Środki techniczne i organizacyjne (TOMs)

Środki na podstawie art. 32 GDPR zapewniające bezpieczeństwo przetwarzania danych osobowych na platformie NISD2.eu.

Ostatnia aktualizacja: czerwiec 2026.

Przegląd

Niniejszy dokument opisuje środki techniczne i organizacyjne faktycznie wdrożone przez Kardashev Catalyst UG (haftungsbeschränkt) jako operatora platformy NISD2.eu. Jest to rzetelny wykaz, a nie lista życzeń - wymieniamy wyłącznie to, co już jest wdrożone.

Środki są zgodne z IT-Grundschutz (BSI) i będą rozszerzane wraz z rozwojem platformy.

Hosting w UE

Produkcyjne przetwarzanie danych osobowych odbywa się wyłącznie na terenie UE:

  • Serwery aplikacji i baza danych PostgreSQL: Hetzner Online GmbH, centrum danych Falkenstein/Norymberga, Niemcy
  • Przechowywanie przesłanych dokumentów dowodowych: AWS S3, region UE
  • Brak produkcyjnego przetwarzania danych poza UE. Amerykańskie podusługi (Resend do e-maili transakcyjnych, xAI do opcjonalnego wstępnego wypełniania przez AI) przetwarzają wyłącznie dane niezbędne do ich funkcji.
Szyfrowanie (art. 32 ust. 1 lit. a GDPR)
  • Szyfrowanie transportu: TLS dla wszystkich połączeń z platformą (HTTPS)
  • Szyfrowanie w spoczynku: szyfrowanie po stronie serwera AWS S3 (AES256, ustawiane jawnie przy każdym przesłaniu przez PutObject); dane PostgreSQL w infrastrukturze Hetzner
  • Poświadczenia i klucze API są zarządzane przez zmienne środowiskowe serwera, nie są przechowywane w kodzie źródłowym ani w bazach danych
Poufność (art. 32 ust. 1 lit. b GDPR)

Środki zapewniające poufność:

  • Kontrola dostępu fizycznego: centra danych dostawców hostingu (Hetzner, AWS) posiadają certyfikaty ISO 27001
  • Środki dotyczące personelu: dostęp do systemów produkcyjnych i danych osobowych jest ograniczony do niewielkiej, imiennie wskazanej grupy zobowiązanej do zachowania poufności. Dostęp opiera się na zasadzie najmniejszych uprawnień i jest odbierany po zakończeniu pełnienia roli.
  • Uwierzytelnianie: wyłącznie przez Google OAuth 2.0; na platformie nie są przechowywane żadne hasła. MFA dla użytkowników zapewniane jest przez ich konto Google
  • Uprawnienia oparte na rolach: admin, recenzent, członek; egzekwowane w warstwie aplikacji przez oprogramowanie pośredniczące tRPC
  • Izolacja wielodostępowa: każde zapytanie zawierające dane filtruje w warstwie bazy danych według identyfikatora firmy uwierzytelnionego użytkownika; brak współdzielonych zbiorów danych między klientami
  • Brak haseł w postaci jawnej na platformie - uwierzytelnianie odbywa się wyłącznie w oparciu o OAuth
Integralność (art. 32 ust. 1 lit. b GDPR)
  • Kontrola wprowadzania: ścieżka audytu wszystkich zmian rejestrująca identyfikator użytkownika, działanie, typ encji, znacznik czasu, adres IP, agenta użytkownika oraz wartości sprzed i po zmianie
  • Wykrywanie manipulacji w ścieżce audytu: każdy wiersz audytu zawiera sumę kontrolną SHA-256 obliczaną z jego zawartości, dzięki czemu zmiany w wierszu są wykrywalne
  • Kontrola przesyłu: transmisja danych wyłącznie przez TLS; wszystkie uwierzytelnione punkty końcowe wymagają ważnej sesji
  • Dokumenty dowodowe: lokalizacja przechowywania i metadane są zapisywane przy przesyłaniu; opcjonalnie dostarczona przez klienta suma SHA-256 może być przechowywana wraz z plikiem
  • Mechanizm zatwierdzania: w chwili zatwierdzenia stan wymogu jest utrwalany w tabeli historii zatwierdzeń, której wpisy tworzą łańcuch SHA-256 (suma kontrolna każdego wpisu obejmuje poprzedni) - manipulacja historią jest wykrywalna od początku do końca
Dostępność (art. 32 ust. 1 lit. b GDPR)
  • Kopie zapasowe bazy danych zgodnie z domyślnymi ustawieniami usługi Hetzner Cloud; szczegóły aktualnej konfiguracji kopii zapasowych są dostępne na żądanie
  • Przechowywanie dokumentów dowodowych w AWS S3 z gwarancjami trwałości obiektów zapewnianymi przez AWS
  • Ograniczanie liczby żądań przy próbach logowania, publicznych punktach końcowych (sprawdzenie zakresu stosowania, portal dostawców) oraz zasobochłonnych uwierzytelnionych punktach końcowych (eksporty PDF, generowanie certyfikatów)
  • Przesyłane pliki są ograniczone do 50 MB na plik
  • Monitorowanie dostępności: status operacyjny platformy jest stale monitorowany i publicznie widoczny pod adresem nisd2.eu/status.
Procedura regularnego przeglądu (art. 32 ust. 1 lit. d GDPR)
  • Niniejsze TOMs są poddawane przeglądowi w odpowiedzi na zdarzenie oraz co najmniej raz w roku
  • Aktualizacje zależności i bibliotek istotnych dla bezpieczeństwa: Dependabot jest włączony, aby co tydzień ujawniać poprawki bezpieczeństwa i aktualizacje wersji jako pull requesty
  • Obowiązki zgłoszeniowe: naruszenia ochrony danych osobowych będą zgłaszane właściwemu organowi nadzorczemu w ciągu 72 godzin zgodnie z art. 33 GDPR
  • Praktyka rozwoju: zmiany w kodzie przechodzą przez pull requesty; egzekwowane jest sprawdzanie typów w trybie ścisłym TypeScript; ukierunkowane testy automatyczne obejmują logikę krytyczną dla bezpieczeństwa (np. klasyfikację zakresu stosowania)
Podmioty podprzetwarzające

Wszystkie podmioty podprzetwarzające są związane umowami na podstawie art. 28 GDPR. Pełny wykaz znajduje się w dokumencie DPA.

Zobacz pełny wykaz podmiotów podprzetwarzających (DPA)

Kontakt ds. ochrony danych

Pytania dotyczące niniejszych TOMs lub naszego przetwarzania danych należy kierować na adres:

contact@nisd2.eu