Bezpieczeństwo na Poziomie Przedsiębiorstwa

Bezpieczeństwo Twoich danych jest naszym najwyższym priorytetem. Dowiedz się więcej o naszych kompleksowych środkach bezpieczeństwa, standardach zgodności i jak chronimy Twoje poufne informacje.

Szyfrowanie AES-256

Szyfrowanie klasy wojskowej dla wszystkich danych w spoczynku i w tranzycie

Zgodny z SOC 2

Audytowane kontrole bezpieczeństwa i standardy zgodności

99,9% SLA Dostępności

Niezawodna infrastruktura z automatycznym przełączaniem awaryjnym i kopiami zapasowymi

Szyfrowanie Danych

Szyfrowanie klasy wojskowej chroni Twoje dane na wszystkich poziomach

Szyfrowanie w Spoczynku

  • Szyfrowanie AES-256: Wszystkie dane przechowywane w naszych bazach danych są szyfrowane za pomocą Advanced Encryption Standard z kluczami 256-bitowymi
  • Szyfrowanie Bazy Danych: Firebase Firestore zapewnia automatyczne szyfrowanie w spoczynku dla wszystkich przechowywanych danych
  • Dane Biometryczne: Dane odcisków palców są haszowane przy użyciu SHA-256 i przechowywane w zaszyfrowanym formacie, uniemożliwiając inżynierię wsteczną
  • Szyfrowanie Kopii Zapasowych: Wszystkie kopie zapasowe są szyfrowane tym samym standardem AES-256
  • Przechowywanie Plików: Wszelkie przesłane pliki (raporty, dokumenty) są szyfrowane przed przechowywaniem

Szyfrowanie w Tranzycie

  • TLS 1.3: Wszystkie dane przesyłane między Twoją przeglądarką a naszymi serwerami używają Transport Layer Security 1.3
  • HTTPS Wszędzie: Cała nasza platforma działa przez HTTPS z włączonym HSTS
  • Bezpieczeństwo API: Wszystkie wywołania API są szyfrowane i uwierzytelniane za pomocą bezpiecznych tokenów
  • Przypinanie Certyfikatów: Nasze aplikacje mobilne używają przypinania certyfikatów, aby zapobiegać atakom man-in-the-middle

Zarządzanie Kluczami

  • Google Cloud KMS: Klucze szyfrowania są zarządzane przez Google Cloud Key Management Service
  • Rotacja Kluczy: Klucze szyfrowania są automatycznie rotowane co 90 dni
  • Kontrole Dostępu: Tylko autoryzowane systemy mogą uzyskać dostęp do kluczy szyfrowania, z pełnym rejestrowaniem audytu
  • Sprzętowe Moduły Bezpieczeństwa (HSM): Klucze są przechowywane w HSM certyfikowanych FIPS 140-2 Poziom 3

Uwierzytelnianie i Kontrola Dostępu

Wielowarstwowe bezpieczeństwo chroniące dostęp do konta

Uwierzytelnianie Dwuskładnikowe (2FA)

  • Wsparcie TOTP: Jednorazowe hasła oparte na czasie przez Google Authenticator, Authy lub podobne aplikacje
  • 2FA przez E-mail: Alternatywne 2FA przez kody weryfikacyjne e-mail
  • Obowiązkowe 2FA: Organizacje mogą wymusić 2FA dla wszystkich użytkowników
  • Kody Zapasowe: Kody odzyskiwania dostarczone w przypadku utraty urządzenia uwierzytelniającego

Bezpieczeństwo Hasła

  • Haszowanie Bcrypt: Wszystkie hasła są haszowane przy użyciu bcrypt z solą
  • Polityki Haseł: Minimum 8 znaków, wymagania złożoności wymuszone
  • Wykrywanie Naruszeń: Hasła są sprawdzane względem baz danych znanych naruszeń (Have I Been Pwned)
  • Ograniczanie Szybkości: Nieudane próby logowania są ograniczane, aby zapobiec atakom siłowym
  • Zarządzanie Sesją: Automatyczne wylogowanie po braku aktywności, konfigurowalne okresy timeout

Kontrola Dostępu Oparta na Rolach (RBAC)

  • Szczegółowe Uprawnienia: Dokładne kontrole dostępu dla różnych ról użytkowników (Admin, Menedżer, Pracownik)
  • Zasada Najmniejszego Przywileju: Użytkownicy mają dostęp tylko do danych niezbędnych dla ich roli
  • Izolacja Organizacji: Architektura wielodostępna zapewnia pełną izolację danych między organizacjami
  • Dzienniki Audytu: Wszystkie dostępy i zmiany uprawnień są rejestrowane i monitorowane

