Podstawowe zasady bezpieczeństwa

Wrażliwe dane powinny pozostawać pod kontrolą organizacji, która je posiada. Operacje kryptograficzne realizowane są lokalnie - żadne niezaszyfrowane dane nie przechodzą przez sieci zewnętrzne ani nie są przechowywane na infrastrukturze stron trzecich.

Mechanizmy bezpieczeństwa muszą być weryfikowalne i oparte na otwartych standardach. Implementacje kryptograficzne stosują powszechnie uznane badania i ustalone standardy - nie ma tu zastrzeżonych algorytmów typu „czarna skrzynka".

Systemy bezpieczeństwa muszą działać bezpiecznie nawet w skompromitowanych środowiskach. Każdy komponent systemu zakłada zero trust - uwierzytelnianie, autoryzacja i weryfikacja integralności realizowane są na każdej warstwie.

Systemy przedkładają niezawodność i bezpieczeństwo nad wygodę. Bezpieczne domyślne ustawienia, łagodna degradacja i deterministyczne zachowanie w warunkach awarii to fundamentalne wymagania inżynieryjne.

Systemy bezpieczeństwa nie powinny w dużym stopniu opierać się na infrastrukturze stron trzecich. Możliwości detekcji, analizy i odpowiedzi działają niezależnie - utrzymując ochronę nawet gdy usługi zewnętrzne są niedostępne.