Bezpieczeństwo i architektura

Stack jawnie, nie „zaufaj nam”

To samo, co pokazalibyśmy audytorowi Twojego klienta - zero czarnej skrzynki. Poniżej rozróżniamy wprost, co jest gotowe dziś, a co dopiero planujemy.

To nie jest certyfikat ani raport z audytu

SZBIhub nie posiada dziś certyfikacji ISO/IEC 27001, atestacji SOC 2 ani zewnętrznego testu penetracyjnego - i nie twierdzimy inaczej. Ta strona to opis architektury, jaką faktycznie budujemy, punkt po punkcie, z jawnym oznaczeniem elementów planowanych („docelowo”) wobec tych już działających. Sprzeczność z tym, co produkt faktycznie robi, zgłoś na [email protected].

Dwa różne systemy poniżej

Ta strona publiczna (szbihub.pl, ten serwis) jest w 100% statyczna - bez backendu, bazy danych czy formularzy zapisujących dane bezpośrednio tutaj. Platforma SZBIhub to osobny produkt (repozytorium app-nis2, dziś w fazie budowy F1) - tam żyją rejestry, dokumenty i dane organizacji partnerów. Sekcje niżej opisują oba systemy osobno, żeby nigdy ich nie mylić.

Ta strona publiczna

szbihub.pl - dziś, jako fakt

Ten serwis (Astro, statyczny build, Cloudflare Pages) nie ma nic do złamania - nie ma serwera aplikacyjnego ani bazy danych.

  • Zero backendu, zero PII

    Strona jest w 100% statyczna (Astro, build-time) - żadnego serwera aplikacyjnego, bazy ani przechowywania danych po stronie tego serwisu. Formularze (np. zapis NFR, kurs e-mailowy) wysyłają dane na konfigurowalny endpoint UE poza tym repozytorium - nigdy nie trafiają one na infrastrukturę tej strony.
  • Wymuszone HTTPS + nagłówki bezpieczeństwa

    Hosting (Cloudflare Pages) serwuje wyłącznie po HTTPS. Skonfigurowane nagłówki odpowiedzi (public/_headers w tym repozytorium): HSTS, ścisła Content-Security-Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, ograniczonaPermissions-Policy.
  • Zero cookies, zero trackerów

    Dziś nie zbieramy żadnych statystyk odwiedzin - stąd brak bannera zgody na cookies (pełny opis: /cookies). W przyszłości możemy uruchomić samohostowaną, cookieless analitykę (Plausible, UE) bez profilowania użytkowników; zanim to nastąpi, zaktualizujemy politykę cookies. Żadnych pikseli reklamowych ani trackerów stron trzecich.
  • Kalkulatory 100% po stronie przeglądarki

    Kalkulator kwalifikacji i generator terminów (/narzedzia) liczą wyłącznie w przeglądarce - wpisane dane nigdzie nie są wysyłane.

Platforma SZBIhub

Architektura produktu - co działa, co jest planowane

Platforma to osobny produkt (repozytorium app-nis2), dziś w fazie budowy F1 - poniżej stan faktyczny, nie zapowiedź marketingowa.

  • Stack

    .NET 10, PostgreSQL, hosting docelowo w UE (VPS OVHcloud, Warszawa - zatwierdzony D-R2-10) - żadnego podprocesora danych Twoich klientów spoza Europy.
  • Uwierzytelnianie i dostęp

    Rejestracja wyłącznie przez zaproszenie (token, TTL), polityka haseł min. 12 znaków, blokada konta po 5 nieudanych próbach logowania. Uwierzytelnianie dwuskładnikowe (TOTP) z kodami odzyskiwania, wymuszone dla ról administracyjnych (PlatformAdmin, PartnerAdmin).
  • Izolacja tenantów

    Partner -> organizacja klienta to twarda granica danych. Dziś: globalne filtry zapytań na każdej encji przypisanej do organizacji/partnera + blokada zapisu poza właściwym zakresem (próba zapisu z cudzym identyfikatorem organizacji jest odrzucana), pokryte kanonicznym zestawem testów izolacji. Docelowo (F4): dodatkowo Postgres Row-Level Security jako druga, niezależna warstwa ochrony (defense-in-depth).
  • Audit log append-only

    Rejestr zdarzeń (logowania, eksporty, impersonacje, zatwierdzenia dokumentów) zapisywany w trybie append-only na poziomie aplikacji - każdy wpis niesie aktora, ewentualnego impersonatora, partnera, organizację i identyfikator korelacji. Docelowo (F4) wzmacniany dodatkowo triggerem bazodanowym blokującym UPDATE/DELETE na wpisach.
  • Szyfrowanie

    Ta strona publiczna: HTTPS wymuszony już dziś (patrz wyżej). Platforma: docelowo (F4) automatyczne TLS na każdej subdomenie partnera (reverse proxy z certyfikatem wildcard) oraz szyfrowane at-rest kopie zapasowe (patrz niżej) - produkcyjny hosting platformy jeszcze nie istnieje (dziś: środowisko deweloperskie fazy F1), więc nie deklarujemy dziś żadnego stanu produkcyjnego szyfrowania w spoczynku.
  • Backupy i procedura restore

