Twoje dane pod ochroną
Bezpieczeństwo jest wbudowane w każdą warstwę ZYNQ — od szyfrowania danych, przez ścisłą izolację między firmami, po redundantną infrastrukturę w Europie. Poniżej pokazujemy konkretnie, jak dbamy o to, co nam powierzasz.
Szyfrowanie danych
Najbardziej wrażliwe informacje chronimy szyfrowaniem — w spoczynku i w drodze.
Wrażliwe dane szyfrowane w bazie (AES-256-GCM)
Tokeny API integracji, dane dostępowe do marketplace, FTP, SMTP czy kurierów zapisujemy w bazie w postaci zaszyfrowanej. Nawet gdyby ktoś uzyskał dostęp do samej bazy, pozostają nieczytelne.
Cała komunikacja po HTTPS/TLS z wymuszonym HSTS
Połączenie z aplikacją jest zawsze szyfrowane, a polityka HSTS (z rocznym okresem i preloadem) sprawia, że przeglądarka nigdy nie połączy się z ZYNQ nieszyfrowanym kanałem.
Hasła nigdy nie są przechowywane jawnie
Hasła użytkowników zabezpieczamy silnym, jednokierunkowym hashowaniem (bcrypt) — nie da się ich odczytać, nawet mając dostęp do bazy.
Faktury KSeF szyfrowane zgodnie z wymogami MF
Dokumenty przesyłane do Krajowego Systemu e-Faktur zabezpieczamy zgodnie z wymaganiami Ministerstwa Finansów (AES-256 + RSA-OAEP).
Kontrola dostępu i izolacja danych
Każda firma widzi wyłącznie własne dane, a każdy użytkownik tylko to, na co ma uprawnienia.
Pełna izolacja między firmami
ZYNQ działa w modelu wielofirmowym, w którym dane każdej organizacji są od siebie odseparowane. Każde zapytanie jest ograniczone do Twojej organizacji — nie ma możliwości podejrzenia cudzych danych.
Role i uprawnienia (OWNER / ADMIN / MEMBER / VIEWER)
Precyzyjnie decydujesz, kto co widzi i może zrobić. Uprawnienia są sprawdzane po stronie serwera przy każdym żądaniu — nie da się ich obejść z poziomu przeglądarki.
Bezpieczne sesje i automatyczne wylogowanie
Sesje trzymamy w bezpiecznych, podpisanych ciasteczkach (__Secure-, SameSite). Po okresie bezczynności (domyślnie 30 minut) następuje automatyczne wylogowanie.
Polityka silnych haseł
Wymagamy haseł o odpowiedniej sile (minimum 8 znaków, wielkie i małe litery oraz cyfry), co utrudnia przejęcie konta.
Ochrona aplikacji
Aplikacja jest zaprojektowana tak, by domyślnie bronić się przed typowymi atakami.
Warstwa nagłówków bezpieczeństwa i ochrona CSRF
Stosujemy zestaw nagłówków (m.in. blokadę osadzania w ramkach — brak clickjackingu, Content-Security-Policy, ochronę przed podszywaniem typu treści) oraz ochronę przed atakami CSRF.
Walidacja i oczyszczanie każdego wejścia
Wszystkie dane wchodzące do systemu są walidowane i oczyszczane pod kątem prób wstrzyknięcia kodu (XSS), zanim cokolwiek zostanie zapisane lub wyświetlone.
Weryfikacja webhooków i limitowanie żądań
Powiadomienia z zewnętrznych systemów weryfikujemy podpisem (HMAC, z porównaniem odpornym na ataki czasowe), a limitowanie liczby żądań chroni przed nadużyciami.
Pełna ścieżka audytu i ochrona sekretów
Prowadzimy rejestr zdarzeń oraz historię logowań (adres IP, urządzenie). Wrażliwe pola są usuwane z odpowiedzi — sekrety nigdy nie trafiają do przeglądarki.
Niezawodna infrastruktura
Redundancja, izolacja i kopie zapasowe — tak, żeby Twoje dane były bezpieczne i dostępne.
Codzienne, automatyczne kopie zapasowe
Baza produkcyjna jest kopiowana automatycznie każdego dnia, z kilkudniową retencją. W razie awarii dane można odtworzyć — nic nie przepada.
Redundancja z automatycznym przełączaniem (failover)
Ruch obsługują nadmiarowe serwery aplikacyjne za load balancerem z kontrolą stanu. Jeśli jeden przestanie odpowiadać, drugi automatycznie przejmuje pracę — bez przestoju dla Ciebie.
Sieć prywatna i warstwowe zapory
Serwery komunikują się w izolowanej sieci prywatnej, a baza danych jest dostępna wyłącznie z jej wnętrza — nigdy bezpośrednio z internetu.
Prywatny magazyn plików i szyfrowane sekrety
Pliki użytkowników trzymamy w prywatnym magazynie obiektowym z całkowitą blokadą dostępu publicznego, a sekrety środowiskowe są szyfrowane — również w procesie wdrożenia nie ma jawnych haseł.
Dane w Unii Europejskiej — zgodność z RODO
Infrastruktura znajduje się w centrum danych na terenie UE (Niemcy). Aplikacja działa z zasadą najmniejszych uprawnień, a system jest stale monitorowany.
Jakość i procedury
Bezpieczeństwo to nie tylko technologia, ale też dyscyplina wprowadzania zmian.
Ponad 950 automatycznych testów
Zestaw testów jednostkowych i end-to-end (ponad 950 łącznie) pilnuje poprawności działania przy każdej zmianie w kodzie.
Osiem obowiązkowych bramek przed produkcją
Zanim jakakolwiek zmiana trafi na produkcję, musi przejść komplet kontroli: analizę kodu, kontrolę typów, testy jednostkowe i E2E, audyt bezpieczeństwa zależności, kontrolę migracji bazy, sprawdzenie pokrycia testami i build.
Blokada wdrożeń z podatnościami
Automatyczny audyt bezpieczeństwa bibliotek zewnętrznych zatrzymuje wdrożenie, jeśli wykryje znane podatności. Pokrycie testami nie może spaść — nowy kod musi mieć testy.
Przegląd każdej zmiany, powtarzalne wdrożenia
Żadna zmiana nie trafia na produkcję bez przeglądu (Pull Request) — brak zmian „na skróty”. Buildy są deterministyczne i powtarzalne, a testy regresyjne uruchamiamy dodatkowo cyklicznie.
Masz pytania o bezpieczeństwo lub przetwarzanie danych?
Chętnie odpowiemy. Na życzenie udostępniamy też szczegółowe informacje techniczne, umowę powierzenia przetwarzania danych (DPA) oraz pomoc przy ankiecie bezpieczeństwa Twojego zespołu.
lub pełna informacja o przetwarzaniu danych w Polityce prywatności.