Доверие и сигурност — какво използваме и къде

TracePass е дружество, регистрирано в България, което изгражда платформа за Цифров продуктов паспорт за съответствие в ЕС. Обработваме данните за продукти на клиентите върху инфраструктура в ЕС с документирани подизпълнители. Клиентът е администратор на данните; TracePass е обработващ.

Тази страница е единствената справка за обществени поръчки относно нашия път на данните, контролите за сигурност, условията за отговорност и съответствието за оперативна съвместимост. Актуализира се при всяка значима промяна; вижте датата в долната част.

Продукционните данни се намират върху инфраструктура в ЕС. Бекендът на приложението работи на Hetzner Falkenstein; маркетинговият фронтенд на Vercel EU edge регионите; основната база данни на MongoDB Atlas в регион eu-west-1 (Франкфурт); файловото хранилище на Cloudflare R2 в EU региони.

AI обработката за извличане по категории и преводи се задейства само по заявка на клиента и е уредена с изричен DPA с Anthropic. Никакви данни на клиента не се споделят с трети страни извън документирания списък с подизпълнители.

• Бекенд на приложениетоНалично

  Hetzner CX22, Falkenstein, Германия

• Маркетингов фронтендНалично

  Vercel EU edge региони

• Основна база данниНалично

  MongoDB Atlas, eu-west-1 (Франкфурт)

• Файлово хранилищеНалично

  Cloudflare R2, EU региони

Всяка структура, която обработва данните на клиентите от наше име, е изброена по-долу. Добавянията към този списък задействат предварително уведомление по член 28 от GDPR с разумен срок за възражение. Премахванията (когато подизпълнител прекратява услугата) се документират ретроспективно тук и чрез имейл до клиентите.

Стандартен DPA за обработващ е достъпен при поискване преди клиентските данни да започнат да текат. SLA за уведомяване при нарушение: 72 часа от потвърден инцидент.

Сигурно по подразбиране изпълнение на инфраструктурата плюс контроли на ниво приложение. Криптиране в покой е осигурено от всеки подизпълнител за съхранение; TLS 1.3 е задължителен за целия клиентски трафик. Идентичността е custom JWT + bcrypt + еднократна ротация на refresh токени; контролите за достъп са по роли (owner, admin, editor, viewer) с rate limiting на всички пътища за удостоверяване.

• Криптиране в покойНалично

  MongoDB Atlas, Cloudflare R2 — AES-256 по подразбиране

• Криптиране при преносНалично

  TLS 1.3

• УдостоверяванеНалично

  JWT (HS256, 15 мин) + ротация на refresh токени (30 д, еднократно, макс. 5 на потребител)

• Контрол на достъпа по ролиНалично

  owner > admin > editor > viewer; прилагане на ниво маршрут

• Rate limitingНалично

  Влизане (5/15мин/IP), регистрация (5/мин/IP), качване на файл (60/мин/компания), v1 API (по план)

• Резервни копия на базата данниНалично

  30-дневно point-in-time възстановяване на MongoDB Atlas; периодично тествано възстановяване

• Одитни логовеНалично

  Всяка промяна на паспорта се записва с времеви отпечатък, извършител и diff на ниво поле; показва се в таймлайна на таблото за управление

• Заглавия за сигурностНалично

  X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy

Стандартният таван на отговорността е 12× месечни такси. Корпоративните клиенти могат да договорят анекс за 24× за по-висок профил на риск. Изключенията при обезщетение покриват претенции за интелектуална собственост от трети страни и регулаторни санкции, проследими до грешка на доставчика.

Застраховката Errors & Omissions (E&O) е в процес на оформяне — котировката е в ход, очакваме скоро да приключи. Таванът ще бъде публикуван тук, след като полицата влезе в сила.

• Стандартен таван на отговорносттаНалично

  12× месечни такси

• Enterprise анексНалично

  24× месечни такси, налично за Enterprise договори

• Застраховка E&OВ процес

  Котировката е в ход; таванът ще бъде публикуван тук, след като полицата влезе в сила

• Рамков договор за услугиНалично

  Същинските клаузи са в публичните Общи условия (§10 прекратяване + 30-дневен гратисен период на resolver, §11 разделен SLA, §12 клиентът-като-администратор, §13 source code escrow при Enterprise). Корпоративните клиенти могат да договорят анекси (персонализиран SLA, анекс за отговорност, тригери за escrow) върху стандартните Условия.

Съответствие спрямо публикувани стандарти за оперативна съвместимост — какво е тествано, какво е документирано, какво още изчаква. „Следваме спецификацията" не е твърдение за съответствие; публикувани резултати от тестове и документирано съответствие на ниво поле са.

• Съответствие по GS1 Digital LinkНалично

  Поведението на резолвера е самотестирано спрямо спецификацията GS1 Digital Link v2.0 — endpoint за описание на услугата, разрешаване на GTIN/сериен номер, договаряне на съдържание JSON-LD, изход linkset+json, заглавия Vary, 404 при неизвестни URL. Възпроизводим скрипт е публикуван на scripts/gs1-conformance-check.ts (committed в repo на платформата); клиенти и одитори могат да го пуснат срещу всеки TracePass-хостван резолвер. Външният тест срещу хостваната референтна пакет на GS1 е планиран отделно.

• Schema.org JSON-LDНалично

  Излъчва се на всяка публична страница (начало, категории, ресурси, регулаторни матрици, ръководство за купувача). Валидирано спрямо Google Rich Results Test.