    Docelowo (F4): nocne kopie bazy danych, szyfrowane at-rest, przechowywane w UE, retencja 30 dni + 12 miesięcznych, wraz z runbookiem opisującym przetestowaną procedurę przywracania. Element planowany - nie deklarujemy wykonanego dziś restore'u.
  • Eksport bez lock-in

    Już dziś: każdy rejestr (aktywa, ryzyka, incydenty, dostawcy) eksportujesz do CSV lub PDF z poziomu platformy. Docelowo (F4): pełny eksport wszystkich danych organizacji jednym kliknięciem (komplet dokumentów, rejestrów i terminów w jednym archiwum) - funkcja planowana, jeszcze niedostępna. Zero lock-in to zasada projektowa, nie tylko slogan.

Dostawcy

Subprocesorzy

Kto ma dostęp do jakich danych, w jakim celu i gdzie - jawnie, z lokalizacją. Slot z niewybranym dostawcą jest oznaczony TODO-CONTENT, nigdy nie wymyślamy nazwy dostawcy.

PodmiotKategoriaCel przetwarzaniaLokalizacjaDane przetwarzane
OVHcloud (OVH Groupe SAS)hostingHosting aplikacji i bazy danych (VPS).UE - Polska (Warszawa)Wszystkie dane powierzone.
Scaleway TEM (Scaleway SAS)emailWysyłka e-mail transakcyjnych.UE - Francja (brak transferów poza UE)Adres e-mail, imię/nazwisko odbiorcy, treść powiadomienia.
Scaleway Object Storage (Scaleway SAS)backupPrzechowywanie zaszyfrowanych kopii zapasowych.Francja - UEKopie wszystkich danych powierzonych (zaszyfrowane).
Cloudflare, Inc.TODO-CONTENTnetworkDNS / CDN strony publicznej.wg konfiguracji (dziś: DNS + hosting statycznej strony www)Strona publiczna nie zawiera danych powierzonych; jeżeli proxy obejmie aplikację - metadane ruchu.

Ta sama lista - jako Załącznik B umowy powierzenia (art. 28 ust. 2 RODO) - jest publikowana na stronie /dpa.

Poza listą podprocesorów

Te podmioty i to oprogramowanie nie są podprocesorami danych powierzonych - w brzmieniu źródła DPA (kwalifikację potwierdza radca przed publikacją produkcyjną):

  • Paddle.com Market Limited (Londyn)TODO-CONTENT

    Merchant of Record; przetwarza dane rozliczeniowe kupującego jako ODRĘBNY ADMINISTRATOR (paddle.com/privacy); nie przetwarza danych Organizacji.

    TODO-CONTENT: kwalifikację (odrębny administrator, nie podprocesor) potwierdzi radca - poz. D-2 rejestru niepewności DPA.

  • Plausible (self-host)

    Planowane narzędzie analityki odwiedzin strony publicznej - cookieless, zbiorcze statystyki bez profilowania. Na dzień tej wersji NIE działa: dziś nie zbieramy żadnych statystyk odwiedzin. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; przed uruchomieniem zaktualizujemy Politykę prywatności i Politykę cookies.

  • GlitchTip (self-host)

    Planowane narzędzie monitoringu błędów aplikacji. Na dzień tej wersji NIE działa. Może zostać uruchomione wyłącznie jako oprogramowanie self-host na własnej infrastrukturze Usługodawcy (na VPS z poz. 1) - wtedy nie będzie odrębnym podmiotem przetwarzającym; założenie projektowe dla error-trackingu: bez danych osobowych w zdarzeniach.

Zgłaszanie luk

Zgłaszanie podatności

Znalazłeś lukę bezpieczeństwa? Chcemy o niej wiedzieć.

security.txt (RFC 9116)

Maszynowo czytelny plik pod adresem /.well-known/security.txt - kontakt, data wygaśnięcia i odnośnik do tej strony jako polityki. Bez opublikowanego klucza PGP (nie mamy dziś procesu zarządzania kluczem - nie udajemy inaczej).

Kontakt

Zgłoszenia przyjmujemy na [email protected]. Dziś czyta je i odpowiada na nie osobiście założyciel (nie mamy jeszcze formalnego dyżuru ani programu bug bounty z wynagrodzeniem) - potwierdzamy odbiór i informujemy o dalszych krokach.

Historia

Changelog bezpieczeństwa

Wpisy dotyczące bezpieczeństwa i architektury - najnowsze pierwsze.

  • Strona /security opublikowana

    11 lipca 2026

    Architektura bezpieczeństwa platformy (izolacja tenantów, audit log, MFA, backupy, eksport danych) opisana wprost - co działa dziś, a co jest planowane na etap F4. Lista subprocesorów, security.txt (RFC 9116) i proces zgłaszania podatności.

Pełny changelog produktu (wszystkie kategorie): /changelog.