Uwierzytelnianie Firebase

  • Standard Branżowy: Zasilane przez platformę Firebase Authentication Google
  • OAuth 2.0: Wsparcie dla dostawców logowania społecznościowego (Google, Microsoft) z OAuth 2.0
  • Weryfikacja E-mail: Obowiązkowa weryfikacja e-mail dla wszystkich nowych kont
  • Odzyskiwanie Konta: Bezpieczne resetowanie hasła przez e-mail z tokenami o ograniczonym czasie

Bezpieczeństwo Infrastruktury

Infrastruktura chmurowa klasy przedsiębiorstwa z globalną nadmiarowością

Infrastruktura Chmurowa

  • Google Cloud Platform: Hostowane w Google Cloud z certyfikatami ISO 27001, SOC 2 i SOC 3
  • Wdrożenie Wieloregionowe: Dane replikowane w wielu regionach geograficznych dla nadmiarowości
  • Automatyczne Skalowanie: Infrastruktura automatycznie skaluje się, aby obsłużyć skoki ruchu
  • Ochrona DDoS: Google Cloud Armor zapewnia automatyczne łagodzenie DDoS
  • Izolacja Sieci: Prywatne sieci VPC z regułami zapory ogniowej i segmentacją sieci

Dostępność i Niezawodność

  • 99,9% SLA Dostępności: Gwarantowana dostępność usługi z kredytami finansowymi za przestoje
  • Automatyczne Przełączanie Awaryjne: Redundantne systemy automatycznie przejmują kontrolę w przypadku awarii
  • Równoważenie Obciążenia: Ruch rozdzielony między wieloma serwerami dla optymalnej wydajności
  • Monitorowanie Zdrowia: Zautomatyzowane monitorowanie 24/7 z natychmiastowymi alertami
  • Reakcja na Incydenty: Dedykowany zespół reaguje na incydenty w ciągu 15 minut

Kopia Zapasowa i Odzyskiwanie po Awarii

  • Ciągłe Kopie Zapasowe: Firebase zapewnia automatyczne, ciągłe kopie zapasowe danych
  • Odzyskiwanie do Punktu w Czasie: Przywracanie danych do dowolnego punktu w ciągu ostatnich 35 dni
  • Nadmiarowość Geograficzna: Kopie zapasowe przechowywane w wielu lokalizacjach geograficznych
  • Plan Odzyskiwania po Awarii: Kompleksowy plan DR z celem czasu odzyskiwania (RTO) 4 godzin
  • Testowanie Kopii Zapasowych: Regularne testy przywracania kopii zapasowych w celu zapewnienia integralności danych

Bezpieczeństwo Fizyczne

  • Centra Danych Google: Najnowocześniejsze obiekty z personelem ochrony 24/7
  • Dostęp Biometryczny: Dostęp do centrum danych kontrolowany przez uwierzytelnianie biometryczne
  • Nadzór Wideo: Ciągłe monitorowanie z nagrywaniem wideo
  • Kontrole Środowiskowe: Tłumienie pożaru, kontrola klimatu i nadmiarowość zasilania

Bezpieczeństwo Aplikacji

Bezpieczne praktyki kodowania i zarządzanie podatnościami

Bezpieczny Rozwój

  • Bezpieczny SDLC: Bezpieczeństwo zintegrowane w każdą fazę cyklu życia rozwoju oprogramowania
  • Przeglądy Kodu: Wszystkie zmiany kodu przeglądane przez wielu programistów przed wdrożeniem
  • Analiza Statyczna: Automatyczne skanowanie kodu pod kątem podatności bezpieczeństwa (SAST)
  • Skanowanie Zależności: Biblioteki stron trzecich skanowane pod kątem znanych podatności
  • Szkolenie z Bezpieczeństwa: Regularne szkolenia z bezpieczeństwa dla wszystkich członków zespołu programistycznego

Zarządzanie Podatnościami

  • Testy Penetracyjne: Coroczne testy penetracyjne przez strony trzecie przez certyfikowane firmy bezpieczeństwa
  • Program Nagród za Błędy: Program odpowiedzialnego ujawniania z nagrodami dla badaczy bezpieczeństwa
  • Skanowanie Podatności: Tygodniowe automatyczne skanowania pod kątem podatności bezpieczeństwa
  • Zarządzanie Poprawkami: Krytyczne poprawki bezpieczeństwa wdrażane w ciągu 24 godzin
  • Monitorowanie CVE: Ciągłe monitorowanie typowych podatności i ekspozycji

