Przejdź do treści głównej

Powrót do strony głównej
Bezpieczeństwo platformy

Bezpieczeństwo
i Prywatnońć

GastroPipe chroni dane Twojego biznesu na każdym poziomie — od infrastruktury po protokoły dostępu. Poniżej znajdziesz pełny opis naszych zabezpieczeń.

Zgodność z RODO

  • Pełna zgodność z rozporządzeniem RODO (GDPR) dla danych EOG
  • Dane przechowywane wyłącznie w granicach Europejskiego Obszaru Gospodarczego
  • Prawo do eksportu danych: GET /api/gdpr/export (format JSON, 24h)
  • Prawo do bycia zapomnianym: DELETE /api/gdpr/delete (anonimizacja)
  • Minimalizacja danych — zbieramy tylko to, co niezbędne do usługi
  • Kontakt z Administratorem Danych: privacy@gastropipe.pl

Infrastruktura

  • Serwery w Niemczech (Hetzner Online GmbH, Frankfurt/Nuremberg)
  • Szyfrowanie danych w spoczynku: AES-256
  • Szyfrowanie transmisji: TLS 1.3 (HTTPS na wszystkich endpointach)
  • Codzienne kopie zapasowe PostgreSQL z 30-dniową retencją
  • Kopie przechowywane na zewnętrznym Hetzner Storage Box
  • Alert automatyczny przy niepowodzeniu backupu (Grafana)

Kontrola dostępu

  • Tokeny JWT z TTL 15 minut — krótki czas życia minimalizuje ryzyko
  • Refresh tokeny 7-dniowe z rotacją przy każdym odświeżeniu
  • Device binding — tokeny powiązane z urządzeniem klienta
  • Uwierzytelnianie 2FA (TOTP: Google Authenticator, Authy)
  • Role RBAC: Admin / Manager / Client z izolacją na poziomie API
  • Klucze API z granularnymi uprawnieniami i hash SHA-256

Audit i monitoring

  • Wszystkie operacje krytyczne zapisywane w Audit Logu ze znacznikiem czasu
  • Logowanie, zmiana hasła, eksport danych — pełna ścieżka audytu
  • Prometheus + Grafana monitorują błędy 5xx, latencję i anomalie
  • Serilog ze strukturalnymi logami i rotacją dzienną
  • Metryki czasu rzeczywistego dostępne w panelu administracyjnym

Rate limiting i ochrona DDoS

  • Limit logowania: 5 prób / minutę per adres IP
  • Limit rejestracji: 2 żądania / minutę
  • Limit API per klucz: 300 żądań / minutę (sliding window)
  • Ochrona DDoS na poziomie sieciowym (Hetzner upstream)
  • Idempotency keys na mutacjach — ochrona przed duplikacją

Nagłówki bezpieczeństwa HTTP

  • Strict-Transport-Security (HSTS) — wymuszony HTTPS
  • Content-Security-Policy z nonce — blokuje XSS
  • X-Frame-Options: DENY — ochrona przed clickjacking
  • X-Content-Type-Options: nosniff
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy — wyłączone: kamera, mikrofon, geolokalizacja

Odpowiedzialne ujawnianie luk

Jeśli odkryłeś lukę bezpieczeństwa w GastroPipe, skontaktuj się z nami. Zobowiązujemy się do odpowiedzi w ciągu 48 godzin i naprawy krytycznych błędów w ciągu 7 dni.

security@gastropipe.pl