Zaufanie i ochrona danych

Twoje dane pod ochroną

Bezpieczeństwo jest wbudowane w każdą warstwę ZYNQ — od szyfrowania danych, przez ścisłą izolację między firmami, po redundantną infrastrukturę w Europie. Poniżej pokazujemy konkretnie, jak dbamy o to, co nam powierzasz.

Szyfrowanie danych

Najbardziej wrażliwe informacje chronimy szyfrowaniem — w spoczynku i w drodze.

Wrażliwe dane szyfrowane w bazie (AES-256-GCM)

Tokeny API integracji, dane dostępowe do marketplace, FTP, SMTP czy kurierów zapisujemy w bazie w postaci zaszyfrowanej. Nawet gdyby ktoś uzyskał dostęp do samej bazy, pozostają nieczytelne.

Cała komunikacja po HTTPS/TLS z wymuszonym HSTS

Połączenie z aplikacją jest zawsze szyfrowane, a polityka HSTS (z rocznym okresem i preloadem) sprawia, że przeglądarka nigdy nie połączy się z ZYNQ nieszyfrowanym kanałem.

Hasła nigdy nie są przechowywane jawnie

Hasła użytkowników zabezpieczamy silnym, jednokierunkowym hashowaniem (bcrypt) — nie da się ich odczytać, nawet mając dostęp do bazy.

Faktury KSeF szyfrowane zgodnie z wymogami MF

Dokumenty przesyłane do Krajowego Systemu e-Faktur zabezpieczamy zgodnie z wymaganiami Ministerstwa Finansów (AES-256 + RSA-OAEP).

Kontrola dostępu i izolacja danych

Każda firma widzi wyłącznie własne dane, a każdy użytkownik tylko to, na co ma uprawnienia.

Pełna izolacja między firmami

ZYNQ działa w modelu wielofirmowym, w którym dane każdej organizacji są od siebie odseparowane. Każde zapytanie jest ograniczone do Twojej organizacji — nie ma możliwości podejrzenia cudzych danych.

Role i uprawnienia (OWNER / ADMIN / MEMBER / VIEWER)

Precyzyjnie decydujesz, kto co widzi i może zrobić. Uprawnienia są sprawdzane po stronie serwera przy każdym żądaniu — nie da się ich obejść z poziomu przeglądarki.

Bezpieczne sesje i automatyczne wylogowanie

Sesje trzymamy w bezpiecznych, podpisanych ciasteczkach (__Secure-, SameSite). Po okresie bezczynności (domyślnie 30 minut) następuje automatyczne wylogowanie.

Polityka silnych haseł

Wymagamy haseł o odpowiedniej sile (minimum 8 znaków, wielkie i małe litery oraz cyfry), co utrudnia przejęcie konta.

Ochrona aplikacji

Aplikacja jest zaprojektowana tak, by domyślnie bronić się przed typowymi atakami.

Warstwa nagłówków bezpieczeństwa i ochrona CSRF

Stosujemy zestaw nagłówków (m.in. blokadę osadzania w ramkach — brak clickjackingu, Content-Security-Policy, ochronę przed podszywaniem typu treści) oraz ochronę przed atakami CSRF.

Walidacja i oczyszczanie każdego wejścia

Wszystkie dane wchodzące do systemu są walidowane i oczyszczane pod kątem prób wstrzyknięcia kodu (XSS), zanim cokolwiek zostanie zapisane lub wyświetlone.

Weryfikacja webhooków i limitowanie żądań

Powiadomienia z zewnętrznych systemów weryfikujemy podpisem (HMAC, z porównaniem odpornym na ataki czasowe), a limitowanie liczby żądań chroni przed nadużyciami.

Pełna ścieżka audytu i ochrona sekretów

Prowadzimy rejestr zdarzeń oraz historię logowań (adres IP, urządzenie). Wrażliwe pola są usuwane z odpowiedzi — sekrety nigdy nie trafiają do przeglądarki.

Niezawodna infrastruktura

Redundancja, izolacja i kopie zapasowe — tak, żeby Twoje dane były bezpieczne i dostępne.

Codzienne, automatyczne kopie zapasowe

Baza produkcyjna jest kopiowana automatycznie każdego dnia, z kilkudniową retencją. W razie awarii dane można odtworzyć — nic nie przepada.

Redundancja z automatycznym przełączaniem (failover)

Ruch obsługują nadmiarowe serwery aplikacyjne za load balancerem z kontrolą stanu. Jeśli jeden przestanie odpowiadać, drugi automatycznie przejmuje pracę — bez przestoju dla Ciebie.

Sieć prywatna i warstwowe zapory

Serwery komunikują się w izolowanej sieci prywatnej, a baza danych jest dostępna wyłącznie z jej wnętrza — nigdy bezpośrednio z internetu.

Prywatny magazyn plików i szyfrowane sekrety

Pliki użytkowników trzymamy w prywatnym magazynie obiektowym z całkowitą blokadą dostępu publicznego, a sekrety środowiskowe są szyfrowane — również w procesie wdrożenia nie ma jawnych haseł.

Dane w Unii Europejskiej — zgodność z RODO

Infrastruktura znajduje się w centrum danych na terenie UE (Niemcy). Aplikacja działa z zasadą najmniejszych uprawnień, a system jest stale monitorowany.

Jakość i procedury

Bezpieczeństwo to nie tylko technologia, ale też dyscyplina wprowadzania zmian.

Ponad 950 automatycznych testów

Zestaw testów jednostkowych i end-to-end (ponad 950 łącznie) pilnuje poprawności działania przy każdej zmianie w kodzie.

Osiem obowiązkowych bramek przed produkcją

Zanim jakakolwiek zmiana trafi na produkcję, musi przejść komplet kontroli: analizę kodu, kontrolę typów, testy jednostkowe i E2E, audyt bezpieczeństwa zależności, kontrolę migracji bazy, sprawdzenie pokrycia testami i build.

Blokada wdrożeń z podatnościami

Automatyczny audyt bezpieczeństwa bibliotek zewnętrznych zatrzymuje wdrożenie, jeśli wykryje znane podatności. Pokrycie testami nie może spaść — nowy kod musi mieć testy.

Przegląd każdej zmiany, powtarzalne wdrożenia

Żadna zmiana nie trafia na produkcję bez przeglądu (Pull Request) — brak zmian „na skróty”. Buildy są deterministyczne i powtarzalne, a testy regresyjne uruchamiamy dodatkowo cyklicznie.

Masz pytania o bezpieczeństwo lub przetwarzanie danych?

Chętnie odpowiemy. Na życzenie udostępniamy też szczegółowe informacje techniczne, umowę powierzenia przetwarzania danych (DPA) oraz pomoc przy ankiecie bezpieczeństwa Twojego zespołu.

lub pełna informacja o przetwarzaniu danych w Polityce prywatności.