• JSON-LD content negotiation на URL на паспортаНалично

  Публичните URL на паспортите връщат application/ld+json, когато заглавието Accept изрично го предпочита; в противен случай HTML. Същият URL договор — няма отделна крайна точка за откриване. Реализирано чрез middleware на Next.js, което пренасочва към route handler, връщащ същата JSON-LD полезна нагрузка като вградения тег <script>.

• Съответствие с речника на CIRPASSНалично

  Съответствието на ниво поле по шаблон е документирано; пропуските са изрично посочени с целева версия.

• Структурна поддръжка на GS1 GLN — икономически оператори с множество ролиНалично

  Всеки паспорт носи структурен блок parties, ключиран по роля на икономическия оператор (производител / вносител / упълномощен представител / дистрибутор / рециклатор / организация за отговорност на производителя). GLN са валидирани 13-цифрови GS1 идентификатори (mod-10 контролна цифра) и се излъчват и в gs1:partyGLN (GS1 Web Vocabulary), и в schema:identifier propertyID GS1:GLN (schema.org огледало). Изискваните роли по категория съответстват на всяко регулиране (Регламент за батериите 2023/1542 членове 47–50: производител + рециклатор + PRO; PPWR 2025/40 член 11: производител + PRO; Директива за безопасност на играчките член 4: производител + вносител за производители извън ЕС). Доставчици без GLN могат да запишат legacyOperatorId (VAT / EORI / национален данъчен идентификатор) вместо това — всяка страна остава проследима. Достъпно през редактора в таблото, v1 API (PATCH /api/v1/passports/:id/parties/:role) и CSV масово импортиране (колони с точкови ключове).

• Публична OpenAPI 3.1 спецификацияНалично

  Ръчно написана OpenAPI 3.1 спецификация, покриваща всеки v1 REST endpoint (19 пътя, 23 операции през паспорти, продукти, експорти). Публикувана на /openapi.yaml с JSON огледало на /openapi.json — без NDA, без signup стена. Импортира се директно в Postman / Insomnia / Bruno или произволен openapi-generator клиент. Работещи примери в curl / TypeScript / Python живеят до всеки endpoint в /docs. Четенето и записването са симетрични с таблото — всичко, което може да се направи в UI, може да се управлява и през API.

Членства и присъединявания към екосистеми, които позиционират TracePass в инфраструктурата на ЕС за Цифрови продуктови паспорти. Към днешна дата не съществува официален регистър на ЕС за „одобрени доставчици на DPP" — Централният регистър на ЕС за DPP е планиран да заработи на 19 юли 2026 г. едновременно с пълното прилагане на ESPR, а техническата спецификация за интеграция на доставчици все още се публикува на части. Дотогава легитимните сигнали са: GS1 (органът за разпределение на идентификатори), CIRPASS / CIRPASS-2 (финансираното от ЕС координационно действие, което подготвя регистъра) и проектът Battery Pass (индустриалният консорциум за крайния срок за паспорт на батериите през 2027 г.).

Изброяваме всяко присъединяване честно: налично означава, че членството / участието е активно и проверимо; в процес — че сме кандидатствали и чакаме потвърждение; изчаква — че планираме да кандидатстваме, но още не сме започнали. Купувачите от обществени поръчки трябва да третират „изчаква" по същия начин, по който третират всяко твърдение от пътната карта — заявено намерение, а не доставен резултат.

• GS1 България — национална членска организация на GS1Изчаква

  GS1 е световната организация по стандартизация, която разпределя GTIN-ове и поддържа формата на URI GS1 Digital Link, който всеки QR код на паспорт от TracePass използва (/p/01/<GTIN>/21/<сериен>). Членството в GS1 България е легитимният път за разпределяне на реални GTIN диапазони за продуктите на нашите клиенти в мащаб и предоставя реципрочен достъп до GS1 Германия / GS1 Италия и др. при работа в целия ЕС. Заявлението изчаква.

• CIRPASS-2 — финансирано от ЕС координационно действиеИзчаква

  CIRPASS-2 е координационно действие, финансирано от програма Horizon на ЕС, което подготвя техническата инфраструктура, рамката за управление и пилотните внедрявания за екосистемата на ЕС за Цифрови продуктови паспорти. Участващите организации допринасят за работата на работните групи и сигнализират статус на индустриално членство, който купувачите в обществените поръчки разпознават като легитимен. Заявлението изчаква.

• Проект Battery Pass — индустриален консорциумИзчаква

  Финансиран от BMWK германски индустриален консорциум, който публикува насоки за съдържание и референтна архитектура за паспорта на батериите в ЕС (задължителен от февруари 2027 г. съгласно Регламент (ЕС) 2023/1542). Мрежата от членове включва VDMA, Audi, BASF, Circulor и други. Релевантно основно когато миксът ни от клиенти включва производители на батерии за EV / индустриални / LMT. Ангажиментът изчаква — ще се свържем, когато конвейерът ни от клиенти в категорията батерии оправдае таксите за членство.

• Интеграция с Централния регистър на ЕС за DPPИзчаква

  Централният регистър на ЕС за DPP е планиран да заработи на 19 юли 2026 г. едновременно с пълното прилагане на ESPR (Регламент (ЕС) 2024/1781). Той ще съдържа поне списък на уникалните идентификатори на продукти и URL адреси на носителите на данни, за да позволи трансгранично разрешаване на паспорти. TracePass ще се интегрира като доставчик на услуги от името на клиентите — записвайки UPI-и и URL адреси на резолвера в регистъра. Техническата спецификация на API все още не е публикувана; интеграционната работа зависи от тази публикация. Следете страницата на Европейската комисия за DPP за публикуване на спецификацията.