ClientFlow
Bezpieczeństwo przede wszystkim

Bezpieczeństwo

Bezpieczeństwo Twoich danych jest naszym najwyższym priorytetem. Wdrażamy standardowe w branży środki bezpieczeństwa, aby chronić Twoją firmę i dane Twoich klientów. Wszystkie dane są hostowane w Niemczech, w Unii Europejskiej, na infrastrukturze Hetzner.

Active
Monitoring
<72h
Powiadomienie o Naruszeniu
TLS 1.3
Szyfrowanie transportu
RODO
Zgodność

Ochrona danych

Szyfrowanie w spoczynku

Zaszyfrowane

Wolumeny bazy danych są szyfrowane w spoczynku na poziomie infrastruktury. Wrażliwe dane uwierzytelniające i tokeny płatnicze są dodatkowo szyfrowane na poziomie aplikacji przed zapisem.

Szyfrowanie w transmisji

TLS 1.3

Wszystkie dane przesyłane między Twoją przeglądarką a naszymi serwerami są szyfrowane przy użyciu TLS 1.3 z nowoczesnymi zestawami szyfrów.

Uwierzytelnianie OAuth 2.0

OAuth 2.0

Do bezpiecznego uwierzytelniania używamy standardowego w branży OAuth 2.0 z Google, Facebook i Apple. Hasła nie są przechowywane.

Bezpieczeństwo tokenów JWT

Rotacja

Tokeny dostępu wygasają po 1 godzinie. Tokeny odświeżania są rotowane przy każdym użyciu i mogą być natychmiast unieważnione.

Bezpieczeństwo infrastruktury

ISO 27001 (DC)

Hostowane w Hetznerze w Niemczech. Centra danych Hetzner posiadają certyfikat ISO 27001 i zapewniają fizyczne bezpieczeństwo klasy enterprise oraz ochronę DDoS na brzegu sieci.

Kopie zapasowe bazy danych

Kopie zapasowe

Kopie zapasowe PostgreSQL są wykonywane przed każdym wdrożeniem produkcyjnym i każdą migracją. Kopie zapasowe są przechowywane na chronionych wolumenach i zachowywane w celu szybkiego wycofywania zmian.

Praktyki bezpieczeństwa

Monitorowanie błędów

Błędy aplikacji oraz nieudane próby uwierzytelnienia są rejestrowane i monitorowane za pomocą Sentry, aby wcześnie wykrywać anomalie.

Regularne aktualizacje

Zależności i systemy są regularnie aktualizowane, aby eliminować luki w zabezpieczeniach i utrzymywać dobre praktyki.

Kontrola dostępu

Izolacja danych na użytkownika oraz kontrola dostępu oparta na rolach (RBAC) gwarantują, że członkowie zespołu mają dostęp wyłącznie do danych niezbędnych do ich roli.

Wewnętrzny przegląd kodu

Zmiany w kodzie przechodzą przed wydaniem wewnętrzny przegląd bezpieczeństwa ze zautomatyzowanymi narzędziami (Bandit, skanowanie zależności).

Zgodność i certyfikacje

Zgodne z RODO

  • Umowy przetwarzania danych
  • Prawo do dostępu i usunięcia
  • Przenoszalność danych
  • Powiadomienie o naruszeniu

PCI DSS

  • Bezpieczne przetwarzanie płatności przez iyzico
  • Brak przechowywania danych kart
  • Tokenizowane transakcje
  • Ochrona przed oszustwami

Reakcja na incydenty

Nasze zobowiązanie

W mało prawdopodobnym przypadku incydentu bezpieczeństwa wpływającego na Twoje dane, zobowiązujemy się do:

  • Powiadamiania dotkniętych użytkowników w ciągu 72 godzin od wykrycia
  • Dostarczania jasnych informacji o tym, jakie dane zostały dotknięte
  • Podejmowania natychmiastowych kroków w celu powstrzymania i naprawienia incydentu
  • Przeprowadzania dokładnych przeglądów po incydencie

Zgłoś lukę w zabezpieczeniach

Doceniamy odpowiedzialne ujawnianie. Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją nam pod adresem contact@clientflow.center

Potwierdzimy otrzymanie w ciągu 24 godzin i będziemy współpracować z Tobą, aby zrozumieć i szybko rozwiązać problem.

Powiązane dokumenty

Polityka PrywatnościUmowa Przetwarzania DanychWarunki Świadczenia Usług