Centrum Zaufania dla Przedsiebiorstw

Bezpieczenstwo & Centrum Zaufania

Przejrzystosc jest fundamentem zaufania w przedsiebiorstwach. Tutaj znajdziesz wszystko, czego potrzebujesz, aby ocenic poziom bezpieczenstwa K0nsult, praktyki ochrony danych i dostosowanie do wymagan zgodnosci.

Ostatni przeglad stanu bezpieczenstwa: marzec 2026. Nastepny zaplanowany przeglad: czerwiec 2026. Przeglady przeprowadzane kwartalnie.
Bezpieczenstwo

Architektura Bezpieczenstwa

Infrastruktura klasy korporacyjnej z wielowarstwowa obrona na kazdym poziomie stosu.

Hosting i Infrastruktura

  • Region Fly.io Frankfurt (UE) — centrum danych z certyfikatem ISO 27001
  • Dedykowane instancje aplikacji z izolacja zasobow
  • Automatyczne kontrole stanu i wdrozenia bez przestojow
  • Siec prywatna miedzy komponentami aplikacji

Szyfrowanie

  • Szyfrowanie TLS 1.3 dla wszystkich danych w tranzycie
  • Szyfrowanie PostgreSQL w spoczynku (AES-256)
  • Zaszyfrowane kopie zapasowe z oddzielnym zarzadzaniem kluczami
  • HTTPS wymagany na wszystkich punktach koncowych — brak fallbacku na tekst jawny

Izolacja Sieciowa

Wszystkie komponenty aplikacji dzialaja w izolowanych sieciach prywatnych. Dostep do bazy danych jest ograniczony wylacznie do polaczen na poziomie aplikacji — brak publicznych punktow koncowych bazy danych. Komunikacja miedzy uslugami wykorzystuje zaszyfrowany wewnetrzny DNS. Routing brzegowy z ochrona DDoS na warstwie CDN.

Ochrona Danych

Twoje Dane, Twoja Kontrola

Zbieramy minimalna ilosc danych niezbednych i przechowujemy je w UE.

Lokalizacja Danych

  • Wszystkie dane przechowywane w UE (Frankfurt, Niemcy)
  • Brak transferu danych poza EOG
  • Kopie zapasowe przechowywane w tym samym regionie UE

Retencja Danych

  • Dane kontaktowe: 24 miesiace, potem usuwane
  • Dane analityczne: 12 miesiecy, anonimizowane
  • Dane projektowe: przechowywane zgodnie z umowa, mozliwe do usuniecia na zadanie

Minimalne Zbieranie

  • Zbierane sa tylko dane niezbedne do swiadczenia uslugi
  • Brak skryptow sledzacych lub pikseli podmiotow trzecich
  • Brak ciasteczek reklamowych lub profilowania behawioralnego

Brak Sledzenia Podmiotow Trzecich

  • Zero analityki podmiotow trzecich (brak Google Analytics)
  • Tylko niezbedne ciasteczka
  • Dane nie sa sprzedawane ani udostepniane podmiotom trzecim
Kontrola Dostepu

Uwierzytelnianie & Autoryzacja

Wielowarstwowa kontrola dostepu zapewnia, ze tylko autoryzowani uzytkownicy i systemy maja dostep do Twoich danych.

Uwierzytelnianie

  • Zarzadzanie sesjami oparte na JWT (JSON Web Token)
  • Uwierzytelnianie kluczem API dla dostepu programistycznego
  • Polityki wygasania i rotacji tokenow
  • Bezpieczne hashowanie hasel (bcrypt)

Autoryzacja

  • Kontrola Dostepu Oparta na Rolach (RBAC) z granularnymi uprawnieniami
  • Zasada minimalnych uprawnien egzekwowana
  • Ograniczanie szybkosci na wszystkich punktach koncowych API
  • Pelna sciezka audytu wszystkich zdarzen dostepu
Zgodnosc

Dostosowanie do Zgodnosci

Nasza platforma jest projektowana z uwzglednieniem wymagan regulacyjnych od samego poczatku.

EU AI Act

K0nsult zapewnia wsparcie w dostosowaniu do EU AI Act. Nasze ramowe zasady governance obejmuja pomoc w klasyfikacji ryzyka, mechanizmy nadzoru ludzkiego, dokumentacje przejrzystosci oraz rejestr agentow wspierajacy wymagania dokumentacyjne zgodnosci.

