Zaufanie i bezpieczeństwo
Wszystko, czego potrzebujesz do oceny poziomu bezpieczeństwa Rakomi i gotowości do spełnienia wymogów compliance. Każda sekcja zawiera datę ostatniej aktualizacji.
Wsparcie i cykl życia SDK → Datowane 24-miesięczne okna wsparcia na wersję główną SDK (CRA Art. 13(8)), linki do proweniencji i SBOM oraz nasza polityka wsparcia zgodna z CRA.Hosting i lokalizacja danych
Zaktualizowano 2026-05-13- Dostawca: Hetzner Online GmbH — podmiot UE, obowiązuje niemieckie prawo ochrony danych.
- Region: Hetzner Falkenstein (Niemcy) — dane nigdy nie opuszczają UE.
- Baza danych: PostgreSQL, szyfrowanie at-rest (AES-256), TLS 1.3 w transporcie.
- Kopie zapasowe: Codzienne szyfrowane backupy, retencja 30 dni, przechowywane w UE.
- DPA: Podpisujemy Umowę powierzenia przetwarzania danych na żądanie — privacy@rakomi.com.
Standardy szyfrowania
Zaktualizowano 2026-05-13| Zastosowanie | Algorytm | Szczegóły |
|---|---|---|
| Podpisywanie JWT | RS256 | RSA 4096-bit, algorytm na stałe w kodzie — nigdy nie czytany z nagłówka tokenu |
| Hashowanie haseł | Argon2id | m=65536, t=3, p=1 — ustawienia zalecane przez OWASP |
| Transport | TLS 1.3 | Wymagany na wszystkich endpointach. TLS 1.0/1.1 odrzucony. |
| At-rest (baza danych) | AES-256 | Szyfrowanie pełnego dysku na wszystkich woluminach |
| Losowość tokenów | CSPRNG | crypto.randomBytes() — nigdy Math.random() |
Testy bezpieczeństwa i zgodność
Zaktualizowano 2026-04-16- Ostatnia ocena bezpieczeństwa: kwiecień 2026
- Standardy: RODO Art. 32, NIS2 Art. 21, ISO 27001 A.8.29
- Wynik oceny: ZDANE — brak krytycznych podatności otwartych
- Scenariusze testowe: 148 automatycznych testów obejmujących uwierzytelnianie, zarządzanie sesjami, izolację wielodostępną, bezpieczeństwo łańcucha dostaw i ciągłą integrację
- Środki bezpieczeństwa: Hashowanie haseł zgodne ze standardami branżowymi, asymetryczne podpisywanie kryptograficzne wszystkich tokenów, automatyczne skanowanie podatności przy każdym pull requeście
- Rezydencja danych: Wszystkie dane przetwarzane w UE (Niemcy)
- Kolejna zaplanowana ocena: Przed ogólnym udostępnieniem platformy
Nasz program odpowiedzialnego ujawniania luk jest aktywny — szczegóły na /security. Wszystkie zgłoszone podatności są śledzone i usuwane zgodnie z określonymi SLA.
Łańcuch rozliczalności agentów EU
Każde działanie podjęte przez agenta AI w Twoim imieniu jest zapisywane, czynione odpornym na manipulację i — ogniwo po ogniwie — mapowane do dokładnego przepisu UE, który spełnia. Czytaj łańcuch od góry do dołu; każdy węzeł nazywa to, co robi, i to, co go dowodzi.
- RODO Art. 7(3) AI Act Art. 14 WdrożonePełnoprawna tożsamość agenta
Każdy agent AI jest osobno rejestrowany, odwoływalny i audytowany. Każdy z Twoich użytkowników końcowych może wycofać zgodę dla pojedynczego agenta równie łatwo, jak ją wyraził — a nadzór nad tym, co agenci mogą robić, pozostaje po stronie człowieka.
- RODO Art. 5(2) RODO Art. 30 AI Act Art. 12 WdrożoneOdporny na manipulację łańcuch skrótów per-agent
Każde działanie agenta jest zapisywane, a każdy zapis kryptograficznie powiązany z poprzednim (retencja 180 dni) — dzięki czemu każda późniejsza zmiana jest wykrywalna. Tak wykazujemy rozliczalność i prowadzimy rejestry czynności przetwarzania.
- RODO Art. 32 RODO Art. 33 (dowód naruszenia) WdrożonePodwójny zapis do niezmiennego archiwum
Zdarzenia krytyczne są zapisywane podwójnie do osobnego, niezmiennego archiwum o retencji 3 lat. Wzmacnia to bezpieczeństwo przetwarzania i dostarcza dowodów wspierających odtworzenie ewentualnego naruszenia — samo w sobie nie spełnia żadnego obowiązku zgłoszenia naruszenia.
