Centrum Zaufania dla Przedsiębiorstw

Bezpieczeństwo & Centrum Zaufania

Przejrzystość jest fundamentem zaufania w przedsiębiorstwach. Tutaj znajdziesz wszystko, czego potrzebujesz, aby ocenić poziom bezpieczeństwa K0nsult, praktyki ochrony danych i dostosowanie do wymagań zgodności.

Ostatni przegląd stanu bezpieczeństwa: marzec 2026. Następny zaplanowany przegląd: czerwiec 2026. Przeglądy przeprowadzane kwartalnie.
Bezpieczeństwo

Architektura Bezpieczeństwa

Infrastruktura klasy korporacyjnej z wielowarstwową obroną na każdym poziomie stosu.

Hosting i Infrastruktura

  • Region Fly.io Frankfurt (UE) — centrum danych z certyfikatem ISO 27001
  • Dedykowane instancje aplikacji z izolacją zasobów
  • Automatyczne kontrole stanu i wdrożenia bez przestojów
  • Sieć prywatna między komponentami aplikacji

Szyfrowanie

  • Szyfrowanie TLS 1.3 dla wszystkich danych w tranzycie
  • Szyfrowanie PostgreSQL w spoczynku (AES-256)
  • Zaszyfrowane kopie zapasowe z oddzielnym zarządzaniem kluczami
  • HTTPS wymagany na wszystkich punktach końcowych — brak fallbacku na tekst jawny

Izolacja Sieciowa

Wszystkie komponenty aplikacji działają w izolowanych sieciach prywatnych. Dostęp do bazy danych jest ograniczony wyłącznie do połączeń na poziomie aplikacji — brak publicznych punktów końcowych bazy danych. Komunikacja między usługami wykorzystuje zaszyfrowany wewnętrzny DNS. Routing brzegowy z ochroną DDoS na warstwie CDN.

Status komercyjny

Status komercyjny / Commercial status

Gdzie K0nsult znajduje się obecnie komercyjnie — opisane wprost, aby nie było wątpliwości dla uczestników pilotażu.

  • Faza: pilotaż wdrożeniowy (deployment pilot)
  • Opłaty: usługa płatna — pakiety i cennik na /audyt
  • Dostępność: usługa dostępna teraz — zamów na /audyt

Dowód: zobacz /services.html  ·  Ostatnia aktualizacja: maj 2026

Ochrona Danych

Twoje Dane, Twoja Kontrola

Zbieramy minimalną ilość danych niezbędnych i przechowujemy je w UE.

Lokalizacja Danych

  • Wszystkie dane przechowywane w UE (Frankfurt, Niemcy)
  • Dane klientów przechowywane wyłącznie w EOG; inferencja modelu przez subprocesora na podstawie SCC (zob. Politykę prywatności)
  • Kopie zapasowe przechowywane w tym samym regionie UE

Retencja Danych

  • Dane kontaktowe: 24 miesiące, potem usuwane
  • Dane analityczne: 12 miesięcy, anonimizowane
  • Dane projektowe: przechowywane zgodnie z umową, możliwe do usunięcia na żądanie

Minimalne Zbieranie

  • Zbierane są tylko dane niezbędne do świadczenia usługi
  • Brak skryptów śledzących lub pikseli podmiotów trzecich
  • Brak ciasteczek reklamowych lub profilowania behawioralnego

Brak Śledzenia Podmiotów Trzecich

  • Zero analityki podmiotów trzecich (brak Google Analytics)
  • Tylko niezbędne ciasteczka
  • Dane nie są sprzedawane ani udostępniane podmiotom trzecim
Kontrola Dostępu

Uwierzytelnianie & Autoryzacja

Wielowarstwowa kontrola dostępu zapewnia, że tylko autoryzowani użytkownicy i systemy mają dostęp do Twoich danych.

Uwierzytelnianie

  • Zarządzanie sesjami oparte na JWT (JSON Web Token)
  • Uwierzytelnianie kluczem API dla dostępu programistycznego
  • Polityki wygasania i rotacji tokenów
  • Bezpieczne hashowanie haseł (bcrypt)

Autoryzacja

  • Kontrola Dostępu Oparta na Rolach (RBAC) z granularnymi uprawnieniami
  • Zasada minimalnych uprawnień egzekwowana
  • Ograniczanie szybkości na wszystkich punktach końcowych API
  • Pełna ścieżka audytu wszystkich zdarzeń dostępu
Zgodność

Dostosowanie do Zgodności

Nasza platforma jest projektowana z uwzględnieniem wymagań regulacyjnych od samego początku.

