Bezpieczeństwo i zgodność Open Mercato
Open source nie oznacza luźnego podejścia do bezpieczeństwa - oznacza pełną przejrzystość. Poniżej konkretne praktyki bezpieczeństwa, zgodność RODO i informacje o hostingu, których wymagają nasi klienci enterprise.
Dlaczego bezpieczeństwo to nasz priorytet
Wdrażamy Open Mercato w firmach produkcyjnych, dystrybucji, e-commerce B2B oraz w organizacjach z wymaganiami audytowymi. Każdy projekt traktujemy jak production-ready system - z szyfrowaniem, kontrolą dostępu, audytem zdarzeń i procedurami backupu. Open source daje Ci coś, czego nie da Salesforce: możliwość samodzielnej weryfikacji każdej linii kodu, który zarządza Twoimi danymi.
Zgodność z RODO
Hosting danych w UE
Wszystkie dane przechowujemy na serwerach w Unii Europejskiej (Polska, Niemcy, Holandia). Żadnych transferów do USA czy poza UE bez Twojej wyraźnej zgody.
Prawo dostępu, sprostowania i usunięcia
Open Mercato udostępnia API pozwalające wyeksportować, zmodyfikować lub trwale usunąć dane osobowe konkretnego użytkownika. Spełniamy wymagania art. 15-17 RODO.
Rejestr czynności przetwarzania
Pomagamy w przygotowaniu rejestru zgodnie z art. 30 RODO - dokumentujemy kategorie danych, podstawy prawne, odbiorców i okres retencji.
Umowa powierzenia (DPA)
Podpisujemy umowę powierzenia przetwarzania danych z każdym klientem, dla którego hostujemy system. Wzór dostępny na żądanie.
Pseudonimizacja i minimalizacja
W raportach i logach domyślnie maskujemy dane osobowe. Logi techniczne nie zawierają numerów kart, PESEL ani haseł.
Procedura zgłoszenia naruszeń
Mamy procedurę powiadomienia w ciągu 24h od wykrycia incydentu - zgodnie z art. 33 RODO (72h limit do organu nadzorczego).
Szyfrowanie i kontrola dostępu
Szyfrowanie w tranzycie
Cała komunikacja między przeglądarką a serwerem jest szyfrowana protokołem TLS 1.3. Certyfikaty Let's Encrypt lub komercyjne, automatycznie odnawiane.
Szyfrowanie w spoczynku
Baza danych PostgreSQL z szyfrowaniem dysku (LUKS) oraz column-level encryption dla danych wrażliwych (numery dokumentów, dane bankowe).
Hasła i uwierzytelnianie
Hasła hashowane algorytmem bcrypt (cost 12). Wsparcie dla MFA (TOTP), SSO przez OAuth2/SAML i Active Directory.
Role i uprawnienia
Granularny model ról - dostęp na poziomie modułów, rekordów i pól. Audytowalny log każdej zmiany uprawnień.
Infrastruktura i operacje
Backupy
Codzienne automatyczne backupy, retencja 30 dni, replikacja off-site. Możliwość przywrócenia do dowolnego punktu czasu w ciągu ostatnich 7 dni (PITR).
Monitoring 24/7
Monitorujemy dostępność, czasy odpowiedzi i błędy aplikacji. Alerty na anomalie. Standardowy uptime SLA: 99,9% (Enterprise: 99,95%).
Patchowanie
Aktualizacje bezpieczeństwa systemu operacyjnego i zależności wdrażane w ciągu 14 dni od publikacji CVE. Critical CVE - w 48h.
Środowiska izolowane
Każdy klient ma osobne środowisko (separated DB + app). Brak współdzielenia danych między klientami.
Audyty i transparentność
Pełny dostęp do kodu
Każdą linię kodu możesz przejrzeć, sforkować lub przekazać zewnętrznej firmie do audytu. Brak ukrytej logiki, brak telemetrii bez Twojej zgody.
Audyt bezpieczeństwa na życzenie
Pomagamy zorganizować audyt zewnętrzny (pentest, code review). Dostarczamy dokumentację architektoniczną, dane testowe i wsparcie zespołu.
Log audytowy
Każde logowanie, zmiana rekordu i akcja administracyjna jest zapisywana w niezmienialnym logu (append-only). Eksport do SIEM przez API.
Publiczne polityki
Polityka bezpieczeństwa, Privacy Policy i Terms of Service są publicznie dostępne i regularnie aktualizowane.
Wsparcie dla regulacji branżowych
Architektura Open Mercato pozwala spełnić wymagania ISO 27001 (separacja środowisk, kontrola dostępu, log audytowy), JPK_VAT (eksport plików w formacie XML), KSeF (integracja przygotowana do faktur ustrukturyzowanych) oraz wymagań sektora finansowego (rekomendacja D KNF - kontrola dostępu, ciągłość działania).
Zgłoszenie incydentu bezpieczeństwa
Jeśli znalazłeś podatność lub podejrzewasz naruszenie - napisz natychmiast na security@openmercatostudio.pl. Odpowiadamy w ciągu 24h roboczych. Stosujemy responsible disclosure - badaczy bezpieczeństwa wynagradzamy uznaniem w naszej Hall of Fame.
Porozmawiaj z nami o wymaganiach bezpieczeństwa
30 minut bez zobowiązań. Przygotujemy odpowiedzi na pytania Twojego działu bezpieczeństwa lub IT.
Umów rozmowę