Ochrona OWASP Top 10

  • Wstrzyknięcie SQL: Zapytania sparametryzowane i ORM zapobiegają atakom wstrzyknięcia SQL
  • Zapobieganie XSS: Sanityzacja danych wejściowych i nagłówki Content Security Policy (CSP)
  • Ochrona CSRF: Tokeny anty-CSRF we wszystkich operacjach zmieniających stan
  • Wady Uwierzytelniania: Uwierzytelnianie standardu branżowego przez Firebase Auth
  • Błędna Konfiguracja Bezpieczeństwa: Automatyczne sprawdzanie konfiguracji i wzmacnianie
  • Ujawnienie Wrażliwych Danych: Szyfrowanie i bezpieczne przechowywanie wszystkich wrażliwych danych

Bezpieczeństwo API

  • Tokeny JWT: Uwierzytelnianie API przy użyciu JSON Web Tokens z wygasaniem
  • Ograniczanie Szybkości: Limity szybkości API zapobiegają nadużyciom i atakom DDoS
  • Walidacja Danych Wejściowych: Wszystkie dane wejściowe API walidowane i sanityzowane
  • OAuth 2.0: Bezpieczny dostęp do API stron trzecich z protokołem OAuth 2.0

Zgodność i Certyfikaty

Spełnianie globalnych standardów bezpieczeństwa i prywatności

SOC 2 Type II

Coroczne audyty naszych kontroli bezpieczeństwa, dostępności i poufności przez niezależnych audytorów zewnętrznych.

Zgodność z RODO

Pełna zgodność z ogólnym rozporządzeniem UE o ochronie danych, w tym prawami podmiotów danych i powiadomieniem o naruszeniu.

Zgodność z CCPA

Zgodność z kalifornijską ustawą o prywatności konsumentów dla klientów z siedzibą w USA z kompleksowymi kontrolami prywatności.

ISO 27001 (GCP)

Nasz dostawca infrastruktury (Google Cloud) posiada certyfikat ISO 27001 dla zarządzania bezpieczeństwem informacji.

PCI DSS

Przetwarzanie płatności przez procesory płatności zgodne z PCI DSS Poziom 1. Nigdy nie przechowujemy danych karty kredytowej.

Gotowy na HIPAA

Infrastruktura wspiera wymagania zgodności HIPAA dla organizacji opieki zdrowotnej (BAA dostępny na żądanie).

Prywatność i Ochrona Danych

Przejrzyste praktyki dotyczące danych i kontrole prywatności użytkownika

Minimalizacja Danych

  • Zbieramy tylko dane niezbędne do funkcjonalności usługi
  • Brak plików cookie śledzących w celach marketingowych
  • Dane biometryczne przechowywane w nieodwracalnym formacie hash
  • Opcjonalne funkcje pozwalają wyłączyć określone zbieranie danych

Prawa Użytkownika

  • Prawo Dostępu: Eksportuj wszystkie swoje dane w standardowych formatach (CSV, JSON, Excel)
  • Prawo do Usunięcia: Żądaj trwałego usunięcia swoich danych
  • Prawo do Sprostowania: Popraw niedokładne lub niepełne dane
  • Prawo do Przenoszenia: Przenieś dane do innego dostawcy usług
  • Prawo Sprzeciwu: Rezygnacja z komunikacji marketingowej i analityki

Umowy o Przetwarzaniu Danych

  • Standardowe Klauzule Umowne: Zatwierdzone przez UE SCC dla międzynarodowych transferów danych
  • Zgodność z RODO: Pełna zgodność z obowiązkami procesora z art. 28 RODO
  • Przejrzystość Podprocesorów: Publiczna lista wszystkich podprocesorów z powiadomieniem o zmianach
  • Powiadomienie o Naruszeniu Danych: Powiadomienie w ciągu 72 godzin od jakiegokolwiek naruszenia danych

Monitorowanie Bezpieczeństwa i Reakcja na Incydenty

Monitorowanie 24/7 i szybka reakcja na incydenty

Ciągłe Monitorowanie

  • Monitorowanie 24/7: Całodobowe monitorowanie infrastruktury i aplikacji
  • Integracja SIEM: Zarządzanie informacją i zdarzeniami bezpieczeństwa dla wykrywania zagrożeń
  • Wykrywanie Anomalii: Wykrywanie oparte na uczeniu maszynowym nietypowej aktywności
  • Alerty w Czasie Rzeczywistym: Natychmiastowe powiadomienia o incydentach bezpieczeństwa
  • Agregacja Logów: Scentralizowane rejestrowanie z retencją do analizy kryminalistycznej

Reakcja na Incydenty

  • Dedykowany Zespół: Zespół reagowania na incydenty bezpieczeństwa dostępny 24/7
  • Czas Reakcji: Wstępna odpowiedź w ciągu 15 minut od wykrycia krytycznego incydentu
  • Komunikacja: Przejrzysta komunikacja z dotkniętymi klientami podczas incydentów
  • Przegląd Po Incydencie: Szczegółowa analiza i działania naprawcze po incydentach
  • Powiadomienie Regulacyjne: Zgodność z wymogami powiadamiania o naruszeniu (RODO, CCPA)