ISO 42001

Zasady naszego systemu zarzadzania AI sa dostosowane do wymagan ISO/IEC 42001. Utrzymujemy udokumentowane procesy zarzadzania cyklem zycia AI, oceny ryzyka i ciaglego doskonalenia zgodne z ramami tego standardu.

Zgodnosc z RODO

K0nsult jest zbudowany z mysla o zgodnosci z RODO. Lokalizacja danych w UE, minimalizacja danych, prawo do usuniecia, przenoszenie danych, mechanizmy wyraznej zgody, powiadomienie o naruszeniu w ciagu 72 godzin, Umowa o Przetwarzanie Danych (DPA) dostepna dla wszystkich klientow korporacyjnych. Nasza Polityka Prywatnosci i Regulamin sa w pelni zgodne z wymaganiami RODO.

Zastrzezenie: K0nsult zapewnia wsparcie w przygotowaniu, wskazowki dotyczace dostosowania i narzedzia governance, aby pomoc organizacjom w dazeniu do zgodnosci. Nasze uslugi nie stanowia porady prawnej ani certyfikacji. Organizacje powinny przeprowadzic wlasny przeglad prawny i, w stosownych przypadkach, zaangazowac akredytowane jednostki certyfikujace do formalnej certyfikacji.
Bezpieczenstwo Agentow

Kontrole Governance Agentow AI

Kazdy agent dziala w scislych granicach z obowiazkowym nadzorem ludzkim.

Granice Mandatow

  • Kazdy agent ma zdefiniowany zakres operacji (mandat)
  • Akcje poza mandatem sa blokowane i logowane
  • Zmiany mandatu wymagaja autoryzowanej zgody czlowieka

Nadpisywanie przez Czlowieka

  • Czlowiek w petli dla krytycznych decyzji
  • Mozliwosc awaryjnego zatrzymania wszystkich agentow
  • Protokoly eskalacji z okreslonymi SLA

Bramki Jakosci

  • Testowanie i walidacja przed wdrozeniem
  • Ciagly monitoring wydajnosci
  • Automatyczny scoring jakosci z progami

Izolacja Agentow

  • Kazdy agent dziala w izolowanym kontekscie wykonawczym
  • Brak dostepu do danych miedzy klientami
  • Srodowiska sandbox dla operacji agentow
Reagowanie na Incydenty

Protokol Reagowania na Incydenty

Jasne, udokumentowane procedury wykrywania, reagowania i odzyskiwania po incydentach bezpieczenstwa.

Wykrywanie

  • Automatyczny monitoring i alerty na wszystkich krytycznych systemach
  • Wykrywanie anomalii we wzorcach dostepu API
  • Agregacja i analiza logow w czasie rzeczywistym

Eskalacja i Powiadomienia

  • Zdefiniowane poziomy eskalacji: L1 (automatyczny) → L2 (inzynieria) → L3 (zarzadzanie)
  • Powiadomienie o naruszeniu w ciagu 72 godzin zgodnie z art. 33 RODO
  • Klienci powiadamiani w ciagu 24 godzin od potwierdzenia naruszenia
  • Raport poincydentalny dostarczany w ciagu 5 dni roboczych

Kontakt Bezpieczenstwa

Zglaszaj podatnosci lub watpliwosci dotyczace bezpieczenstwa: security@k0nsult.dev. Odpowiedzialne ujawnianie jest mile widziane. Zobowiazujemy sie do potwierdzenia zgloszenia w ciagu 24 godzin i dostarczenia wstepnej oceny w ciagu 72 godzin.

Ujawnianie Podatnosci

Polityka Ujawniania Podatnosci

Z zadowoleniem przyjmujemy odpowiedzialne badania bezpieczenstwa i zobowiazujemy sie do wspolpracy ze spolecznoscia w celu rozwiazywania podatnosci.

Zakres

  • Wszystkie publicznie dostepne uslugi i API K0nsult pod adresem k0nsult.fly.dev

Poza zakresem: Uslugi podmiotow trzecich, inzynieria spoleczna, ataki odmowy uslugi

Harmonogram Odpowiedzi

  • Potwierdzenie w ciagu 24 godzin
  • Wstepna ocena w ciagu 72 godzin
  • Cel naprawy w ciagu 30 dni

Bezpieczna Przystan

Nie bedziemy podejmowac dzialan prawnych przeciwko badaczom dzialajacym w dobrej wierze. Dobra wiara oznacza: brak uzyskiwania dostepu lub modyfikowania danych innych uzytkownikow, brak pogarszania dostepnosci uslugi i niezwloczne zglaszanie ustalen na adres security@k0nsult.dev.

