TRUST CENTER
Bezpieczeństwo i compliance
zaufanie udokumentowane
Praktyki bezpieczeństwa i ochrony danych w produktach ITEON. Stosujemy zasady stosowane przy projektach dla sektora bankowego, ubezpieczeniowego i administracji.
Status systemów na żywo
Monitorujemy dostępność wszystkich naszych usług w czasie rzeczywistym. Historyczne incydenty, planowane okna serwisowe i metryki uptime dostępne publicznie.
Architektura bezpieczeństwa
Jak chronimy Twoje dane
Szyfrowanie
TLS 1.2+ dla ruchu zewnętrznego (Cloudflare + Azure). Szyfrowanie w spoczynku po stronie Azure (managed disk encryption, PostgreSQL Flexible Server encryption at rest). Hasła użytkowników haszowane Argon2id z parametrami OWASP 2025. Per-user Data Encryption Keys dla danych wrażliwych z opcją crypto-shredding w procedurze usuwania konta.
Sieć Azure
API i Redis w Azure Container Apps (Poland Central, ruch wewnętrzny). PostgreSQL Flexible Server (Poland Central) dostępny przez listę dozwolonych IP. Static Web Apps (West Europe) serwują frontend. Cały ruch chroniony Cloudflare TLS + WAF.
Audit trail
Zdarzenia bezpieczeństwa (login, autoryzacja, dostęp do danych wrażliwych) zapisywane w Azure Log Analytics. Domyślna retencja workspace: 30 dni. Każde zdarzenie ma traceId zgodny z W3C Trace Context, dostępny w Sentry i logach aplikacji.
Self-service RODO
Użytkownik usuwa konto i eksportuje dane samodzielnie: DELETE /users/me/account (z 30-dniowym grace period zgodnie z RODO art. 17) i GET /users/me/data-export (job-based eksport zgodny z RODO art. 20). Brak ręcznych kroków po naszej stronie poza wsparciem na żądanie.
Zero Trust po stronie aplikacji
Walidacja wejść na każdym poziomie (Zod w API, Zod/FluentValidation w klientach). DPoP (RFC 9449) dla autoryzowanych endpointów MCP. App Attestation dla aplikacji mobilnej (DeviceCheck na iOS, Play Integrity na Android). Rotacja tokenów refresh z detekcją kradzieży.
Sanityzacja błędów
Logi techniczne zawierają pełen stacktrace dla zespołu inżynierów. Komunikaty dla użytkownika są czyste i nie ujawniają wewnętrznej architektury. Sentry skonfigurowany z PII scrub (wyłączony defaultPii, viewHierarchy i screenshots).
Subprocesorzy
Lista podmiotów przetwarzających dane
Lista dostawców (subprocesorów) z których korzystamy do dostarczania usług. Każdy z nich ma własne warunki przetwarzania (DPA / SCC). Listę aktualizujemy gdy zmienia się stack technologiczny.
| Dostawca | Cel przetwarzania | Lokalizacja danych | Podstawa prawna |
|---|---|---|---|
| Microsoft Azure | Hosting API (Container Apps), baza PostgreSQL, cache Redis, frontend (Static Web Apps), logi (Log Analytics) | Poland Central (API, baza, cache), West Europe (frontend hosting) | Microsoft Online Services DPA + EU Data Boundary |
| Microsoft Entra External ID | Provider tożsamości (logowanie firmowe Microsoft, OIDC dla web i mobile) | Microsoft EU data residency | Microsoft Online Services DPA |
| Cloudflare, Inc. | DNS, CDN, WAF, Workers (MCP marketing endpoint mcp.iteon.pl) | Sieć globalna z preferencją EU edge | Cloudflare DPA + EU SCC |
| Stripe Payments Europe Ltd. | Procesor płatności (gateway, billing), używany dla płatnych usług | Irlandia (EU) z subprocesorami globalnymi | Stripe DPA + EU SCC |
| Resend | Wysyłka transakcyjnych emaili (rejestracja, weryfikacja, powiadomienia) | Unia Europejska (AWS eu-west-1) | Resend DPA |
| Twilio Ireland Ltd. | Weryfikacja SMS (kod jednorazowy podczas onboardingu, opt-in) | Irlandia (EU) z subprocesorami globalnymi | Twilio DPA + EU SCC |
