Twoje dane są u nas bezpieczne
Kosztorysy, cenniki i dane kontrahentów to Twoja przewaga konkurencyjna. Chronimy je na tym samym poziomie, co banki i instytucje finansowe.
Poniżej pokazujemy dokładnie, jak to robimy — prostym językiem.
Szyfrowanie
bankowy standard
Uptime
99,5% gwarancji
Serwery
Unia Europejska
Certyfikaty
SOC 2, PCI DSS
Izolacja
nikt nie widzi Twoich danych
Standard bankowy? Tak, serio.
Nie używamy tego słowa na wyrost. Oto porównanie naszych zabezpieczeń z wymaganiami sektora bankowego:
| Zabezpieczenie | Banki | Kosztorysant.AI |
|---|---|---|
| Szyfrowanie transmisji (TLS 1.2+) | ✓ | ✓ |
| Szyfrowanie danych w bazie (AES-256) | ✓ | ✓ |
| Izolacja danych użytkowników | ✓ | ✓ |
| Płatności PCI DSS Level 1 | ✓ | ✓ |
| Ochrona DDoS | ✓ | ✓ |
| Web Application Firewall (WAF) | ✓ | ✓ |
| Uwierzytelnianie 2FA (opcjonalnie) | ✓ | ✓ |
| Powiadomienia o zmianach bezpieczeństwa | ✓ | ✓ |
| DKIM + SPF + DMARC (e-mail) | ✓ | ✓ |
| Dane przechowywane w UE | ✗ | ✓ |
* Wiele banków trzyma dane w USA. Nasze serwery stoją we Frankfurcie (UE) — pod ochroną RODO.
Jak dokładnie chronimy Twoje dane
Szyfrowanie transmisji
Każde połączenie z naszym serwisem jest szyfrowane — nikt nie może podsłuchać danych w drodze. To ten sam standard, którego używa Twój bank.
Wszystkie połączenia z Platformą są zabezpieczone protokołem HTTPS z TLS 1.3 — najnowszym standardem szyfrowania w Internecie.
SSL/TLS ustawiony na Full (Strict) — certyfikat weryfikowany na każdym etapie transmisji.
HSTS wymusza połączenie szyfrowane — nawet jeśli wpiszesz adres bez "https://".
Szyfrowanie danych w bazie
Twoje cenniki, ceny materiałów i dane kontrahentów są zaszyfrowane nawet w bazie danych. Gdyby ktoś włamał się do serwera — zobaczy tylko losowe znaki.
Wrażliwe dane biznesowe są szyfrowane na poziomie kolumn z wykorzystaniem Supabase Vault i rozszerzenia pgsodium.
Algorytm: AES-256-GCM — ten sam standard używany przez rządy i armie na całym świecie do ochrony tajnych informacji.
Klucze szyfrujące są przechowywane w izolowanym schemacie Vault, całkowicie oddzielonym od danych.
Całkowita izolacja danych
Twoje dane są całkowicie oddzielone od danych innych użytkowników. Nikt — nawet my jako administratorzy — nie może zobaczyć Twoich kosztorysów, cenników czy dokumentów.
Technologia Row Level Security (RLS) na poziomie PostgreSQL gwarantuje, że każde zapytanie do bazy zwraca wyłącznie Twoje dane.
Nawet w hipotecznym przypadku błędu w kodzie aplikacji, RLS nie pozwoli na dostęp do danych innego użytkownika — zabezpieczenie działa na najniższym, bazodanowym poziomie.
To jak osobny sejf dla każdego klienta — a nie wspólna szuflada.
Zero-knowledge Admin
Nasi administratorzy nie widzą Twoich danych biznesowych. Widzą tylko Twój e-mail i plan — nic więcej. ZERO wglądu w Twoje kosztorysy, projekty czy cenniki.
Panel administracyjny pokazuje wyłącznie: adres e-mail, plan subskrypcji, datę rejestracji i status konta.
Dane wrażliwe są zaszyfrowane — nawet bezpośredni odczyt bazy danych przez administratora nie ujawni treści.
Twoja przewaga konkurencyjna pozostaje Twoja — nie mamy do niej dostępu i nie chcemy go mieć.
Ochrona przed atakami (DDoS i WAF)
Twoja praca nigdy nie zostanie przerwana przez atak hakerów. Cloudflare blokuje miliony ataków dziennie — zanim w ogóle dotrą do naszego serwera.
- DDoS Protection — automatyczne blokowanie ataków wolumetrycznych (L3/L4/L7)
- WAF — blokowanie SQL injection, XSS, CSRF i innych ataków OWASP Top 10
- Bot Protection — filtrowanie złośliwych botów i skanerów
- Ukryty adres IP serwera — hakerzy nie wiedzą, gdzie naprawdę stoi nasz serwer
E-maile nie do podrobienia
Każdy e-mail od nas jest cyfrowo podpisany. Nikt nie może wysyłać wiadomości podszywając się pod Kosztorysant.AI — Twoja skrzynka jest bezpieczna.
- DKIM — cyfrowy podpis potwierdzający autentyczność każdej wiadomości
- SPF — tylko nasze serwery mogą wysyłać maile z naszej domeny
- DMARC — polityka ochrony przed phishingiem — fałszywe maile są odrzucane
Dane w Unii Europejskiej
Twoje dane fizycznie znajdują się we Frankfurcie, w Niemczech — chronione europejskim prawem (RODO). Nie w USA, nie w Chinach. W Europie.
