Hartmut
6ba3efd7ea
Mapped all Accenture IS Standards against CapaKraken tech stack. 19 standards relevant, ~68 not applicable. Key findings: - Application Security Standard: 73% compliant (already analyzed) - Gen AI + Agentic AI Standards: NEW, critical for HartBOT — must read - PostgreSQL, nginx, Container, DevSecOps: need gap analysis - 12 action items across 4 priority tiers Co-Authored-By: claude-flow <ruv@ruv.net>
7.4 KiB
7.4 KiB
CapaKraken — Accenture Security Standards Applicability Matrix
Stand: 2026-03-27 | Quelle: in.accenture.com/protectingaccenture/is-to-operations/architecture-standards/
Zusammenfassung
| Kategorie | Relevant | Nicht relevant | Gesamt |
|---|---|---|---|
| Enterprise Security Standards | 12 | 7 | 19 |
| AI Security Standards | 2 | 1 | 3 |
| Infrastructure Standards | 5 | ~60 | ~65 |
| Gesamt relevant | 19 | ~68 | ~87 |
Teil 1: Enterprise Security Standards
RELEVANT fuer CapaKraken (12 Standards)
| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf |
|---|---|---|---|---|
| 1 | Application Security Standard | KERN-Standard | 73% compliant (46/63 Controls) | Bereits detailliert analysiert — siehe acn-security-compliance-status.md |
| 2 | API Management Security Standard | tRPC-API | TEILWEISE — Rate Limiting, Auth, Validation vorhanden | Standard lesen und gegen tRPC-Implementierung abgleichen |
| 3 | Data Classification and Protection | Personaldaten (Names, Emails, Rates) | TEILWEISE — RBAC + Audit vorhanden, keine formale Datenklassifizierung | Datenklassifizierung durchfuehren (welche Felder sind HC/C/IR?) |
| 4 | Encryption Standard | Passwoerter, API Keys, DB-Verbindung | TEILWEISE — Argon2 Hashing, HTTPS via nginx, DB ohne TLS | PostgreSQL TLS aktivieren, Key-Rotation Prozess definieren |
| 5 | Identification and Authentication Standard | Login, MFA, Session Mgmt | HOCH — Auth.js + TOTP MFA + Session Timeouts implementiert | ESO-Integration evaluieren (aktuell eigene Auth) |
| 6 | Logging and Auditing Standard | Activity History | HOCH — Pino Logger + Audit Entries auf 29/36 Router | Log-Retention Policy definieren, zentrales Log-Shipping |
| 7 | Access Control Standard | RBAC, Permissions | HOCH — 5-stufiges RBAC + per-User Overrides | Formale Access-Review Prozedur dokumentieren |
| 8 | Security Remediation and Patch Management | Dependencies | TEILWEISE — Dependabot + npm audit Cron | Patch-SLA definieren (Critical: 48h, High: 7d, Medium: 30d) |
| 9 | User Authorization Standard | Wer darf was | HOCH — RBAC mit PermissionKey-System | Bereits implementiert, Review-Prozess dokumentieren |
| 10 | Data Integrity Standard | Daten-Konsistenz | TEILWEISE — Prisma Transactions, Audit Trail | Backup-Strategie + Integrity-Checks definieren |
| 11 | SaaS and PaaS Cloud Computing Security | Falls Cloud-Deployment | NIEDRIG aktuell (On-Prem Docker) | Relevant bei Cloud-Migration |
| 12 | Mobile Application Security Standard | PWA auf Mobile | NIEDRIG — PWA ist kein native App | Service Worker Security pruefen |
NICHT RELEVANT fuer CapaKraken (7 Standards)
| Standard | Grund |
|---|---|
| IaaS Cloud Computing Security | Kein IaaS-Deployment (Docker on-prem) |
| Domain Registration Security | Keine eigene Domain-Registrierung |
| External Personnel Access | Keine externen Nutzer |
| Public Key Infrastructure (PKI) | Keine PKI-Infrastruktur |
| Remote Access Standard | Kein VPN/Remote-Access-Thema |
| Asset Protection Standard (AFS) | Nur fuer Accenture LLP Software |
| Asset Classification & Protection (Tier 0) | Fuer Infrastruktur-Assets, nicht App-Level |
Teil 2: AI Security Standards
RELEVANT (2 Standards)
| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf |
|---|---|---|---|---|