| Anthropic, PBC | Model językowy Claude (chat AI, analiza tekstu), opt-in funkcji AI | USA | Anthropic Commercial Terms + SCC; brak treningu na danych klienta |
| OpenAI Ireland Ltd. | Model językowy GPT (chat AI, embeddings), opt-in funkcji AI | USA z możliwością EU Data Residency w wybranych modelach | OpenAI Business DPA + SCC; brak treningu na danych klienta |
| Sentry | Monitoring błędów aplikacji (frontend, API, mobile) | Konfiguracja DSN określa region; sprawdź szczegóły w polityce prywatności | Sentry DPA |
| PostHog Inc. | Product analytics (zdarzenia produktowe, feature flags), chmura EU | Frankfurt (PostHog EU Cloud, eu.i.posthog.com) | PostHog DPA + EU Data Residency |
| Microsoft Clarity | Behavioural analytics (heatmaps, session replays), opt-in przez consent banner | USA (Microsoft Azure US). Klienci z EU kontraktują przez Microsoft Ireland Operations Ltd. (MIOL); transfery USA: SCC. Microsoft nie oferuje EU data residency dla Clarity. | Microsoft Online Services DPA + SCC (MIOL Ireland do USA) |
| Google LLC | Google Sign-In oraz Google One Tap (logowanie kontem Google), opt-in | USA / globalna sieć Google | Google Data Processing Terms + SCC |
| Apple Inc. | Sign in with Apple (logowanie kontem Apple), opt-in | USA | Apple Sign in with Apple privacy framework |
Testy bezpieczeństwa
Skany i analiza kodu
Bezpieczeństwo to praktyka ciągła. Każdy PR przechodzi przez automatyczne skany zależności i analizę statyczną przed merge na produkcję.
Automatyczne skanowanie zależności
Dependabot w CI/CD. Każdy PR weryfikowany pod CVE w dependencies. Krytyczne podatności blokują merge.
Statyczna analiza kodu (lint + security)
ESLint z plugin-em security oraz TypeScript strict mode. Lint blocker przed merge.
Responsible disclosure
Zgłoś podatność, Responsible Disclosure
Jeśli znalazłeś podatność w naszych systemach, prosimy o odpowiedzialne zgłoszenie. Doceniamy społeczność security i staramy się odpowiadać w 24-72h. Program bez wynagrodzenia pieniężnego, z podziękowaniem publicznym.
Email kontaktowy
security@iteon.plKlucz PGP
Dostępny na żądanie
Zakres programu
- iteon.pl i wszystkie subdomeny *.iteon.pl
- Aplikacja mobilna ITEON (iOS, Android)
- API publiczne: api.iteon.pl
- Endpoint MCP DCR: /.well-known/mcp/*
Poza zakresem
- Ataki DDoS i social engineering
- Spam, phishing użytkowników naszych klientów
- Podatności w third-party dependencies bez naszego wpływu
- Self-XSS bez impactu na innych użytkowników
Podziękowania
- Hall of Fame na stronie z podziękowaniem publicznym
- Imienna nota w changelogu po fixie podatności
- Możliwa rekomendacja zawodowa po koordynacji
- Program prowadzimy w trybie non-paid (brak wypłat pieniężnych)
Doświadczenie przy projektach enterprise
Projekty enterprise z naszym udziałem
Jako ITEON.PL (jednoosobowa działalność, od 2009 r.) braliśmy udział przy projektach m.in. dla poniższych podmiotów. W większości przypadków ITEON.PL działał jako podwykonawca w zespołach głównych dostawców systemów, nie jako wykonawca samodzielny.
PKO Bank Polski
2023-2025
Generali
2025
Compensa Vienna Insurance Group
2021-2023
Compensa Vienna Insurance Group
2025
Polska Wytwórnia Papierów Wartościowych
2015-2016
Bankowy Fundusz Gwarancyjny
2015-2018
Digital Care Group (bolttech)
2018-2019
WSBS Wysocki Bogdanski
2013-2015
Masz problem, który hamuje rozwój firmy?
Porozmawiajmy o konkretach. Bez żargonu, bez zobowiązań. Sprawdźmy, czy i jak technologia może realnie pomóc Twojemu biznesowi.