Bezpieczeństwo
na każdej warstwie.

Wszystkie dane przepływające do i z platformy Vowly Event są szyfrowane przy użyciu algorytmów zgodnych ze standardami branżowymi. Używamy TLS 1.3 z mechanizmem perfect forward secrecy dla danych w trakcie przesyłania oraz AES-256 w trybie GCM dla danych w spoczynku w naszej głównej bazie danych, przechowywaniu plików i kopiach zapasowych.

• TLS 1.3 dla wszystkich połączeń klient–serwer; uwzględnienie na liście preload HSTS
• Szyfrowanie AES-256-GCM w spoczynku dla Firestore, Cloud Storage i kopii zapasowych
• Szyfrowane przechowywanie danych uwierzytelniających przy użyciu bcrypt (work factor 12) oraz Argon2id dla nowszych kont
• Zarządzanie kluczami kryptograficznymi za pośrednictwem Google Cloud KMS z coroczną rotacją kluczy

We wszystkich systemach stosujemy zasadę najmniejszych uprawnień. Dostęp do środowiska produkcyjnego jest ograniczony do niewielkiej grupy inżynierów, wymaga uwierzytelniania wieloskładnikowego, a każde uprzywilejowane działanie jest rejestrowane do celów audytu.

• Kontrola dostępu oparta na rolach (RBAC) egzekwowana we wszystkich narzędziach wewnętrznych
• Obowiązkowe sprzętowe klucze bezpieczeństwa (FIDO2/WebAuthn) dla dostępu produkcyjnego
• Przyznawanie dostępu just-in-time z automatycznym wygaśnięciem (zazwyczaj 4 godziny)
• Kompleksowe rejestrowanie audytowe wszystkich działań administracyjnych
• Kwartalne przeglądy dostępu i automatyczne odbieranie uprawnień w ciągu 1 godziny od zmiany roli

Vowly Event działa na Google Cloud Platform z główną infrastrukturą w regionie europe-west3 (Frankfurt) oraz replikacją wieloregionową w całej UE. Nasza infrastruktura została zaprojektowana z myślą o odporności, skalowalności i zgodności regulacyjnej z wymogami dotyczącymi rezydencji danych w UE i UK.

• Dostawca chmury: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
• Region główny: europe-west3 (Frankfurt, Niemcy)
• Baza danych: Cloud Firestore z replikacją wieloregionową (eur3)
• CDN i ochrona przed DDoS: Cloudflare z ograniczaniem przepustowości i ograniczaniem botów
• Codzienne szyfrowane kopie zapasowe z 35-dniowym okresem przechowywania i kwartalnymi testami odtwarzania

Monitorujemy platformę przez całą dobę z automatycznym alarmowaniem o anomaliach, zdarzeniach bezpieczeństwa i spadkach wydajności. Nasz zespół reagowania na incydenty jest pod telefonem, by zajmować się krytycznymi problemami w ciągu minut.

• Monitorowanie bezpieczeństwa w czasie rzeczywistym pod kątem nietypowych wzorców logowania i prób credential stuffing
• Monitorowanie wydajności aplikacji (APM) z wykrywaniem anomalii
• Zapora aplikacji webowych (WAF) i ograniczanie przepustowości na wszystkich publicznych punktach końcowych
• Ciągłe skanowanie podatności zależności (npm audit, Snyk)
• Coroczne testy penetracyjne osób trzecich przez firmy akredytowane przez CREST

Bezpieczeństwo jest wbudowane w każdy etap naszego cyklu tworzenia oprogramowania. Stosujemy najlepsze praktyki OWASP i wymagamy, by wszystkie zmiany w kodzie przeszły automatyczne kontrole bezpieczeństwa przed wdrożeniem na produkcję.

• Obowiązkowy przegląd kodu przez współpracowników dla wszystkich zmian; brak bezpośrednich commitów do gałęzi produkcyjnych
• Statyczne testowanie bezpieczeństwa aplikacji (SAST) przy każdym pull requeście
• Analiza składu oprogramowania (SCA) w celu identyfikacji podatnych zależności
• Automatyczne nagłówki bezpieczeństwa (CSP, X-Frame-Options, Referrer-Policy)
• Skanowanie i zapobieganie wyciekom sekretów za pomocą hooków git pre-commit

Mimo naszych największych starań żadna platforma nie jest odporna na incydenty bezpieczeństwa. Jeśli wykryjemy naruszenie ochrony danych osobowych, postępujemy zgodnie z udokumentowanym planem reagowania na incydenty i powiadomimy poszkodowanych użytkowników oraz brytyjskie ICO w ciągu 72 godzin, zgodnie z art. 33 UK GDPR.

• Udokumentowany plan reagowania na incydenty z określonymi poziomami istotności
• Dyżury z 15-minutowym SLA reakcji dla incydentów krytycznych
• Obowiązkowa analiza powdrożeniowa i działania naprawcze dla wszystkich incydentów P0/P1
• Zobowiązanie do powiadomienia o naruszeniu w ciągu 72 godzin organów nadzorczych i poszkodowanych użytkowników

Vowly Event jest zbudowane na infrastrukturze z wiodącymi certyfikatami bezpieczeństwa i zaprojektowane tak, by spełniać wymogi wielu ram dotyczących prywatności i bezpieczeństwa.

• UK GDPR i RODO UE — pełna zgodność, w tym rejestry z art. 30 i DPIA
• Brytyjska ustawa o ochronie danych z 2018 r. (UK Data Protection Act 2018)
• PCI DSS — Stripe obsługuje wszystkie dane płatnicze; utrzymujemy zakres SAQ-A
• Regularne przeglądy bezpieczeństwa, audyty zależności i utwardzanie naszej infrastruktury
• SOC 2 Type II — certyfikacja dostawcy infrastruktury (Google Cloud)

Doceniamy pomoc społeczności bezpieczeństwa w utrzymaniu bezpieczeństwa naszej platformy. Jeśli odkryjesz podatność, zgłoś ją na security@vowly.co z jasnym opisem, krokami do odtworzenia i Twoimi danymi kontaktowymi. Zobowiązujemy się potwierdzić zgłoszenia w ciągu 48 godzin i współpracować z Tobą nad harmonogramem odpowiedzialnego ujawnienia.