Compliance & ReportingКомплаенс и отчётность

Compliance & ReportingКомплаенс и отчётность

Design-stage reviews, certification support, and report access — everything auditors and engineering leads need in one place. Ревью на этапе проектирования, поддержка сертификации и доступ к отчётам — всё, что нужно аудиторам и техническим лидам, в одном месте.

ISO 27001 ReadinessПодготовка к ISO 27001

Nullify findings map directly to ISO 27001 Annex A controls, so pentest, scanner, and monitoring evidence can be reused as audit evidence instead of running a separate readiness exercise from scratch. The programme runs in four phases: gap analysis against Annex A, control implementation support, a documentation package (policies, risk register, statement of applicability), and a mock audit before the real certification body visit. Находки Nullify напрямую маппируются на контроли Annex A ISO 27001, поэтому доказательства из пентестов, сканера и мониторинга можно переиспользовать как аудиторские доказательства, не проводя отдельную подготовку с нуля. Программа состоит из четырёх фаз: gap-анализ по Annex A, поддержка внедрения контролей, пакет документации (политики, реестр рисков, Statement of Applicability) и mock-аудит перед визитом реального сертифицирующего органа.

The same evidence base cross-maps to GDPR, SOC 2, and PCI DSS where controls overlap, so one programme can support multiple certificates instead of running parallel, duplicate efforts. Та же база доказательств кросс-маппируется на GDPR, SOC 2 и PCI DSS там, где контроли пересекаются, поэтому одна программа может поддерживать несколько сертификатов вместо параллельных дублирующих усилий.

Architecture ReviewРевью архитектуры

Architecture review happens before code is written — it's roughly ten times cheaper to fix a design flaw on a whiteboard than after launch. The process covers STRIDE threat modelling, trust-boundary and data-flow mapping, cloud IAM/network/storage design review, and secrets-management review. Ревью архитектуры происходит до написания кода — исправить ошибку проектирования на этапе схемы примерно в десять раз дешевле, чем после запуска. Процесс включает STRIDE-моделирование угроз, картирование границ доверия и потоков данных, ревью дизайна IAM/сети/хранилищ в облаке и ревью управления секретами.

The output is a compliance-mapped report with a sprint-level remediation roadmap — findings are sized so they can be scheduled directly into your team's existing sprint planning, not left as an abstract list. На выходе — отчёт с маппингом на compliance и roadmap исправлений на уровне спринтов — находки оценены так, чтобы их можно было сразу запланировать в существующие спринты команды, а не оставлять абстрактным списком.

Threat ModelingМоделирование угроз

Threat modeling identifies and prioritises threats at the design stage, before a single line of code exists — it works from architecture diagrams and data-flow descriptions alone, so it doesn't require a working product. The process covers attack-surface mapping, data-flow diagram (DFD) construction, a structured STRIDE brainstorm, and DREAD/CVSS-based scoring of each identified threat. Моделирование угроз выявляет и приоритизирует угрозы на этапе проектирования, до написания единой строки кода — работает только по диаграммам архитектуры и описаниям потоков данных, поэтому не требует рабочего продукта. Процесс включает картирование поверхности атаки, построение диаграмм потоков данных (DFD), структурированный STRIDE-брейнсторм и оценку каждой угрозы по DREAD/CVSS.

Every identified threat is mapped to a concrete mitigation, and the resulting document is meant to live and be updated as the architecture evolves — not a one-time PDF that goes stale after the first release. Каждая выявленная угроза привязывается к конкретной мере снижения риска, а итоговый документ задуман как живой и обновляемый по мере развития архитектуры — а не разовый PDF, устаревающий после первого релиза.

Report ManagementУправление отчётами

Every engagement — pentest, red team, architecture review, threat model, code review — produces a report accessible from Reports in your dashboard. Reports come in two forms: an executive summary (non-technical risk overview for leadership and boards) and a full technical report (CVSSv3, CWE, reproduction steps, and remediation guidance for engineering). Каждый проект — пентест, red team, ревью архитектуры, модель угроз, ревью кода — формирует отчёт, доступный в разделе Reports дашборда. Отчёты бывают двух форматов: executive summary (нетехнический обзор рисков для руководства) и полный технический отчёт (CVSSv3, CWE, шаги воспроизведения и рекомендации по исправлению для инженеров).

Reports can be shared with an external auditor via a time-limited, read-only link generated from the report page — no need to export and email a PDF that goes stale the moment a finding is remediated. Отчётами можно поделиться с внешним аудитором через ограниченную по времени ссылку только для чтения, сгенерированную на странице отчёта — не нужно экспортировать и отправлять по почте PDF, который устаревает сразу после устранения находки.

Secure Code ReviewРевью безопасности кода

Secure code review is manual, line-by-line — reviewers read the code the way an attacker or a future maintainer would, catching business-logic flaws, authorization gaps, and injection points that SAST scanners consistently miss because they lack the context of what the code is supposed to do. Ревью безопасности кода — ручное, построчное — ревьюеры читают код так, как это делал бы атакующий или будущий разработчик, находя ошибки бизнес-логики, пробелы в авторизации и точки инъекций, которые SAST-сканеры стабильно упускают из-за отсутствия контекста о назначении кода.

Coverage follows OWASP ASVS and reviewers are matched to your stack — the same review process applies whether the codebase is a monolith, microservices, or serverless. Every finding ships with a CVSS score, working proof-of-concept where applicable, and a code-level fix suggestion, not just a category name. Покрытие следует OWASP ASVS, ревьюеры подбираются под ваш стек — один и тот же процесс ревью применяется независимо от того, монолит это, микросервисы или serverless. Каждая находка сопровождается оценкой CVSS, рабочим PoC там, где применимо, и предложением исправления на уровне кода, а не просто названием категории.