EU AI Act

K0nsult zapewnia wsparcie w dostosowaniu do EU AI Act. Nasze ramowe zasady governance obejmują pomoc w klasyfikacji ryzyka, mechanizmy nadzoru ludzkiego, dokumentację przejrzystości oraz rejestr agentów wspierający wymagania dokumentacyjne zgodności.

ISO 42001

Zasady naszego systemu zarządzania AI są dostosowane do wymagań ISO/IEC 42001. Utrzymujemy udokumentowane procesy zarządzania cyklem życia AI, oceny ryzyka i ciągłego doskonalenia zgodne z ramami tego standardu.

Zgodność z RODO

K0nsult jest zbudowany z myślą o zgodności z RODO. Lokalizacja danych w UE, minimalizacja danych, prawo do usunięcia, przenoszenie danych, mechanizmy wyraźnej zgody, powiadomienie o naruszeniu w ciągu 72 godzin, Umowa o Przetwarzanie Danych (DPA) dostępna dla wszystkich klientów korporacyjnych. Nasza Polityka Prywatności i Regulamin są w pełni zgodne z wymaganiami RODO.

Zastrzeżenie: K0nsult zapewnia wsparcie w przygotowaniu, wskazówki dotyczące dostosowania i narzędzia governance, aby pomóc organizacjom w dążeniu do zgodności. Nasze usługi nie stanowią porady prawnej ani certyfikacji. Organizacje powinny przeprowadzić własny przegląd prawny i, w stosownych przypadkach, zaangażować akredytowane jednostki certyfikujące do formalnej certyfikacji.
Bezpieczeństwo Agentów

Kontrole Governance Agentów AI

Każdy agent działa w ścisłych granicach z obowiązkowym nadzorem ludzkim.

Granice Mandatow

  • Każdy agent ma zdefiniowany zakres operacji (mandat)
  • Akcje poza mandatem są blokowane i logowane
  • Zmiany mandatu wymagają autoryzowanej zgody człowieka

Nadpisywanie przez Człowieka

  • Człowiek w pętli dla krytycznych decyzji
  • Możliwość awaryjnego zatrzymania wszystkich agentów
  • Protokoły eskalacji z określonymi SLA

Bramki Jakosci

  • Testowanie i walidacja przed wdrożeniem
  • Ciągły monitoring wydajności
  • Automatyczny scoring jakości z progami

Izolacja Agentów

  • Każdy agent działa w izolowanym kontekście wykonawczym
  • Brak dostępu do danych między klientami
  • Środowiska sandbox dla operacji agentów
Reagowanie na Incydenty

Protokół Reagowania na Incydenty

Jasne, udokumentowane procedury wykrywania, reagowania i odzyskiwania po incydentach bezpieczeństwa.

Wykrywanie

  • Automatyczny monitoring i alerty na wszystkich krytycznych systemach
  • Wykrywanie anomalii we wzorcach dostępu API
  • Agregacja i analiza logów w czasie rzeczywistym

Eskalacja i Powiadomienia

  • Zdefiniowane poziomy eskalacji: L1 (automatyczny) → L2 (inżynieria) → L3 (zarządzanie)
  • Powiadomienie o naruszeniu w ciągu 72 godzin zgodnie z art. 33 RODO
  • Klienci powiadamiani w ciągu 24 godzin od potwierdzenia naruszenia
  • Raport poincydentalny dostarczany w ciągu 5 dni roboczych

Kontakt Bezpieczeństwa

Zgłaszaj podatności lub wątpliwości dotyczące bezpieczeństwa: security@k0nsult.cloud. Odpowiedzialne ujawnianie jest mile widziane. Zobowiązujemy się do potwierdzenia zgłoszenia w ciągu 24 godzin i dostarczenia wstępnej oceny w ciągu 72 godzin.

Ujawnianie Podatności

Polityka Ujawniania Podatności

Z zadowoleniem przyjmujemy odpowiedzialne badania bezpieczeństwa i zobowiązujemy się do współpracy ze społecznością w celu rozwiązywania podatności.

Zakres

  • Wszystkie publicznie dostępne usługi i API K0nsult pod adresem k0nsult.cloud

Poza zakresem: Usługi podmiotów trzecich, inżynieria społeczna, ataki odmowy usługi

Harmonogram Odpowiedzi

  • Potwierdzenie w ciągu 24 godzin
  • Wstępna ocena w ciągu 72 godzin
  • Cel naprawy w ciągu 30 dni

Bezpieczna Przystań

Nie będziemy podejmować działań prawnych przeciwko badaczom działającym w dobrej wierze. Dobra wiara oznacza: brak uzyskiwania dostępu lub modyfikowania danych innych użytkowników, brak pogarszania dostępności usługi i niezwłoczne zgłaszanie ustaleń na adres security@k0nsult.cloud.