Ciaglosc Biznesowa

Polityka Kopii Zapasowych i Odzyskiwania

Zdefiniowane cele odzyskiwania zapewniaja ochrone Twoich danych i szybkie przywrocenie uslug.

Harmonogram Kopii Zapasowych

  • Automatyczne kopie zapasowe bazy danych co 6 godzin (RPO: 6 godzin)
  • Kopie zaszyfrowane w spoczynku, przechowywane w oddzielnej strefie dostepnosci
  • Procedury odzyskiwania testowane kwartalnie

Cele Odzyskiwania

  • Cel odzyskiwania infrastruktury: 4 godziny (RTO: 4 godziny)
  • Cel Punktu Odzyskiwania (RPO): maksymalnie 6 godzin utraty danych
  • Udokumentowane runbooki dla wszystkich scenariuszy odzyskiwania
Kontrola Dostepu

Macierz Kontroli Dostepu Opartej na Rolach

Granularne uprawnienia przypisane do kazdej roli, egzekwujace zasade minimalnych uprawnien na calej platformie.

Rola Rejestr Agentow Centrum Dowodzenia Logi Audytu Panel Admina Rozliczenia
Wlasciciel Pelny Pelny Pelny Pelny Pelny
Admin Odczyt/Zapis Odczyt/Zapis Odczyt Odczyt/Zapis Odczyt
Operator Odczyt/Zapis Odczyt/Zapis Odczyt Brak Brak
Audytor Odczyt Odczyt Pelny Odczyt Brak
Gosc Odczyt (publiczny) Brak Brak Brak Brak
Audyt

Szczegoly Sciezki Audytu

Kompleksowe, niemutowalne logowanie wszystkich zdarzen istotnych z punktu widzenia bezpieczenstwa na calej platformie.

Co Jest Logowane

  • Wszystkie wywolania API, zdarzenia uwierzytelniania, zmiany uprawnien i akcje agentow sa logowane
  • Logi przechowywane przez minimum 12 miesiecy
  • Logi sa append-only (niemutowalne) i weryfikowane pod katem integralnosci
  • Dostep do logow audytu ograniczony do rol Wlasciciela i Audytora
  • Format logow: JSON ze znacznikiem czasu, aktorem, akcja, zasobem, wynikiem, IP

Przykladowy Wpis Logu 

{
  "timestamp": "2026-03-23T01:24:00Z",
  "actor": "agent-k02",
  "action": "process_assessment",
  "resource": "client-intake-42",
  "result": "success",
  "ip": "10.0.0.1"
}

Kazdy wpis logu jest zgodny z tym ustrukturyzowanym formatem JSON, umozliwiajacym automatyczna analize, raportowanie zgodnosci i dochodzenie kryminalistyczne w razie potrzeby.

Governance Dostepu

Przeglady Dostepu

Regularne przeglady dostepu zapewniaja, ze uprawnienia pozostaja odpowiednie i zasada minimalnych uprawnien jest utrzymywana.

Polityka Przegladow

  • Przeglady dostepu przeprowadzane miesiecznie przez wlasciciela systemu
  • Zasada minimalnych uprawnien egzekwowana: uprawnienia przyznawane per-rola, nie per-uzytkownik
  • Nieuzywane konta dezaktywowane po 90 dniach nieaktywnosci
  • Wszystkie eskalacje uprawnien wymagaja jawnej zgody wlasciciela i sa logowane
Zarzadzanie Sekretami

Zarzadzanie Sekretami

Wszystkie wrazliwe poswiadczenia sa zarzadzane z rygorystycznymi kontrolami, aby zapobiec ujawnieniu i zapewnic terminowa rotacje.

Przechowywanie i Ochrona

  • Wszystkie klucze API, poswiadczenia i tokeny sa przechowywane w zaszyfrowanych zmiennych srodowiskowych
  • Brak sekretow w kodzie zrodlowym lub plikach konfiguracyjnych
  • Sekrety sa wstrzykiwane w czasie wykonania poprzez zarzadzanie sekretami na poziomie platformy

Polityka Rotacji Kluczy

  • Klucze API rotowane kwartalnie
  • Poswiadczenia bazy danych rotowane przy zmianach infrastruktury
  • Klucze podpisywania JWT rotowane rocznie
  • Wszystkie zdarzenia rotacji sa logowane w sciezce audytu
Retencja Logow

Polityka Retencji Logow

Zdefiniowane okresy retencji zapewniaja dostepnosc logow na potrzeby zgodnosci i dochodzen, przy jednoczesnym odpowiedzialnym archiwizowaniu i usuwaniu.

