From 6ba3efd7ea803bff02df1c7d72e56f948a194539 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Hartmut=20N=C3=B6renberg?= Date: Fri, 27 Mar 2026 16:00:23 +0100 Subject: [PATCH] =?UTF-8?q?docs:=20ACN=20Security=20Standards=20Applicabil?= =?UTF-8?q?ity=20Matrix=20=E2=80=94=2019=20of=20~87=20relevant?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Mapped all Accenture IS Standards against CapaKraken tech stack. 19 standards relevant, ~68 not applicable. Key findings: - Application Security Standard: 73% compliant (already analyzed) - Gen AI + Agentic AI Standards: NEW, critical for HartBOT — must read - PostgreSQL, nginx, Container, DevSecOps: need gap analysis - 12 action items across 4 priority tiers Co-Authored-By: claude-flow --- docs/acn-standards-applicability.md | 140 ++++++++++++++++++++++++++++ 1 file changed, 140 insertions(+) create mode 100644 docs/acn-standards-applicability.md diff --git a/docs/acn-standards-applicability.md b/docs/acn-standards-applicability.md new file mode 100644 index 0000000..d3d0497 --- /dev/null +++ b/docs/acn-standards-applicability.md @@ -0,0 +1,140 @@ +# CapaKraken — Accenture Security Standards Applicability Matrix + +**Stand:** 2026-03-27 | **Quelle:** in.accenture.com/protectingaccenture/is-to-operations/architecture-standards/ + +--- + +## Zusammenfassung + +| Kategorie | Relevant | Nicht relevant | Gesamt | +|-----------|----------|---------------|--------| +| Enterprise Security Standards | **12** | 7 | 19 | +| AI Security Standards | **2** | 1 | 3 | +| Infrastructure Standards | **5** | ~60 | ~65 | +| **Gesamt relevant** | **19** | ~68 | ~87 | + +--- + +## Teil 1: Enterprise Security Standards + +### RELEVANT fuer CapaKraken (12 Standards) + +| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf | +|---|----------|----------|------------------|----------------| +| 1 | **Application Security Standard** | KERN-Standard | 73% compliant (46/63 Controls) | Bereits detailliert analysiert — siehe `acn-security-compliance-status.md` | +| 2 | **API Management Security Standard** | tRPC-API | TEILWEISE — Rate Limiting, Auth, Validation vorhanden | Standard lesen und gegen tRPC-Implementierung abgleichen | +| 3 | **Data Classification and Protection** | Personaldaten (Names, Emails, Rates) | TEILWEISE — RBAC + Audit vorhanden, keine formale Datenklassifizierung | Datenklassifizierung durchfuehren (welche Felder sind HC/C/IR?) | +| 4 | **Encryption Standard** | Passwoerter, API Keys, DB-Verbindung | TEILWEISE — Argon2 Hashing, HTTPS via nginx, DB ohne TLS | PostgreSQL TLS aktivieren, Key-Rotation Prozess definieren | +| 5 | **Identification and Authentication Standard** | Login, MFA, Session Mgmt | HOCH — Auth.js + TOTP MFA + Session Timeouts implementiert | ESO-Integration evaluieren (aktuell eigene Auth) | +| 6 | **Logging and Auditing Standard** | Activity History | HOCH — Pino Logger + Audit Entries auf 29/36 Router | Log-Retention Policy definieren, zentrales Log-Shipping | +| 7 | **Access Control Standard** | RBAC, Permissions | HOCH — 5-stufiges RBAC + per-User Overrides | Formale Access-Review Prozedur dokumentieren | +| 8 | **Security Remediation and Patch Management** | Dependencies | TEILWEISE — Dependabot + npm audit Cron | Patch-SLA definieren (Critical: 48h, High: 7d, Medium: 30d) | +| 9 | **User Authorization Standard** | Wer darf was | HOCH — RBAC mit PermissionKey-System | Bereits implementiert, Review-Prozess dokumentieren | +| 10 | **Data Integrity Standard** | Daten-Konsistenz | TEILWEISE — Prisma Transactions, Audit Trail | Backup-Strategie + Integrity-Checks definieren | +| 11 | **SaaS and PaaS Cloud Computing Security** | Falls Cloud-Deployment | NIEDRIG aktuell (On-Prem Docker) | Relevant bei Cloud-Migration | +| 12 | **Mobile Application Security Standard** | PWA auf Mobile | NIEDRIG — PWA ist kein native App | Service Worker Security pruefen | + +### NICHT RELEVANT fuer CapaKraken (7 Standards) + +| Standard | Grund | +|----------|-------| +| IaaS Cloud Computing Security | Kein IaaS-Deployment (Docker on-prem) | +| Domain Registration Security | Keine eigene Domain-Registrierung | +| External Personnel Access | Keine externen Nutzer | +| Public Key Infrastructure (PKI) | Keine PKI-Infrastruktur | +| Remote Access Standard | Kein VPN/Remote-Access-Thema | +| Asset Protection Standard (AFS) | Nur fuer Accenture LLP Software | +| Asset Classification & Protection (Tier 0) | Fuer Infrastruktur-Assets, nicht App-Level | + +--- + +## Teil 2: AI Security Standards + +### RELEVANT (2 Standards) + +| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf | +|---|----------|----------|------------------|----------------| +| 13 | **Generative AI Security Standard** | Azure OpenAI + Gemini Integration | TODO | Standard lesen — betrifft AI Summary, Narrative Generation, Image Generation | +| 14 | **Agentic AI Security Standard** | HartBOT AI Assistant mit 87+ Tools | TODO | Standard lesen — betrifft Function Calling, Tool Execution, Data Access | + +### NICHT RELEVANT (1) + +| Standard | Grund | +|----------|-------| +| Secure Vibe Coding Guideline | Fuer AI-gestuetzte Code-Generierung, nicht App-Feature | + +--- + +## Teil 3: Infrastructure Standards + +### RELEVANT (5 Standards) + +| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf | +|---|----------|----------|------------------|----------------| +| 15 | **PostgreSQL Security Standard** | Haupt-Datenbank | TODO | Standard lesen und gegen aktuelle Config abgleichen | +| 16 | **Nginx Security Standard** | Reverse Proxy | TEILWEISE — Hardening-Template vorhanden (`docs/nginx-hardening.conf`) | Template anwenden + gegen Standard pruefen | +| 17 | **Container Security Standard** | Docker Deployment | TODO | Docker-Compose Hardening (non-root, read-only FS, resource limits) | +| 18 | **DevSecOps Standard** | CI/CD Pipeline | TEILWEISE — GitHub Actions CI, Dependabot | Standard lesen, Compliance-Gaps identifizieren | +| 19 | **Secure Code Repositories Standard** | Gitea | TEILWEISE — Auth vorhanden, Branch Protection unklar | Branch Protection Rules + Signed Commits evaluieren | + +### NICHT RELEVANT (~60 Standards) + +Betrifft Technologien die CapaKraken nicht nutzt: +- Windows/MacOS/Linux Workstation Standards (kein Desktop-Client) +- Microsoft 365/Teams/SharePoint/Defender Standards +- Network/Firewall/VPN/Switch Standards +- Citrix/VMware/Hyper-V Standards +- SAP/Oracle/MongoDB Standards +- Printer/PBX/IoT Standards +- Und weitere spezifische Infrastruktur-Standards + +--- + +## Action Plan: Priorisiert + +### Sofort (diese Woche) + +| # | Aktion | Aufwand | Wer | +|---|--------|---------|-----| +| A1 | **Gen AI Security Standard lesen** und Gap-Analyse erstellen | 2h | Entwickler | +| A2 | **Agentic AI Security Standard lesen** — HartBOT betrifft | 2h | Entwickler | +| A3 | **Datenklassifizierung** durchfuehren: welche Felder sind HC/Confidential/Internal/Unrestricted | 4h | PO + Entwickler | + +### Kurzfristig (2 Wochen) + +| # | Aktion | Aufwand | Wer | +|---|--------|---------|-----| +| B1 | **PostgreSQL Security Standard** lesen und abgleichen | 3h | DBA/DevOps | +| B2 | **Container Security** — Docker non-root, read-only, resource limits | 1 Tag | DevOps | +| B3 | **API Management Security Standard** gegen tRPC pruefen | 3h | Entwickler | +| B4 | **Encryption Standard** — PostgreSQL TLS, Key-Rotation | 1 Tag | DevOps | +| B5 | **nginx Hardening-Template anwenden** (bereits erstellt) | 30min | Ops | + +### Mittelfristig (1 Monat) + +| # | Aktion | Aufwand | Wer | +|---|--------|---------|-----| +| C1 | **Logging Standard** abgleichen — Log-Retention, zentrales Shipping | 1 Tag | DevOps | +| C2 | **DevSecOps Standard** — Pipeline-Compliance pruefen | 4h | DevOps | +| C3 | **Secure Code Repositories** — Branch Protection, Signed Commits | 2h | DevOps | +| C4 | **Patch Management SLA** definieren und dokumentieren | 2h | PO | +| C5 | **Access Review Prozedur** dokumentieren | 2h | PO | + +### Spaeter / Bei Bedarf + +| # | Aktion | Trigger | +|---|--------|---------| +| D1 | SaaS/PaaS Cloud Security | Bei Cloud-Migration | +| D2 | Mobile Application Security | Bei nativer Mobile-App | +| D3 | Data Integrity — Backup-Strategie | Vor Production Go-Live | + +--- + +## Wichtigste Erkenntnis + +Die **zwei AI Security Standards** (Generative AI + Agentic AI) sind **neu und kritisch** — CapaKraken nutzt: +- Azure OpenAI / Gemini fuer Text-Summaries und Bild-Generierung +- Einen AI Assistant (HartBOT) mit 87+ Tools und Zugriff auf alle Geschaeftsdaten +- Function Calling fuer automatisierte Aktionen (Allocations erstellen, Projekte aendern) + +Diese Standards muessen **prioritaer** gelesen und abgeglichen werden, da sie spezifische Controls fuer AI-gestuetzte Anwendungen definieren.