Bezpieczeństwo i architektura
Stack jawnie, nie „zaufaj nam”
To samo, co pokazalibyśmy audytorowi Twojego klienta - zero czarnej skrzynki. Poniżej rozróżniamy wprost, co jest gotowe dziś, a co dopiero planujemy.
To nie jest certyfikat ani raport z audytu
Dwa różne systemy poniżej
app-nis2, dziś w fazie budowy F1) - tam żyją rejestry, dokumenty i dane organizacji partnerów. Sekcje niżej opisują oba systemy osobno, żeby nigdy ich nie mylić.Ta strona publiczna
szbihub.pl - dziś, jako fakt
Ten serwis (Astro, statyczny build, Cloudflare Pages) nie ma nic do złamania - nie ma serwera aplikacyjnego ani bazy danych.
Zero backendu, zero PII
Strona jest w 100% statyczna (Astro, build-time) - żadnego serwera aplikacyjnego, bazy ani przechowywania danych po stronie tego serwisu. Formularze (np. zapis NFR, kurs e-mailowy) wysyłają dane na konfigurowalny endpoint UE poza tym repozytorium - nigdy nie trafiają one na infrastrukturę tej strony.Wymuszone HTTPS + nagłówki bezpieczeństwa
Hosting (Cloudflare Pages) serwuje wyłącznie po HTTPS. Skonfigurowane nagłówki odpowiedzi (public/_headersw tym repozytorium): HSTS, ścisłaContent-Security-Policy,X-Frame-Options: DENY,X-Content-Type-Options: nosniff, ograniczonaPermissions-Policy.Zero cookies, zero trackerów
Dziś nie zbieramy żadnych statystyk odwiedzin - stąd brak bannera zgody na cookies (pełny opis: /cookies). W przyszłości możemy uruchomić samohostowaną, cookieless analitykę (Plausible, UE) bez profilowania użytkowników; zanim to nastąpi, zaktualizujemy politykę cookies. Żadnych pikseli reklamowych ani trackerów stron trzecich.Kalkulatory 100% po stronie przeglądarki
Kalkulator kwalifikacji i generator terminów (/narzedzia) liczą wyłącznie w przeglądarce - wpisane dane nigdzie nie są wysyłane.
Platforma SZBIhub
Architektura produktu - co działa, co jest planowane
Platforma to osobny produkt (repozytorium app-nis2), dziś w fazie budowy F1 - poniżej stan faktyczny, nie zapowiedź marketingowa.
Stack
.NET 10, PostgreSQL, hosting docelowo w UE (VPS OVHcloud, Warszawa - zatwierdzony D-R2-10) - żadnego podprocesora danych Twoich klientów spoza Europy.Uwierzytelnianie i dostęp
Rejestracja wyłącznie przez zaproszenie (token, TTL), polityka haseł min. 12 znaków, blokada konta po 5 nieudanych próbach logowania. Uwierzytelnianie dwuskładnikowe (TOTP) z kodami odzyskiwania, wymuszone dla ról administracyjnych (PlatformAdmin, PartnerAdmin).Izolacja tenantów
Partner -> organizacja klienta to twarda granica danych. Dziś: globalne filtry zapytań na każdej encji przypisanej do organizacji/partnera + blokada zapisu poza właściwym zakresem (próba zapisu z cudzym identyfikatorem organizacji jest odrzucana), pokryte kanonicznym zestawem testów izolacji. Docelowo (F4): dodatkowo Postgres Row-Level Security jako druga, niezależna warstwa ochrony (defense-in-depth).Audit log append-only
Rejestr zdarzeń (logowania, eksporty, impersonacje, zatwierdzenia dokumentów) zapisywany w trybie append-only na poziomie aplikacji - każdy wpis niesie aktora, ewentualnego impersonatora, partnera, organizację i identyfikator korelacji. Docelowo (F4) wzmacniany dodatkowo triggerem bazodanowym blokującym UPDATE/DELETE na wpisach.Szyfrowanie
Ta strona publiczna: HTTPS wymuszony już dziś (patrz wyżej). Platforma: docelowo (F4) automatyczne TLS na każdej subdomenie partnera (reverse proxy z certyfikatem wildcard) oraz szyfrowane at-rest kopie zapasowe (patrz niżej) - produkcyjny hosting platformy jeszcze nie istnieje (dziś: środowisko deweloperskie fazy F1), więc nie deklarujemy dziś żadnego stanu produkcyjnego szyfrowania w spoczynku.Backupy i procedura restore
Docelowo (F4): nocne kopie bazy danych, szyfrowane at-rest, przechowywane w UE, retencja 30 dni + 12 miesięcznych, wraz z runbookiem opisującym przetestowaną procedurę przywracania. Element planowany - nie deklarujemy wykonanego dziś restore'u.Eksport bez lock-in
Już dziś: każdy rejestr (aktywa, ryzyka, incydenty, dostawcy) eksportujesz do CSV lub PDF z poziomu platformy. Docelowo (F4): pełny eksport wszystkich danych organizacji jednym kliknięciem (komplet dokumentów, rejestrów i terminów w jednym archiwum) - funkcja planowana, jeszcze niedostępna. Zero lock-in to zasada projektowa, nie tylko slogan.
