Polityka Bezpieczeństwa Tracelia

1. Infrastruktura i Bezpieczeństwo Chmury

Działamy w architekturze "Zero Trust", wykorzystując światowej klasy dostawców chmury, aby zapewnić maksymalną dostępność, redundancję i bezpieczeństwo.

1.1. Hosting i Centra Danych

• Przetwarzanie podstawowe: Nasza logika aplikacji jest hostowana na Render (infrastruktura oparta na AWS), głównie w regionie Frankfurt (EU-Central-1), aby zapewnić zgodność z RODO i niskie opóźnienia dla rynków europejskich.
• Dostarczanie frontendu: Używamy sieci Edge Vercel do globalnego dostarczania treści, zapewniając szybkie czasy ładowania i ochronę przed atakami DDoS.
• Bezpieczeństwo fizyczne: Nie posiadamy ani nie obsługujemy fizycznych centrów danych. Nasi dostawcy infrastruktury utrzymują certyfikaty standardów branżowych. Sama Tracelia nie jest obecnie certyfikowana zgodnie z tymi standardami, ale polega na certyfikowanych dostawcach infrastruktury.

1.2. Bezpieczeństwo Sieci

• Proxy Cloudflare: Ruch do Tracelia przechodzi przez Cloudflare, zapewniając Web Application Firewall (WAF), automatyczne łagodzenie DDoS i ochronę przed botami.
• Szyfrowanie w tranzycie: Wszystkie dane przesyłane między Twoim urządzeniem a naszymi serwerami są szyfrowane przy użyciu TLS 1.2 lub 1.3. Wykorzystujemy HSTS (HTTP Strict Transport Security) do wymuszania bezpiecznych połączeń.
• Szyfrowanie w spoczynku: Wszystkie produkcyjne bazy danych i buckety przechowywania plików są szyfrowane w spoczynku przy użyciu standardów AES-256.

2. Bezpieczeństwo Aplikacji

Nasza platforma jest zaprojektowana zgodnie z zasadami "Bezpieczeństwo przez Design" w celu ochrony kont użytkowników i integralności danych.

2.1. Uwierzytelnianie i Autoryzacja

• Hashowanie haseł: Hasła użytkowników nigdy nie są przechowywane w postaci jawnej. Używamy Argon2id, najnowocześniejszego algorytmu hashującego odpornego na pamięć i ataki brute-force GPU/ASIC.
• Zarządzanie tokenami: Dostęp do API jest zabezpieczony przez krótkotrwałe JWT (JSON Web Tokens) do dostępu i bezpiecznie rotowane Refresh Tokeny do zarządzania sesjami.
• RBAC: Architektura platformy wymusza ścisłą Kontrolę Dostępu Opartą na Rolach (Właściciel, Admin, Edytor, Przeglądający) na poziomie API.
• 2FA: Uwierzytelnianie dwuskładnikowe (TOTP) będzie dostępne po uruchomieniu komercyjnym.

2.2. Standardy Rozwoju

• Analiza statyczna: Używamy zautomatyzowanych narzędzi (SAST) do skanowania kodu pod kątem luk przed każdym wdrożeniem.
• Bezpieczeństwo łańcucha dostaw: Regularnie skanujemy nasze zależności oprogramowania pod kątem znanych luk za pomocą zautomatyzowanych narzędzi (np. Dependabot, Snyk).
• Izolacja środowisk: Utrzymujemy ścisłe rozdzielenie między środowiskami Development, Staging i Production. Dane testowe nigdy nie są używane w środowisku produkcyjnym.

3. Ochrona Danych i Ciągłość

3.1. Bezpieczeństwo Baz Danych

• Używamy zarządzanych baz danych PostgreSQL z automatycznymi codziennymi kopiami zapasowymi.
• Kopie zapasowe są szyfrowane i przechowywane w wielu strefach dostępności, aby zapewnić trwałość danych.
• Point-in-Time Recovery (PITR): Nasza konfiguracja pozwala na przywrócenie bazy danych do określonego stanu w przypadku krytycznej awarii.

3.2. Przechowywanie Plików

• Certyfikaty produktów i dokumenty są przechowywane w Cloudflare R2 (magazyn obiektowy zgodny z S3).
• Presigned URLs: Prywatne pliki są serwowane przez czasowo ograniczone, podpisane URL-e, zapewniając, że tylko autoryzowani użytkownicy mogą uzyskać dostęp do określonych dokumentów, zapobiegając nieautoryzowanemu masowemu scrapingowi.

4. Dostęp Wewnętrzny i Operacje

Jako projekt kierowany przez założyciela, priorytetowo traktujemy zasadę najmniejszych uprawnień we wszystkich procedurach operacyjnych.

• Kontrola dostępu: Dostęp do infrastruktury produkcyjnej jest ograniczony wyłącznie do upoważnionego personelu inżynieryjnego (obecnie Założyciel) i jest chroniony przez uwierzytelnianie wieloskładnikowe (MFA/2FA).
• Ścieżki audytu: Wrażliwe działania w systemie (np. zmiany schematu bazy danych, wyzwalacze wdrożeń) są rejestrowane do przeglądu bezpieczeństwa.
• Bezpieczeństwo urządzeń: Stacje robocze deweloperów są zabezpieczone szyfrowaniem dysku (FileVault/BitLocker) i silnymi hasłami.

5. Zgodność i Prywatność

5.1. RODO

Tracelia jest zbudowana, aby być w pełni zgodna z Ogólnym Rozporządzeniem o Ochronie Danych (RODO).

• Minimalizacja danych: Projektujemy nasze modele danych, aby zbierać tylko to, co jest niezbędne dla usługi.
• Prawo do usunięcia: Nasza architektura obsługuje trwałe usuwanie danych klientów na żądanie (z zastrzeżeniem przepisów o retencji danych dotyczących zgodności produktów).
• Przetwarzanie danych: Po uruchomieniu komercyjnym zaoferujemy standardową Umowę Powierzenia Przetwarzania Danych (DPA) dla naszych klientów B2B.

5.2. Audyty Zewnętrzne

Podczas gdy Tracelia działa jako Podmiot Przetwarzający, polegamy na podprocesorach, którzy posiadają certyfikaty najwyższej klasy, takie jak ISO 27001, SOC 2 i FedRAMP.

6. Zarządzanie Podatnościami

6.1. Proces Obsługi

Poważnie traktujemy raporty o bezpieczeństwie.

• Triażowanie: Zgłoszone podatności są przeglądane i priorytetyzowane na podstawie powagi (CVSS).
• Naprawa: Dążymy do rozwiązania krytycznych podatności priorytetowo, zazwyczaj w ciągu 48 godzin, a problemów o wysokiej wadze tak szybko, jak to możliwe.

6.2. Odpowiedzialne Ujawnianie

Cenimy opinie badaczy bezpieczeństwa. Jeśli uważasz, że znalazłeś podatność w Tracelia, prosimy o odpowiedzialne zgłoszenie.

Kontakt

W przypadku pytań lub wątpliwości dotyczących bezpieczeństwa, prosimy o kontakt z naszym Zespołem Bezpieczeństwa pod adresem: security@tracelia.com.