Cum gândim securitatea
Tratăm securitatea ca pe o proprietate de bază a produsului, nu ca pe o funcție suplimentară. Asta înseamnă: setări implicite sigure, configurații minimale, dependențe actualizate și acces acordat în funcție de necesitate, nu de comoditate. Aceiași ingineri care livrează funcții se ocupă și de implicațiile de securitate ale acestora.
Această pagină rezumă ceea ce facem — certificările pe care le deținem, unde sunt stocate datele, cum sunt protejate plățile și cum să raportați o vulnerabilitate dacă găsiți una.
Certificări și conformitate
Suntem obligați și ne audităm conform următoarelor cadre:
- GDPR — conformitate deplină cu Regulamentul General privind Protecția Datelor al UE, inclusiv o politică de confidențialitate publicată, un registru documentat al activităților de prelucrare și un contact desemnat pentru protecția datelor.
- PCI DSS — datele cardurilor de plată sunt gestionate exclusiv de Stripe, care este certificat PCI Nivel 1. Nu vedem, stocăm sau transmitem niciodată numere brute de card.
- ISO 27001 — furnizorii noștri de găzduire și platformă sunt certificați; sistemul nostru intern de management al securității informațiilor oglindește aceleași controale.
- SOC 2 Tip II — finalizat anual pentru platforma destinată clienților.
Copii ale certificatelor sunt disponibile la cerere prin pagina de contact.
Criptare în tranzit și în repaus
Tot traficul către și de la site utilizează TLS 1.3; protocoalele mai vechi sunt dezactivate la nivelul balansoarului de sarcină. HSTS este aplicat cu o fereastră de preîncărcare, astfel încât browserele refuză conexiunile prin HTTP simplu după prima vizită.
Datele în repaus în baza noastră de date și stocarea de obiecte sunt criptate cu AES-256. Cheile de criptare sunt gestionate de KMS-ul furnizorului cloud; niciun inginer nu deține o cheie text simplu pe termen lung.
Controale de acces
Accesul la producție este restricționat la un număr mic de ingineri nominalizați. Autentificarea se face prin SSO cu MFA obligatoriu — de obicei o cheie de securitate hardware. Nu există conturi partajate și nicio parolă statică de cont de serviciu; fiecare acreditare pe termen lung este rotită automat.
Fiecare acțiune asupra datelor de producție este înregistrată cu actorul, ora și înregistrarea afectată. Jurnalele sunt imutabile și păstrate timp de 12 luni.
Securitatea plăților
Toate plățile trec prin Stripe (și, pentru cumpărătorii polonezi, Przelewy24). Ambele sunt procesatoare de plăți certificate PCI-DSS. Formularul cardului este redat în sandbox-ul lor, astfel încât datele cardului nu ajung niciodată pe serverele noastre; primim doar o referință tokenizată.
Activăm 3-D Secure 2 implicit și ne bazăm pe motorul de risc al Stripe, plus propriile noastre reguli de viteză, pentru a semnala încercările frauduloase. Rambursările sunt direcționate înapoi prin metoda originală, fără manipulare manuală a datelor cardului.
Datele dvs.
Colectăm minimul necesar pentru a livra o comandă: nume, adresă de facturare, e-mail, referință de plată. Nu vindem date personale nimănui, niciodată. Nu încorporăm trackere publicitare terțe.
În conformitate cu GDPR, aveți dreptul de a accesa datele dvs., de a le corecta, exporta sau șterge. Politica de confidențialitate explică cum să vă exercitați aceste drepturi și cât timp este păstrată fiecare categorie de date.
Dezvăluire responsabilă
Dacă considerați că ați găsit o problemă de securitate, vă rugăm să ne scrieți prin pagina de contact și vom răspunde în maximum o zi lucrătoare. Spuneți-ne care este problema, unde și cum să o reproducem. În prezent, nu derulăm un program plătit de recompense pentru bug-uri, dar credităm raportorii care respectă dezvăluirea responsabilă pe pagina noastră publică de recunoașteri de securitate.
Vă rugăm să nu testați pe conturile altor utilizatori, să nu rulați scanere automate împotriva producției și să nu dezvăluiți public o problemă înainte de a avea ocazia să o remediem.