Baza danych hostowana na Supabase (AWS eu-central-1, Frankfurt).
- Supabase — certyfikat SOC 2 Type II, automatyczne backupy
- Vercel — hosting edge z SOC 2, CDN z węzłami w UE
- Stripe — PCI DSS Level 1 (najwyższy standard płatności online)
Powiadomienia o bezpieczeństwie
Dostaniesz e-mail o każdej ważnej zmianie na Twoim koncie. Jeśli ktoś zmieni hasło lub pojawi się problem z płatnością — dowiesz się natychmiast.
System automatycznie informuje o:
- Zmianie hasła
- Rejestracji nowego konta
- Aktywacji lub zmianie subskrypcji
- Nieudanej płatności
- Wygasającej subskrypcji (7 i 3 dni przed)
Wszystkie maile z podpisem DKIM — nie mogą być podrobione.
Uwierzytelnianie i hasła
Twoje hasło nigdy nie jest przechowywane w formie czytelnej. Nawet gdybyśmy chcieli — nie jesteśmy w stanie go odczytać. Dokładnie tak jak w bankach.
- Hashowanie haseł — bcrypt z solą (nieodwracalne)
- Cloudflare Turnstile — ochrona formularzy logowania przed botami (zamiennik reCAPTCHA)
- Weryfikacja e-mail — potwierdzenie adresu e-mail po rejestracji
- Bezpieczne sesje — tokeny JWT z ograniczonym czasem życia
- Secure cookies — HttpOnly, Secure, SameSite=Lax
Uwierzytelnianie dwuskładnikowe (2FA)
Możesz włączyć dodatkową warstwę ochrony logowania. Nawet jeśli ktoś pozna Twoje hasło — bez kodu z telefonu nie zaloguje się na Twoje konto.
2FA (Two-Factor Authentication) jest dostępne jako opcjonalne zabezpieczenie w ustawieniach konta. Włącz je, jeśli chcesz maksymalnej ochrony.
- Obsługa aplikacji typu Google Authenticator, Authy, Microsoft Authenticator
- Standard TOTP (Time-based One-Time Password)
- Opcjonalne — włączysz, gdy sam zdecydujesz
Dostępne w Ustawieniach konta → Uwierzytelnianie dwuskładnikowe.
Zgodność z przepisami
Działamy w pełni legalnie i transparentnie. Spełniamy wszystkie wymagania europejskiego prawa o ochronie danych — i polskiego prawa konsumenckiego.
- RODO / GDPR — Rozporządzenie 2016/679
- Ustawa o świadczeniu usług drogą elektroniczną
- Ustawa o prawach konsumenta
- Prawo telekomunikacyjne — art. 173 (cookies)
Szczegóły w Polityce Prywatności i Regulaminie.
Co to wszystko oznacza dla Ciebie?
🔒
Twoje cenniki są tajne
Nikt nie zobaczy Twoich cen, marż i warunków handlowych. Ani inny użytkownik, ani my. Twoja przewaga rynkowa jest chroniona.
📄
Twoje kosztorysy są prywatne
Każdy projekt, kosztorys i oferta istnieją wyłącznie w Twoim koncie. Nie ma żadnej możliwości, żeby ktokolwiek inny miał do nich dostęp.
🏦
Bankowy poziom ochrony
Szyfrowanie AES-256, TLS 1.3, izolacja danych, WAF — to standardy używane przez banki i instytucje finansowe. Stosujemy je wszystkie.
Najczęściej zadawane pytania
Czy administrator może zobaczyć moje kosztorysy?
Nie. Administratorzy systemu widzą tylko Twój e-mail, plan i datę rejestracji. Dane biznesowe (projekty, cenniki, oferty) są zaszyfrowane i całkowicie niedostępne.
Gdzie fizycznie przechowywane są moje dane?
W centrum danych Amazon Web Services we Frankfurcie (Niemcy) — w Unii Europejskiej, pod ochroną RODO.
Co się stanie z moimi danymi, gdy usunę konto?
Wszystkie Twoje dane — projekty, kosztorysy, cenniki, dokumenty, leady — zostaną trwale i nieodwracalnie usunięte w ciągu 30 dni. Dane do faktur są przechowywane 5 lat zgodnie z przepisami podatkowymi.
Czy moje pliki PDF przesyłane do analizy AI są bezpieczne?
Tak. Pliki są przesyłane przez szyfrowane połączenie, analizowane przez AI, a wyniki trafiają wyłącznie na Twoje konto. Dostawcy AI (OpenAI/Anthropic) nie wykorzystują Twoich danych do trenowania modeli.
Czy Stripe jest bezpieczny do płatności?
Stripe posiada najwyższy certyfikat bezpieczeństwa płatności — PCI DSS Level 1. Obsługuje płatności dla Amazon, Google, Shopify i setek tysięcy firm na całym świecie. Nie przechowujemy numerów kart.
Znalazłeś lukę bezpieczeństwa?
Cenimy odpowiedzialne zgłoszenia. Jeśli odkryjesz podatność, napisz do nas na [email protected] z tematem "Security Report". Odpowiemy w ciągu 48 godzin.
Prosimy o nieupublicznianie informacji o podatnościach przed ich naprawą.