Ciągłość Biznesowa

Polityka Kopii Zapasowych i Odzyskiwania

Zdefiniowane cele odzyskiwania zapewniają ochronę Twoich danych i szybkie przywrócenie usług.

Harmonogram Kopii Zapasowych

  • Automatyczne kopie zapasowe bazy danych co 6 godzin (RPO: 6 godzin)
  • Kopie zaszyfrowane w spoczynku, przechowywane w oddzielnej strefie dostępności
  • Procedury odzyskiwania testowane kwartalnie

Cele Odzyskiwania

  • Cel odzyskiwania infrastruktury: 4 godziny (RTO: 4 godziny)
  • Cel Punktu Odzyskiwania (RPO): maksymalnie 6 godzin utraty danych
  • Udokumentowane runbooki dla wszystkich scenariuszy odzyskiwania
Kontrola Dostępu

Macierz Kontroli Dostępu Opartej na Rolach

Granularne uprawnienia przypisane do każdej roli, egzekwujące zasadę minimalnych uprawnień na całej platformie.

Rola Rejestr Agentów Centrum Dowodzenia Logi Audytu Panel Admina Rozliczenia
Właściciel Pełny Pełny Pełny Pełny Pełny
Admin Odczyt/Zapis Odczyt/Zapis Odczyt Odczyt/Zapis Odczyt
Operator Odczyt/Zapis Odczyt/Zapis Odczyt Brak Brak
Audytor Odczyt Odczyt Pelny Odczyt Brak
Gość Odczyt (publiczny) Brak Brak Brak Brak
Audyt

Szczegóły Ścieżki Audytu

Kompleksowe, niemutowalne logowanie wszystkich zdarzeń istotnych z punktu widzenia bezpieczeństwa na całej platformie.

Co Jest Logowane

  • Wszystkie wywołania API, zdarzenia uwierzytelniania, zmiany uprawnień i akcje agentów są logowane
  • Logi przechowywane przez minimum 12 miesięcy
  • Logi są append-only (niemutowalne) i weryfikowane pod kątem integralności
  • Dostęp do logów audytu ograniczony do ról Właściciela i Audytora
  • Format logów: JSON ze znacznikiem czasu, aktorem, akcją, zasobem, wynikiem, IP

Przykładowy Wpis Logu 

{
  "timestamp": "2026-03-23T01:24:00Z",
  "actor": "agent-k02",
  "action": "process_assessment",
  "resource": "client-intake-42",
  "result": "success",
  "ip": "10.0.0.1"
}

Każdy wpis logu jest zgodny z tym ustrukturyzowanym formatem JSON, umożliwiającym automatyczną analizę, raportowanie zgodności i dochodzenie kryminalistyczne w razie potrzeby.

Governance Dostępu

Przeglądy Dostępu

Regularne przeglądy dostępu zapewniają, że uprawnienia pozostają odpowiednie i zasada minimalnych uprawnień jest utrzymywana.

Polityka Przeglądów

  • Przeglądy dostępu przeprowadzane miesięcznie przez właściciela systemu
  • Zasada minimalnych uprawnień egzekwowana: uprawnienia przyznawane per-rola, nie per-użytkownik
  • Nieużywane konta dezaktywowane po 90 dniach nieaktywności
  • Wszystkie eskalacje uprawnień wymagają jawnej zgody właściciela i są logowane
Zarządzanie Sekretami

Zarządzanie Sekretami

Wszystkie wrażliwe poświadczenia są zarządzane z rygorystycznymi kontrolami, aby zapobiec ujawnieniu i zapewnić terminową rotację.

Przechowywanie i Ochrona

  • Wszystkie klucze API, poświadczenia i tokeny są przechowywane w zaszyfrowanych zmiennych środowiskowych
  • Brak sekretów w kodzie źródłowym lub plikach konfiguracyjnych
  • Sekrety są wstrzykiwane w czasie wykonania poprzez zarządzanie sekretami na poziomie platformy

Polityka Rotacji Kluczy

  • Klucze API rotowane kwartalnie
  • Poświadczenia bazy danych rotowane przy zmianach infrastruktury
  • Klucze podpisywania JWT rotowane rocznie
  • Wszystkie zdarzenia rotacji są logowane w ścieżce audytu
Retencja Logów

Polityka Retencji Logów

Zdefiniowane okresy retencji zapewniają dostępność logów na potrzeby zgodności i dochodzeń, przy jednoczesnym odpowiedzialnym archiwizowaniu i usuwaniu.