| 13 | Generative AI Security Standard | Azure OpenAI + Gemini Integration | TODO | Standard lesen — betrifft AI Summary, Narrative Generation, Image Generation |
| 14 | Agentic AI Security Standard | HartBOT AI Assistant mit 87+ Tools | TODO | Standard lesen — betrifft Function Calling, Tool Execution, Data Access |
NICHT RELEVANT (1)
| Standard | Grund |
|---|---|
| Secure Vibe Coding Guideline | Fuer AI-gestuetzte Code-Generierung, nicht App-Feature |
Teil 3: Infrastructure Standards
RELEVANT (5 Standards)
| # | Standard | Relevanz | CapaKraken Status | Handlungsbedarf |
|---|---|---|---|---|
| 15 | PostgreSQL Security Standard | Haupt-Datenbank | TODO | Standard lesen und gegen aktuelle Config abgleichen |
| 16 | Nginx Security Standard | Reverse Proxy | TEILWEISE — Hardening-Template vorhanden (docs/nginx-hardening.conf) |
Template anwenden + gegen Standard pruefen |
| 17 | Container Security Standard | Docker Deployment | TODO | Docker-Compose Hardening (non-root, read-only FS, resource limits) |
| 18 | DevSecOps Standard | CI/CD Pipeline | TEILWEISE — GitHub Actions CI, Dependabot | Standard lesen, Compliance-Gaps identifizieren |
| 19 | Secure Code Repositories Standard | Gitea | TEILWEISE — Auth vorhanden, Branch Protection unklar | Branch Protection Rules + Signed Commits evaluieren |
NICHT RELEVANT (~60 Standards)
Betrifft Technologien die CapaKraken nicht nutzt:
- Windows/MacOS/Linux Workstation Standards (kein Desktop-Client)
- Microsoft 365/Teams/SharePoint/Defender Standards
- Network/Firewall/VPN/Switch Standards
- Citrix/VMware/Hyper-V Standards
- SAP/Oracle/MongoDB Standards
- Printer/PBX/IoT Standards
- Und weitere spezifische Infrastruktur-Standards
Action Plan: Priorisiert
Sofort (diese Woche)
| # | Aktion | Aufwand | Wer |
|---|---|---|---|
| A1 | Gen AI Security Standard lesen und Gap-Analyse erstellen | 2h | Entwickler |
| A2 | Agentic AI Security Standard lesen — HartBOT betrifft | 2h | Entwickler |
| A3 | Datenklassifizierung durchfuehren: welche Felder sind HC/Confidential/Internal/Unrestricted | 4h | PO + Entwickler |
Kurzfristig (2 Wochen)
| # | Aktion | Aufwand | Wer |
|---|---|---|---|
| B1 | PostgreSQL Security Standard lesen und abgleichen | 3h | DBA/DevOps |
| B2 | Container Security — Docker non-root, read-only, resource limits | 1 Tag | DevOps |
| B3 | API Management Security Standard gegen tRPC pruefen | 3h | Entwickler |
| B4 | Encryption Standard — PostgreSQL TLS, Key-Rotation | 1 Tag | DevOps |
| B5 | nginx Hardening-Template anwenden (bereits erstellt) | 30min | Ops |
Mittelfristig (1 Monat)
| # | Aktion | Aufwand | Wer |
|---|---|---|---|
| C1 | Logging Standard abgleichen — Log-Retention, zentrales Shipping | 1 Tag | DevOps |
| C2 | DevSecOps Standard — Pipeline-Compliance pruefen | 4h | DevOps |
| C3 | Secure Code Repositories — Branch Protection, Signed Commits | 2h | DevOps |
| C4 | Patch Management SLA definieren und dokumentieren | 2h | PO |
| C5 | Access Review Prozedur dokumentieren | 2h | PO |
Spaeter / Bei Bedarf
| # | Aktion | Trigger |
|---|---|---|
| D1 | SaaS/PaaS Cloud Security | Bei Cloud-Migration |
| D2 | Mobile Application Security | Bei nativer Mobile-App |
| D3 | Data Integrity — Backup-Strategie | Vor Production Go-Live |
Wichtigste Erkenntnis
Die zwei AI Security Standards (Generative AI + Agentic AI) sind neu und kritisch — CapaKraken nutzt:
- Azure OpenAI / Gemini fuer Text-Summaries und Bild-Generierung
- Einen AI Assistant (HartBOT) mit 87+ Tools und Zugriff auf alle Geschaeftsdaten
- Function Calling fuer automatisierte Aktionen (Allocations erstellen, Projekte aendern)
Diese Standards muessen prioritaer gelesen und abgeglichen werden, da sie spezifische Controls fuer AI-gestuetzte Anwendungen definieren.