijgavevalidaties geslaagd)

Samenvatting van de afsluiting van de runtimelevenscyclus

  • De cryptostatus in het geheugen wordt op nul gezet op basis van navigatie- en levenscyclusgrenzen.
  • Vertraagde vervaldatum op verborgen tabblad bevat nu zeroisatiebewijs in ontgrendelde staat.
  • DOM-gevoeligheidsscrub wist de sporen van de runtime-payload voordat de status wordt gereset.
  • Deterministisch herontgrendelings- en herstelgedrag wordt aan regressietests onderworpen.

Onderhoudsverplichtingen

Om de PASS-status te behouden, blijven de volgende releaseblokkers:

Gebruiksvoorbeeld: een onveilige release blokkeren

Als een release candidate een regressie introduceert in de nulstelling van de levenscyclus of het afdwingen van CSP's, stoppen deze blocker-poorten de promotie totdat de controles en tests zijn hersteld, waardoor wordt voorkomen dat een verzwakte houding de productie bereikt.

  • tests/smoke-ui/dev-bypass-smoke.spec.js lifecycle regression suite.
  • composer run phpstan:strict with no baseline policy exceptions.
  • Volledige backend-testsuite en JS-beveiligingscontroles op releasekandidaten.

Elke wijziging in de kalenderlevenscyclus, cryptostatus of DOM-weergave moet vóór de release overeenkomstige regressie-updates bevatten.