Rakomi

Zaufanie i bezpieczeństwo

Wszystko, czego potrzebujesz do oceny poziomu bezpieczeństwa Rakomi i gotowości do spełnienia wymogów compliance. Każda sekcja zawiera datę ostatniej aktualizacji.

Wsparcie i cykl życia SDK → Datowane 24-miesięczne okna wsparcia na wersję główną SDK (CRA Art. 13(8)), linki do proweniencji i SBOM oraz nasza polityka wsparcia zgodna z CRA.

Hosting i lokalizacja danych

Zaktualizowano 2026-05-13

Standardy szyfrowania

Zaktualizowano 2026-05-13
Zastosowanie Algorytm Szczegóły
Podpisywanie JWT RS256 RSA 4096-bit, algorytm na stałe w kodzie — nigdy nie czytany z nagłówka tokenu
Hashowanie haseł Argon2id m=65536, t=3, p=1 — ustawienia zalecane przez OWASP
Transport TLS 1.3 Wymagany na wszystkich endpointach. TLS 1.0/1.1 odrzucony.
At-rest (baza danych) AES-256 Szyfrowanie pełnego dysku na wszystkich woluminach
Losowość tokenów CSPRNG crypto.randomBytes() — nigdy Math.random()

Testy bezpieczeństwa i zgodność

Zaktualizowano 2026-04-16

Nasz program odpowiedzialnego ujawniania luk jest aktywny — szczegóły na /security. Wszystkie zgłoszone podatności są śledzone i usuwane zgodnie z określonymi SLA.

Łańcuch rozliczalności agentów EU

Każde działanie podjęte przez agenta AI w Twoim imieniu jest zapisywane, czynione odpornym na manipulację i — ogniwo po ogniwie — mapowane do dokładnego przepisu UE, który spełnia. Czytaj łańcuch od góry do dołu; każdy węzeł nazywa to, co robi, i to, co go dowodzi.

RODO — Reg. (EU) 2016/679 AI Act — Reg. (EU) 2024/1689 eIDAS2 / EUDI — plan
  1. RODO Art. 7(3) AI Act Art. 14 Wdrożone
    Pełnoprawna tożsamość agenta

    Każdy agent AI jest osobno rejestrowany, odwoływalny i audytowany. Każdy z Twoich użytkowników końcowych może wycofać zgodę dla pojedynczego agenta równie łatwo, jak ją wyraził — a nadzór nad tym, co agenci mogą robić, pozostaje po stronie człowieka.

  2. RODO Art. 5(2) RODO Art. 30 AI Act Art. 12 Wdrożone
    Odporny na manipulację łańcuch skrótów per-agent

    Każde działanie agenta jest zapisywane, a każdy zapis kryptograficznie powiązany z poprzednim (retencja 180 dni) — dzięki czemu każda późniejsza zmiana jest wykrywalna. Tak wykazujemy rozliczalność i prowadzimy rejestry czynności przetwarzania.

  3. RODO Art. 32 RODO Art. 33 (dowód naruszenia) Wdrożone
    Podwójny zapis do niezmiennego archiwum

    Zdarzenia krytyczne są zapisywane podwójnie do osobnego, niezmiennego archiwum o retencji 3 lat. Wzmacnia to bezpieczeństwo przetwarzania i dostarcza dowodów wspierających odtworzenie ewentualnego naruszenia — samo w sobie nie spełnia żadnego obowiązku zgłoszenia naruszenia.

  4. Odporność na manipulację eIDAS2 / EUDI (plan) Plan
    Dzienne podsumowanie niezależnie zakotwiczone

    Dzienne podsumowanie łańcucha będzie niezależnie zakotwiczone w prowadzonych przez podmioty trzecie publicznych usługach znakowania czasem i archiwizacji (takich jak OpenTimestamps i Software Heritage) — dowód istnienia w publicznym łańcuchu czasowym wraz z niezależnym, europejskim archiwum, dwie różne gwarancje, niezależnie weryfikowalne przez każdego bez zaufania do Rakomi. Przyszła aktualizacja do kwalifikowanego rejestru (eIDAS2 / EUDI, Regulation (EU) 2024/1183 zmieniające Reg. (EU) No 910/2014) jest tylko w planie, a nie oświadczeniem na dziś.