Okresy Retencji

Typ Logu Okres Retencji
Logi zdarzeń bezpieczeństwa 36 miesięcy
Logi aplikacji 12 miesięcy
Logi dostępu 12 miesięcy
Ścieżka audytu 36 miesięcy (lub czas trwania umowy z klientem, w zależności co dłuższe)
Logi kopii zapasowych 6 miesięcy

Logi są automatycznie archiwizowane po upływie okresu retencji i trwale usuwane po dodatkowym okresie archiwizacji wynoszącym 12 miesięcy.

Należyta Staranność

Lista Kontrolna Należytej Staranności Bezpieczeństwa

Klienci korporacyjni mogą użyć tej listy kontrolnej do oceny poziomu bezpieczeństwa K0nsult w ramach procesu oceny dostawcy.

Lista Kontrolna Należytej Staranności Bezpieczeństwa dla Klientów Korporacyjnych

  • Lokalizacja hostingu danych i jurysdykcja potwierdzone
  • Standardy szyfrowania przejrzane (w spoczynku + w tranzycie)
  • Model kontroli dostępu przejrzany (RBAC)
  • Możliwości ścieżki audytu zweryfikowane
  • Procedura reagowania na incydenty przejrzana
  • DPA / lista podwykonawców przetwarzania otrzymana
  • Cele kopii zapasowych i odzyskiwania potwierdzone (RPO/RTO)
  • Polityka ujawniania podatności przejrzana
  • Dostosowanie do zgodności zweryfikowane (RODO, AI Act)
  • Kontakt bezpieczeństwa ustanowiony

Potrzebujesz pomocy w wypełnieniu tej listy kontrolnej? Skontaktuj się z security@k0nsult.cloud, a umówimy prezentację bezpieczeństwa.

Podwykonawcy Przetwarzania

Podwykonawcy Przetwarzania i Podmioty Trzecie

Utrzymujemy minimalny zakres podwykonawców przetwarzania, aby zmniejszyć ryzyko.

Podwykonawca Usługa Lokalizacja Przetwarzane Dane Status
Fly.io Hosting aplikacji i obliczenia Frankfurt, Niemcy (UE) Dane aplikacji, sesje użytkowników Aktywny
PostgreSQL (Fly.io Managed) Hosting bazy danych Frankfurt, Niemcy (UE) Wszystkie dane trwale Aktywny
Uwaga: Powiadomimy klientów korporacyjnych co najmniej 30 dni przed dodaniem nowego podwykonawcy przetwarzania. Klienci mają prawo do sprzeciwu zgodnie z Umową o Przetwarzanie Danych.

Zobacz nasz Pakiet Zamówień, aby poznać szczegóły oceny dostawcy →

Dokumentacja

Dostepne Dokumenty

Cała dokumentacja, której potrzebują Twoje zespoły zamówień i bezpieczeństwa, gotowa do przeglądu.

Biała Księga Bezpieczeństwa Szablon DPA Dokument SLA Polityka Prywatności Regulamin Pakiet Zamówień
Niezawodność

Status i Zobowiązania Dotyczące Czasu Działania

Wielopoziomowe zobowiązania dostępności dopasowane do Twoich wymagań biznesowych.

Metryka Starter Professional Enterprise
SLA Czasu Dzialania 99.0% 99.5% 99.9%
Maks. Miesięczny Przestój ~7h 18m ~3h 39m ~43m
Okno Serwisowe Niedziela 02:00-06:00 CET Niedziela 02:00-04:00 CET Koordynowane, 48h wyprzedzenia
Reagowanie na Incydenty Najlepsze starania < 4 godziny < 1 godzina
Aktualizacje Statusu Email Email + dashboard Email + dashboard + Slack

Skontaktuj Się z Naszym Zespołem Bezpieczeństwa

Pytania dotyczące naszego poziomu bezpieczeństwa? Potrzebujesz dokumentacji do przeglądu? Odpowiedzialne ujawnianie? Jesteśmy tu, aby pomóc.

security@k0nsult.cloud Umów Konsultacje

Odpowiedzialne ujawnianie jest mile widziane. Potwierdzamy wszystkie zgłoszenia w ciągu 24 godzin.