- Odporność na manipulację eIDAS2 / EUDI (plan) PlanDzienne podsumowanie niezależnie zakotwiczone
Dzienne podsumowanie łańcucha będzie niezależnie zakotwiczone w prowadzonych przez podmioty trzecie publicznych usługach znakowania czasem i archiwizacji (takich jak OpenTimestamps i Software Heritage) — dowód istnienia w publicznym łańcuchu czasowym wraz z niezależnym, europejskim archiwum, dwie różne gwarancje, niezależnie weryfikowalne przez każdego bez zaufania do Rakomi. Przyszła aktualizacja do kwalifikowanego rejestru (eIDAS2 / EUDI, Regulation (EU) 2024/1183 zmieniające Reg. (EU) No 910/2014) jest tylko w planie, a nie oświadczeniem na dziś.
To niezależne kotwiczenie jest uzupełniającym, swobodnie weryfikowalnym dowodem, że zapis działań agenta istniał w danym czasie i nie został później zmieniony. Nie jest to płatny znacznik czasu usługi zaufania niosący ustawowe domniemanie prawidłowości — to świadoma, uzasadniona kontekstem opcja na przyszłość, a nie oświadczenie, które składamy dziś.
- RODO Art. 28(3)(d) RODO Art. 30 WdrożoneTransparentność podprzetwarzających
Pełny, datowany, oznaczony podstawą transferu rejestr podprzetwarzających jest opublikowany na tej stronie — zobacz listę podprzetwarzających powyżej. Zmiany ogłaszamy co najmniej 14 dni wcześniej.
- RODO Art. 5(2) WdrożoneOpublikowana instrukcja weryfikacji
Każdy może niezależnie zweryfikować dzienną kotwicę — bez zaufania do Rakomi. Instrukcja odtworzenia i sprawdzenia dowodu jest opublikowana, więc oświadczenie o rozliczalności jest czymś, co możesz wykazać samodzielnie, a nie przyjąć na wiarę.
Plan rozwoju
- Najbliższy termin — niezależne kotwiczenie przejdzie z trybu planu na czas teraźniejszy, gdy tylko trafi pierwsza publiczna dzienna kotwica. Jest to uwarunkowane ruchem agentów (tygodnie, nie ustalona data), a nie dalszą pracą inżynierską.
- 2027 — aktualizacja do kwalifikowanego rejestru eIDAS2 / EUDI (ścieżka regulowanego kwalifikowanego rejestru / EBSI) jest w ocenie. Dopiero ta aktualizacja dawałaby ustawowe domniemanie prawne; dzisiejsze darmowe publiczne kotwiczenie świadomie go nie deklaruje.
Model wspólnej odpowiedzialności
Bezpieczeństwo uwierzytelniania to partnerstwo. Oto, gdzie kończy się odpowiedzialność Rakomi, a zaczyna Twoja.
Rakomi odpowiada za
- Dostępność i ciągłość infrastruktury auth
- Bezpieczne wystawianie i weryfikację tokenów
- Hashowanie haseł i przechowywanie poświadczeń
- Zarządzanie łatkami i aktualizacjami zależności
- Rezydencję danych w UE i zgodność z RODO
- Ochronę DDoS (Cloudflare)
Ty odpowiadasz za
- Rotację kluczy API i ich bezpieczne przechowywanie
- Autoryzację działań po weryfikacji tokenu
- Zgodę i informacje o prywatności Twoich użytkowników
- Ochronę własnych endpointów aplikacji
- Zgłaszanie podejrzanych nadużyć lub anomalii
- Terminową aktualizację wersji SDK
Lista podprzetwarzających
Zaktualizowano 2026-05-13| Podprzetwarzający | Cel przetwarzania | Lokalizacja |
|---|---|---|
| Hetzner Online GmbH | Infrastruktura (serwery, storage) | 🇩🇪 Niemcy, UE |
| Cloudflare, Inc. | CDN, DDoS, hosting Pages | 🇺🇸 USA (Standardowe klauzule umowne) |
| Brevo SAS | Transakcyjne wiadomości e-mail | 🇫🇷 Francja, UE |
| BetterStack, Inc. | Monitoring uptime, logi incydentów | 🇺🇸 USA (Standardowe klauzule umowne) |
Zmiany tej listy ogłaszamy co najmniej 14 dni wcześniej na stronie statusu i w changelogu.
Dostępność i incydenty
Zaktualizowano 2026-01-15Aktualne metryki dostępności i historia incydentów są publikowane na naszej stronie statusu od Dnia 1 działalności.
Zobacz status.rakomi.dev →Mapa drogowa certyfikacji
Zaktualizowano 2026-05-13| Certyfikacja | Status | Cel |
|---|---|---|
| RODO (EU 2016/679) | ✓ Zgodne by design | Ciągłe |
| DORA (EU 2022/2554) | W toku — ocena luk | Q3 2026 |
| CRA (EU Cyber Resilience Act) | Monitorowanie — jeszcze nie obowiązuje | 2027 |
| ISO 27001 | Planowane — po pentestcie | 2027 |
| SOC 2 Type II | Planowane — po ISO 27001 | 2027–2028 |
Kontakt ds. bezpieczeństwa i prywatności
- Podatności bezpieczeństwa: /security (program odpowiedzialnego ujawniania)
- Prywatność i RODO: privacy@rakomi.com
- Wnioski DPA: privacy@rakomi.com