Zaufanie i bezpieczeństwo
Wszystko, czego potrzebujesz do oceny poziomu bezpieczeństwa Rakomi i gotowości do spełnienia wymogów compliance. Każda sekcja zawiera datę ostatniej aktualizacji.
Hosting i lokalizacja danych
Zaktualizowano 2025-01-15 ⛔ Ponad 12 miesięcy temu- Dostawca: Hetzner Online GmbH — podmiot UE, obowiązuje niemieckie prawo ochrony danych.
- Region: Hetzner Norymberga (Niemcy) — dane nigdy nie opuszczają UE.
- Baza danych: PostgreSQL, szyfrowanie at-rest (AES-256), TLS 1.3 w transporcie.
- Kopie zapasowe: Codzienne szyfrowane backupy, retencja 30 dni, przechowywane w UE.
- DPA: Podpisujemy Umowę powierzenia przetwarzania danych na żądanie — privacy@rakomi.com.
Standardy szyfrowania
Zaktualizowano 2025-01-15 ⛔ Ponad 12 miesięcy temu| Zastosowanie | Algorytm | Szczegóły |
|---|---|---|
| Podpisywanie JWT | RS256 | RSA 4096-bit, algorytm na stałe w kodzie — nigdy nie czytany z nagłówka tokenu |
| Hashowanie haseł | Argon2id | m=65536, t=3, p=1 — ustawienia zalecane przez OWASP |
| Transport | TLS 1.3 | Wymagany na wszystkich endpointach. TLS 1.0/1.1 odrzucony. |
| At-rest (baza danych) | AES-256 | Szyfrowanie pełnego dysku na wszystkich woluminach |
| Losowość tokenów | CSPRNG | crypto.randomBytes() — nigdy Math.random() |
Testy bezpieczeństwa i zgodność
Zaktualizowano 2026-04-16- Ostatnia ocena bezpieczeństwa: kwiecień 2026
- Standardy: RODO Art. 32, NIS2 Art. 21, ISO 27001 A.8.29
- Wynik oceny: ZDANE — brak krytycznych podatności otwartych
- Scenariusze testowe: 148 automatycznych testów obejmujących uwierzytelnianie, zarządzanie sesjami, izolację wielodostępną, bezpieczeństwo łańcucha dostaw i ciągłą integrację
- Środki bezpieczeństwa: Hashowanie haseł zgodne ze standardami branżowymi, asymetryczne podpisywanie kryptograficzne wszystkich tokenów, automatyczne skanowanie podatności przy każdym pull requeście
- Rezydencja danych: Wszystkie dane przetwarzane w UE (Niemcy)
- Kolejna zaplanowana ocena: Przed ogólnym udostępnieniem platformy
Nasz program odpowiedzialnego ujawniania luk jest aktywny — szczegóły na /security. Wszystkie zgłoszone podatności są śledzone i usuwane zgodnie z określonymi SLA.
Model wspólnej odpowiedzialności
Bezpieczeństwo uwierzytelniania to partnerstwo. Oto, gdzie kończy się odpowiedzialność Rakomi, a zaczyna Twoja.
Rakomi odpowiada za
- Dostępność i ciągłość infrastruktury auth
- Bezpieczne wystawianie i weryfikację tokenów
- Hashowanie haseł i przechowywanie poświadczeń
- Zarządzanie łatkami i aktualizacjami zależności
- Rezydencję danych w UE i zgodność z RODO
- Ochronę DDoS (Cloudflare)
Ty odpowiadasz za
- Rotację kluczy API i ich bezpieczne przechowywanie
- Autoryzację działań po weryfikacji tokenu
- Zgodę i informacje o prywatności Twoich użytkowników
- Ochronę własnych endpointów aplikacji
- Zgłaszanie podejrzanych nadużyć lub anomalii
- Terminową aktualizację wersji SDK
Lista podprzetwarzających
Zaktualizowano 2025-01-15 ⛔ Ponad 12 miesięcy temu| Podprzetwarzający | Cel przetwarzania | Lokalizacja |
|---|---|---|
| Hetzner Online GmbH | Infrastruktura (serwery, storage) | 🇩🇪 Niemcy, UE |
| Cloudflare, Inc. | CDN, DDoS, hosting Pages | 🇺🇸 USA (Standardowe klauzule umowne) |
| Brevo SAS | Transakcyjne wiadomości e-mail | 🇫🇷 Francja, UE |
| BetterStack, Inc. | Monitoring uptime, logi incydentów | 🇺🇸 USA (Standardowe klauzule umowne) |
Zmiany tej listy ogłaszamy co najmniej 14 dni wcześniej na stronie statusu i w changelogu.
Dostępność i incydenty
Zaktualizowano 2026-01-15Aktualne metryki dostępności i historia incydentów są publikowane na naszej stronie statusu od Dnia 1 działalności.
Zobacz status.rakomi.dev →Mapa drogowa certyfikacji
Zaktualizowano 2025-01-15 ⛔ Ponad 12 miesięcy temu| Certyfikacja | Status | Cel |
|---|---|---|
| RODO (EU 2016/679) | ✓ Zgodne by design | Ciągłe |
| DORA (EU 2022/2554) | W toku — ocena luk | Q3 2026 |
| CRA (EU Cyber Resilience Act) | Monitorowanie — jeszcze nie obowiązuje | 2027 |
| ISO 27001 | Planowane — po pentestcie | 2027 |
| SOC 2 Type II | Planowane — po ISO 27001 | 2027–2028 |
Kontakt ds. bezpieczeństwa i prywatności
- Podatności bezpieczeństwa: /security (program odpowiedzialnego ujawniania)
- Prywatność i RODO: privacy@rakomi.com
- Wnioski DPA: privacy@rakomi.com