Rejestrowanie Audytu

  • Kompleksowe Logi: Wszystkie działania użytkownika, zdarzenia systemowe i zdarzenia bezpieczeństwa rejestrowane
  • Niezmienne Logi: Logi nie mogą być modyfikowane ani usuwane, zapewniając integralność ścieżki audytu
  • Retencja Logów: Logi bezpieczeństwa przechowywane przez 2 lata dla zgodności i kryminalistyki
  • Aktywność Użytkownika: Klienci mogą przeglądać logi audytu swojej aktywności organizacyjnej

Dostęp i Szkolenie Pracowników

Rygorystyczne kontrole dostępu pracowników do danych klientów

Kontrole Dostępu

  • Najmniejszy Przywilej: Pracownicy mają dostęp tylko do danych niezbędnych dla ich funkcji zawodowej
  • Weryfikacja Przeszłości: Wszyscy pracownicy przechodzą weryfikację przeszłości przed zatrudnieniem
  • NDA i Poufność: Wszyscy pracownicy podpisują umowy o zachowaniu poufności
  • Przeglądy Dostępu: Kwartalne przeglądy uprawnień dostępu pracowników
  • Natychmiastowe Cofnięcie: Dostęp cofany natychmiast po rozwiązaniu umowy

Szkolenie z Bezpieczeństwa

  • Szkolenie Wdrożeniowe: Obowiązkowe szkolenie z bezpieczeństwa dla wszystkich nowych pracowników
  • Szkolenie Roczne: Coroczne szkolenie świadomości bezpieczeństwa z aktualnymi zagrożeniami
  • Symulacje Phishingu: Regularne testy phishingowe w celu utrzymania czujności
  • Ćwiczenia Reakcji na Incydenty: Kwartalne ćwiczenia reakcji na incydenty bezpieczeństwa
  • Szkolenie Zgodności: Szkolenie RODO, SOC 2 i ochrony danych

Dostęp do Danych Klientów

  • Brak Domyślnego Dostępu: Pracownicy nie mają dostępu do danych klientów domyślnie
  • Dostęp Wsparcia: Wsparcie klienta może uzyskać dostęp do danych tylko z wyraźnym pozwoleniem
  • Ścieżka Audytu: Cały dostęp pracowników do danych klientów jest rejestrowany i monitorowany
  • Anonimizacja Danych: Inżynierowie pracują z zanonimizowanymi danymi do debugowania

Najlepsze Praktyki Bezpieczeństwa dla Klientów

Zalecamy następujące praktyki w celu zwiększenia bezpieczeństwa Twojego konta:

  • Włącz uwierzytelnianie dwuskładnikowe (2FA) dla wszystkich użytkowników
  • Używaj silnych, unikalnych haseł (minimum 12 znaków)
  • Regularnie przeglądaj uprawnienia dostępu użytkowników i usuwaj niepotrzebny dostęp
  • Szkol pracowników w zakresie świadomości phishingu i inżynierii społecznej
  • Wdróż własne kontrole dostępu i polityki wewnętrzne
  • Regularnie eksportuj i twórz kopie zapasowe swoich danych
  • Monitoruj dzienniki audytu pod kątem podejrzanej aktywności
  • Natychmiast zgłaszaj wszelkie obawy dotyczące bezpieczeństwa na [email protected]

Program Odpowiedzialnego Ujawniania

Cenimy społeczność bezpieczeństwa i przyjmujemy raporty o podatnościach bezpieczeństwa. Jeśli odkryjesz problem bezpieczeństwa, zgłoś go odpowiedzialnie:

E-mail Bezpieczeństwa: [email protected]

Klucz PGP: Dostępny na żądanie dla zaszyfrowanej komunikacji

Czas Reakcji: Potwierdzamy raporty w ciągu 24 godzin

Nagrody za Błędy: Nagrody dostępne dla kwalifikujących się podatności

Wytyczne

  • Nie uzyskuj dostępu ani nie modyfikuj danych klientów bez autoryzacji
  • Nie przeprowadzaj ataków typu denial-of-service ani testów zakłócających
  • Pozwól nam na rozsądny czas na rozwiązanie problemu przed publicznym ujawnieniem
  • Podaj szczegółowe kroki reprodukcji i ocenę wpływu
  • Nie podejmiemy działań prawnych przeciwko badaczom działającym w dobrej wierze

Pytania Dotyczące Bezpieczeństwa?

Nasz zespół bezpieczeństwa jest tutaj, aby pomóc odpowiedzieć na Twoje pytania

Skontaktuj się z Zespołem Bezpieczeństwa Zobacz Politykę Prywatności