Okresy Retencji

Typ Logu Okres Retencji
Logi zdarzen bezpieczenstwa 36 miesiecy
Logi aplikacji 12 miesiecy
Logi dostepu 12 miesiecy
Sciezka audytu 36 miesiecy (lub czas trwania umowy z klientem, w zaleznosci co dluzsze)
Logi kopii zapasowych 6 miesiecy

Logi sa automatycznie archiwizowane po uplywie okresu retencji i trwale usuwane po dodatkowym okresie archiwizacji wynoszacym 12 miesiecy.

Nalezyta Starannosc

Lista Kontrolna Nalezytej Starannosci Bezpieczenstwa

Klienci korporacyjni moga uzyc tej listy kontrolnej do oceny poziomu bezpieczenstwa K0nsult w ramach procesu oceny dostawcy.

Lista Kontrolna Nalezytej Starannosci Bezpieczenstwa dla Klientow Korporacyjnych

  • Lokalizacja hostingu danych i jurysdykcja potwierdzone
  • Standardy szyfrowania przegladniete (w spoczynku + w tranzycie)
  • Model kontroli dostepu przegladniety (RBAC)
  • Mozliwosci sciezki audytu zweryfikowane
  • Procedura reagowania na incydenty przegladnieta
  • DPA / lista podwykonawcow przetwarzania otrzymana
  • Cele kopii zapasowych i odzyskiwania potwierdzone (RPO/RTO)
  • Polityka ujawniania podatnosci przegladnieta
  • Dostosowanie do zgodnosci zweryfikowane (RODO, AI Act)
  • Kontakt bezpieczenstwa ustanowiony

Potrzebujesz pomocy w wypelnieniu tej listy kontrolnej? Skontaktuj sie z security@k0nsult.dev, a umowimy prezentacje bezpieczenstwa.

Podwykonawcy Przetwarzania

Podwykonawcy Przetwarzania i Podmioty Trzecie

Utrzymujemy minimalny zakres podwykonawcow przetwarzania, aby zmniejszyc ryzyko.

Podwykonawca Usluga Lokalizacja Przetwarzane Dane Status
Fly.io Hosting aplikacji i obliczenia Frankfurt, Niemcy (UE) Dane aplikacji, sesje uzytkownikow Aktywny
PostgreSQL (Fly.io Managed) Hosting bazy danych Frankfurt, Niemcy (UE) Wszystkie dane trwale Aktywny
Uwaga: Powiadomimy klientow korporacyjnych co najmniej 30 dni przed dodaniem nowego podwykonawcy przetwarzania. Klienci maja prawo do sprzeciwu zgodnie z Umowa o Przetwarzanie Danych.

Zobacz nasz Pakiet Zamowien, aby poznac szczegoly oceny dostawcy →

Dokumentacja

Dostepne Dokumenty

Cala dokumentacja, ktorej potrzebuja Twoje zespoly zamowien i bezpieczenstwa, gotowa do przegladu.

Biala Ksiega Bezpieczenstwa Szablon DPA Dokument SLA Polityka Prywatnosci Regulamin Pakiet Zamowien
Niezawodnosc

Status i Zobowiazania Dotyczace Czasu Dzialania

Wielopoziomowe zobowiazania dostepnosci dopasowane do Twoich wymagan biznesowych.

Metryka Starter Professional Enterprise
SLA Czasu Dzialania 99.0% 99.5% 99.9%
Maks. Miesiezny Przestoj ~7h 18m ~3h 39m ~43m
Okno Serwisowe Niedziela 02:00-06:00 CET Niedziela 02:00-04:00 CET Koordynowane, 48h wyprzedzenia
Reagowanie na Incydenty Najlepsze starania < 4 godziny < 1 godzina
Aktualizacje Statusu Email Email + dashboard Email + dashboard + Slack

Skontaktuj Sie z Naszym Zespolem Bezpieczenstwa

Pytania dotyczace naszego poziomu bezpieczenstwa? Potrzebujesz dokumentacji do przegladu? Odpowiedzialne ujawnianie? Jestesmy tu, aby pomoc.

security@k0nsult.dev Umow Konsultacje

Odpowiedzialne ujawnianie jest mile widziane. Potwierdzamy wszystkie zgloszenia w ciagu 24 godzin.

EN | PL