Nasze podejście do bezpieczeństwa
Traktujemy bezpieczeństwo jako podstawową cechę produktu, a nie jako dodatkową funkcję. Oznacza to: bezpieczne wartości domyślne, minimalistyczne konfiguracje, aktualne zależności oraz przyznawanie dostępu na zasadzie konieczności, a nie dla wygody. Ci sami inżynierowie, którzy wdrażają funkcje, zajmują się również bezpieczeństwem tych rozwiązań.
Ta podstrona podsumowuje nasze działania — posiadane certyfikaty, miejsce przechowywania danych, sposób ochrony płatności oraz sposób zgłaszania luk w zabezpieczeniach, jeżeli Państwo takową znajdą.
Certyfikacje i zgodność
Podlegamy następującym ramom i poddajemy się audytom zgodnie z nimi:
- RODO — pełna zgodność z unijnym Ogólnym Rozporządzeniem o Ochronie Danych, w tym opublikowana polityka prywatności, udokumentowany rejestr czynności przetwarzania oraz wyznaczony kontakt ds. ochrony danych.
- PCI DSS — dane kart płatniczych są przetwarzane wyłącznie przez Stripe, które posiada certyfikat PCI Level 1. Nigdy nie widzimy, nie przechowujemy ani nie przesyłamy surowych numerów kart.
- ISO 27001 — nasi dostawcy usług hostingowych i platformowych są certyfikowani; nasz wewnętrzny system zarządzania bezpieczeństwem informacji odzwierciedla te same kontrole.
- SOC 2 Type II — przeprowadzany corocznie dla platformy skierowanej do klientów.
Kopie certyfikatów są dostępne na żądanie za pośrednictwem strony kontaktowej.
Szyfrowanie danych w tranzycie i w spoczynku
Cały ruch do i z witryny wykorzystuje protokół TLS 1.3; starsze protokoły są wyłączone na poziomie modułu równoważenia obciążenia. HSTS jest egzekwowane z oknem wstępnego ładowania (preload), dzięki czemu przeglądarki odmawiają łączenia się przez nieszyfrowany protokół HTTP po pierwszej wizycie.
Dane w spoczynku w naszej bazie danych i w przechowywaniu obiektowym są szyfrowane przy użyciu AES-256. Klucze szyfrowania są zarządzane przez KMS dostawcy chmury; żaden inżynier nie posiada długoterminowego jawnego klucza.
Kontroly dostępu
Dostęp do środowiska produkcyjnego jest ograniczony do niewielkiej liczby konkretnych inżynierów. Uwierzytelnianie odbywa się przez SSO z obowiązkowym MFA — zazwyczaj jest to sprzętowy klucz bezpieczeństwa. Nie ma kont udostępnionych ani statycznych haseł do kont usług; każde długoterminowe poświadczenie jest rotowane automatycznie.
Każda operacja na danych produkcyjnych jest rejestrowana z informacją o podmiocie, czasie i wpływanym rekordzie. Dzienniki są niezmienne i przechowywane przez 12 miesięcy.
Bezpieczeństwo płatności
Wszystkie płatności są przetwarzane przez Stripe (a dla polskich nabywców przez Przelewy24). Obie te firmy są certyfikowanymi procesorami płatności PCI-DSS. Formularz karty jest renderowany w ich środowisku, tak aby dane karty nigdy nie trafiły na nasze serwery; otrzymujemy tylko ztokenizowane odniesienie.
Domyślnie włączamy 3-D Secure 2 i polegamy na silniku oceny ryzyka Stripe oraz własnych regułach limitowych, aby oznaczać próby oszustw. Zwroty są kierowane z powrotem tą samą metodą bez ręcznego obsługiwania danych karty.
Państwa dane
Zbieramy tylko minimum informacji wymaganych do zrealizowania zamówienia: imię i nazwisko, adres rozliczeniowy, adres e-mail, odniesienie do płatności. Nigdy nie sprzedajemy danych osobowych nikomu. Nie osadzamy zewnętrznych modułów śledzących reklamy.
Zgodnie z RODO przysługuje Państwu prawo do dostępu do swoich danych, ich sprostowania, eksportu lub usunięcia. Polityka prywatności wyjaśnia, jak można zrealizować te prawa oraz jak długo przechowywana jest każda kategoria danych.
Odpowiedzialne ujawnianie informacji
Jeżeli uważają Państwo, że znaleźli problem związany z bezpieczeństwem, prosimy o kontakt za pośrednictwem strony kontaktowej, a my odpowiemy w ciągu jednego dnia roboczego. Prosimy o opisanie problemu, jego lokalizację oraz sposób jego odtworzenia. Obecnie nie prowadzimy płatnego programu bug bounty, ale wymieniamy reporterów stosujących się do zasad odpowiedzialnego ujawniania na naszej publicznej stronie z podziękowaniami.
Prosimy, aby nie testować na kontach innych użytkowników, nie uruchamiać automatycznych skanerów przeciwko środowisku produkcyjnemu i nie ujawniać publicznie problemu, zanim nie będziemy mieli szansy go naprawić.