Dostawcy
Subprocesorzy
Kto ma dostęp do jakich danych, w jakim celu i gdzie - jawnie, z lokalizacją. Slot z niewybranym dostawcą jest oznaczony TODO-CONTENT, nigdy nie wymyślamy nazwy dostawcy.
| Podmiot | Kategoria | Cel przetwarzania | Lokalizacja | Dane przetwarzane |
|---|---|---|---|---|
| OVHcloud (OVH Groupe SAS) | hosting | Hosting aplikacji i bazy danych (VPS). | UE - Polska (Warszawa) | Wszystkie dane powierzone. |
| Scaleway TEM (Scaleway SAS) | Wysyłka e-mail transakcyjnych. | UE - Francja (brak transferów poza UE) | Adres e-mail, imię/nazwisko odbiorcy, treść powiadomienia. | |
| Scaleway Object Storage (Scaleway SAS) | backup | Przechowywanie zaszyfrowanych kopii zapasowych. | Francja - UE | Kopie wszystkich danych powierzonych (zaszyfrowane). |
| Cloudflare, Inc.TODO-CONTENT | network | DNS / CDN strony publicznej. | wg konfiguracji (dziś: DNS + hosting statycznej strony www) | Strona publiczna nie zawiera danych powierzonych; jeżeli proxy obejmie aplikację - metadane ruchu. |
Ta sama lista - jako Załącznik B umowy powierzenia (art. 28 ust. 2 RODO) - jest publikowana na stronie /dpa.
Poza listą podprocesorów
Te podmioty i to oprogramowanie nie są podprocesorami danych powierzonych - w brzmieniu źródła DPA (kwalifikację potwierdza radca przed publikacją produkcyjną):
Paddle.com Market Limited (Londyn)TODO-CONTENT
Merchant of Record; przetwarza dane rozliczeniowe kupującego jako ODRĘBNY ADMINISTRATOR (paddle.com/privacy); nie przetwarza danych Organizacji.
TODO-CONTENT: kwalifikację (odrębny administrator, nie podprocesor) potwierdzi radca - poz. D-2 rejestru niepewności DPA.
Plausible (self-host)
Planowane narzędzie analityki odwiedzin strony publicznej - cookieless, zbiorcze statystyki bez profilowania. Na dzień tej wersji NIE działa: dziś nie zbieramy żadnych statystyk odwiedzin. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; przed uruchomieniem zaktualizujemy Politykę prywatności i Politykę cookies.
GlitchTip (self-host)
Planowane narzędzie monitoringu błędów aplikacji. Na dzień tej wersji NIE działa. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; założenie projektowe dla error-trackingu: bez danych osobowych w zdarzeniach.
Zgłaszanie luk
Zgłaszanie podatności
Znalazłeś lukę bezpieczeństwa? Chcemy o niej wiedzieć.
security.txt (RFC 9116)
Kontakt
Historia
Changelog bezpieczeństwa
Wpisy dotyczące bezpieczeństwa i architektury - najnowsze pierwsze.
Strona /security opublikowana
11 lipca 2026
Architektura bezpieczeństwa platformy (izolacja tenantów, audit log, MFA, backupy, eksport danych) opisana wprost - co działa dziś, a co jest planowane na etap F4. Lista subprocesorów, security.txt (RFC 9116) i proces zgłaszania podatności.
Pełny changelog produktu (wszystkie kategorie): /changelog.