Czy mogę zlecić zewnętrzny pentest mojej aplikacji?

Tak, jesteśmy otwarci na testy penetracyjne przeprowadzane przez zewnętrzne firmy. Współpracujemy z testerami, dostarczając niezbędne informacje i dostępy, a następnie wdrażamy znalezione rekomendacje.

Jak często wykonujecie backupy?

Backupy wykonujemy automatycznie codziennie w godzinach nocnych. Dodatkowo w krytycznych systemach możemy skonfigurować backupy częściej (np. co godzinę) lub continuous backup.

Czy mogę zintegrować aplikację z naszym SSO (Azure AD, Okta)?

Tak, wspieramy integracje z popularnymi dostawcami SSO poprzez protokoły SAML 2.0 i OpenID Connect. Koszt i czas integracji zależą od specyfiki Twojego środowiska.

Jak długo przechowujecie logi i audyty zmian?

Standardowo przechowujemy logi przez 90 dni, a audyty zmian (Git history) bezterminowo. W przypadku wymagań compliance (np. branża finansowa) możemy wydłużyć okres retencji logów.

Czy aplikacja jest zgodna z RODO/GDPR?

Tak, wszystkie nasze aplikacje projektujemy z myślą o zgodności z RODO. Implementujemy funkcje takie jak prawo do usunięcia, eksportu danych, consent management i data retention policies.

Czy moje dane mogą być przetwarzane poza UE?

Domyślnie używamy infrastruktury w UE (Europa Zachodnia). Jeśli wybierzesz dostawcę cloud poza UE, zapewniamy odpowiednie zabezpieczenia (Standard Contractual Clauses, encryption).

Bezpieczeństwo i Prywatność

Praktyki bezpieczeństwa, które chronią Twoje dane i aplikacje

Bezpieczeństwo to nie tylko technologia, ale przede wszystkim procesy i kultura organizacyjna. Przedstawiamy nasze podejście do backupów, kontroli dostępu, audytów zmian i testów penetracyjnych.

Kopie zapasowe i Disaster Recovery

Automatyczne backupy i procedury odtwarzania danych w przypadku awarii

Automatyczne kopie zapasowe

Codzienne backupy bazy danych i plików wykonywane automatycznie w godzinach nocnych z weryfikacją integralności.

Geograficzna redundancja

Backupy przechowywane w geograficznie rozproszonych lokalizacjach (multi-region) dla maksymalnej ochrony.

Polityka retencji

Przechowywanie backupów przez 30 dni z możliwością wydłużenia okresu retencji na życzenie klienta.

Testy odtwarzania

Regularne testy procedur disaster recovery (co najmniej raz na kwartał) z dokumentacją wyników.

RTO i RPO

Recovery Time Objective (RTO): do 4 godzin. Recovery Point Objective (RPO): maksymalnie 24 godziny.

Dostęp do kopii zapasowych

Możliwość udostępnienia backupu na żądanie klienta w ciągu 48 godzin w uzgodnionym formacie.

Kontrola dostępu i SSO

Zaawansowane mechanizmy uwierzytelniania i autoryzacji

Single Sign-On (SSO)

Integracja z dostawcami SSO (Azure AD, Google Workspace, Okta) dla wygodnego i bezpiecznego logowania.

Multi-Factor Authentication (MFA)

Obowiązkowe uwierzytelnianie wieloskładnikowe (2FA/MFA) dla wszystkich członków zespołu i administratorów.

Role-Based Access Control (RBAC)

Kontrola dostępu oparta na rolach - każdy użytkownik ma tylko niezbędne uprawnienia (principle of least privilege).

Audyt logowań

Wszystkie próby logowania i zmiany uprawnień są rejestrowane i regularnie przeglądane.

Session management

Automatyczne wylogowanie po okresie nieaktywności, bezpieczne przechowywanie sesji, rotacja tokenów.

IP whitelisting

Możliwość ograniczenia dostępu do panelu administracyjnego do określonych adresów IP.

Audyt zmian i kontrola wersji

Pełna historia zmian w kodzie i konfiguracji

Git version control

Wszystkie zmiany w kodzie są wersjonowane w Git z obowiązkowymi commit message zgodnie z Conventional Commits.

Code review obowiązkowy

Każda zmiana przechodzi przez code review - minimum jedna osoba musi zaakceptować przed merge do głównej gałęzi.

Audit trail

Pełna historia zmian w kodzie, konfiguracji i infrastrukturze z możliwością śledzenia, kto, kiedy i co zmienił.

Dokumentacja zmian

Changelog i release notes dla każdego wdrożenia - transparentna komunikacja wszystkich zmian.

Rollback capability

Możliwość szybkiego wycofania zmian (rollback) w przypadku wykrycia problemów po wdrożeniu.

Change approval process

Proces zatwierdzania zmian produkcyjnych z odpowiednimi procedurami i checklistami.

Testy penetracyjne i audyty bezpieczeństwa

Regularne testy bezpieczeństwa i analiza podatności

Testy penetracyjne na życzenie

Możliwość zamówienia profesjonalnych testów penetracyjnych przez zewnętrzne firmy certyfikowane (OSCP, CEH).

Automatyczne skanowanie podatności

Regularne skanowanie aplikacji pod kątem znanych podatności (OWASP Top 10, CVE) z wykorzystaniem SAST i DAST.

Dependency scanning

Automatyczne sprawdzanie zależności (npm, NuGet) w poszukiwaniu znanych luk bezpieczeństwa.

Code security audit

Regularna analiza kodu pod kątem najlepszych praktyk bezpieczeństwa (secure coding, OWASP).

Infrastructure security

Audyt konfiguracji infrastruktury (firewall rules, network segmentation, encryption).

Raportowanie i remediation

Szczegółowe raporty z wykrytych problemów bezpieczeństwa z planem naprawy i priorytetami.

Ochrona danych klienta

Jak chronimy prywatność i dane klientów

Szyfrowanie at rest

Wszystkie dane w bazie i plikach są szyfrowane w spoczynku (AES-256) - w tym backupy.

Szyfrowanie in transit

Komunikacja zawsze przez HTTPS/TLS 1.3 - żadnych niezabezpieczonych połączeń.

Zgodność z RODO/GDPR

Pełna zgodność z regulacjami ochrony danych osobowych - prawo do usunięcia, eksportu i modyfikacji danych.

Data segregation

W aplikacjach multi-tenant dane są logicznie i fizycznie oddzielone między klientami.

Data retention policy

Jasna polityka przechowywania danych - automatyczne usuwanie po upływie określonego czasu.

Data breach response

Procedury reagowania na incydenty bezpieczeństwa i naruszenia danych zgodnie z RODO.

Powiązane polityki i regulaminy

Szczegółowe dokumenty dotyczące prywatności i warunków usług

Polityka prywatności

Szczegółowe informacje o przetwarzaniu danych osobowych, cookies i prawach użytkowników.

Czytaj więcej →

Polityka cookies

Informacje o wykorzystywanych plikach cookies i możliwości zarządzania nimi.

Czytaj więcej →

Regulamin świadczenia usług

Warunki współpracy, odpowiedzialność i procedury rozstrzygania sporów.

Czytaj więcej →

Najczęściej zadawane pytania

Masz pytania o bezpieczeństwo?

Chętnie omówimy szczegóły naszych praktyk bezpieczeństwa i dostosujemy je do Twojego projektu

Skontaktuj się Zobacz SLA i Bezpieczeństwo