    To niezależne kotwiczenie jest uzupełniającym, swobodnie weryfikowalnym dowodem, że zapis działań agenta istniał w danym czasie i nie został później zmieniony. Nie jest to płatny znacznik czasu usługi zaufania niosący ustawowe domniemanie prawidłowości — to świadoma, uzasadniona kontekstem opcja na przyszłość, a nie oświadczenie, które składamy dziś.

  5. RODO Art. 28(3)(d) RODO Art. 30 Wdrożone
    Transparentność podprzetwarzających

    Pełny, datowany, oznaczony podstawą transferu rejestr podprzetwarzających jest opublikowany na tej stronie — zobacz listę podprzetwarzających powyżej. Zmiany ogłaszamy co najmniej 14 dni wcześniej.

  6. RODO Art. 5(2) Wdrożone
    Opublikowana instrukcja weryfikacji

    Każdy może niezależnie zweryfikować dzienną kotwicę — bez zaufania do Rakomi. Instrukcja odtworzenia i sprawdzenia dowodu jest opublikowana, więc oświadczenie o rozliczalności jest czymś, co możesz wykazać samodzielnie, a nie przyjąć na wiarę.

Plan rozwoju

Pełne mapowanie regulacyjne GDPR + AI Act (dokumentacja) →

Model wspólnej odpowiedzialności

Bezpieczeństwo uwierzytelniania to partnerstwo. Oto, gdzie kończy się odpowiedzialność Rakomi, a zaczyna Twoja.

Rakomi odpowiada za

  • Dostępność i ciągłość infrastruktury auth
  • Bezpieczne wystawianie i weryfikację tokenów
  • Hashowanie haseł i przechowywanie poświadczeń
  • Zarządzanie łatkami i aktualizacjami zależności
  • Rezydencję danych w UE i zgodność z RODO
  • Ochronę DDoS (Cloudflare)

Ty odpowiadasz za

  • Rotację kluczy API i ich bezpieczne przechowywanie
  • Autoryzację działań po weryfikacji tokenu
  • Zgodę i informacje o prywatności Twoich użytkowników
  • Ochronę własnych endpointów aplikacji
  • Zgłaszanie podejrzanych nadużyć lub anomalii
  • Terminową aktualizację wersji SDK

Lista podprzetwarzających

Zaktualizowano 2026-05-13
Podprzetwarzający Cel przetwarzania Lokalizacja
Hetzner Online GmbH Infrastruktura (serwery, storage) 🇩🇪 Niemcy, UE
Cloudflare, Inc. CDN, DDoS, hosting Pages 🇺🇸 USA (Standardowe klauzule umowne)
Brevo SAS Transakcyjne wiadomości e-mail 🇫🇷 Francja, UE
BetterStack, Inc. Monitoring uptime, logi incydentów 🇺🇸 USA (Standardowe klauzule umowne)

Zmiany tej listy ogłaszamy co najmniej 14 dni wcześniej na stronie statusu i w changelogu.

Dostępność i incydenty

Zaktualizowano 2026-01-15

Aktualne metryki dostępności i historia incydentów są publikowane na naszej stronie statusu od Dnia 1 działalności.

Zobacz status.rakomi.dev →

Mapa drogowa certyfikacji

Zaktualizowano 2026-05-13
Certyfikacja Status Cel
RODO (EU 2016/679) ✓ Zgodne by design Ciągłe
DORA (EU 2022/2554) W toku — ocena luk Q3 2026
CRA (EU Cyber Resilience Act) Monitorowanie — jeszcze nie obowiązuje 2027
ISO 27001 Planowane — po pentestcie 2027
SOC 2 Type II Planowane — po ISO 27001 2027–2028

Kontakt ds. bezpieczeństwa i prywatności