Bezpieczeństwo danych
Twoje dane — zużycie energii, lista i parametry urządzeń, raporty — należą do Ciebie. Poniżej opisujemy konkretne, działające zabezpieczenia, które stosujemy w Energy App. Piszemy tylko o tym, co naprawdę robimy.
Szyfrowane połączenie
- Cały ruch w aplikacji odbywa się przez HTTPS (TLS). W środowisku produkcyjnym żądania HTTP są automatycznie przekierowywane na HTTPS.
- Stosujemy nagłówek HSTS (
Strict-Transport-Security, ważność 1 rok, z subdomenami), który nakazuje przeglądarce łączyć się wyłącznie szyfrowanym kanałem. - Połączenie z bazą danych jest szyfrowane (TLS,
sslmode=require).
Hasła i dostęp do konta
- Haseł nigdy nie przechowujemy jawnie. Są zapisywane jako skrót kryptograficzny obliczany nowoczesnym, odpornym na łamanie algorytmem scrypt (memory-hard, biblioteka Werkzeug) — z odrębną solą dla każdego hasła.
- Rejestracja konta wymaga weryfikacji adresu e-mail.
- Linki do resetu hasła są jednorazowe i czasowe; nie zapisujemy ich w logach.
Izolacja kont
- Każdy projekt, urządzenie i raport jest przypisany do właściciela. Dostęp do danych wymaga zalogowania, a każda operacja jest sprawdzana pod kątem uprawnień — nie zobaczysz danych innego użytkownika i nikt nie zobaczy Twoich.
- Nie sprzedajemy i nie udostępniamy danych projektowych podmiotom trzecim w celach marketingowych.
Zabezpieczenia aplikacji
- Ciasteczka sesji i „zapamiętaj mnie" są oznaczone jako HttpOnly i SameSite, a w produkcji także Secure (przesyłane wyłącznie po HTTPS).
- Stosujemy egzekwującą Politykę Bezpieczeństwa Treści (CSP) z jednorazowym tokenem (nonce), co ogranicza ryzyko ataków typu XSS.
- Włączone są nagłówki ochronne
X-Content-Type-Options: nosnifforazX-Frame-Options: SAMEORIGIN(ochrona przed clickjackingiem). - Formularze są chronione tokenami CSRF, a aplikacja stosuje ograniczanie liczby żądań (rate limiting).
Twoje prawa do danych (RODO)
- Eksport danych (art. 20) — w każdej chwili samodzielnie pobierzesz wszystkie swoje dane jednym kliknięciem w Profilu: paczka ZIP z plikiem JSON (format maszynowy) i arkuszem XLSX (czytelny dla człowieka), wraz z opisem schematu. Dane są użyteczne także poza aplikacją — nie zamykamy Cię w jednym narzędziu.
- Usunięcie konta (art. 17) — samodzielnie i trwale usuniesz konto wraz ze wszystkimi powiązanymi danymi (projekty, urządzenia, historia obliczeń).
- Szczegóły: Polityka Prywatności.
Kopie zapasowe i ciągłość działania
- Wykonujemy kopie zapasowe bazy danych — m.in. przed każdą aktualizacją struktury danych — i dysponujemy narzędziami do tworzenia kopii poza serwerem produkcyjnym.
- Działamy na sprawdzonej infrastrukturze chmurowej w Unii Europejskiej.
- Plan ciągłości: gdybyśmy kiedykolwiek mieli zakończyć świadczenie usługi, poinformujemy o tym z wyprzedzeniem co najmniej 60 dni, a możliwość eksportu danych pozostanie aktywna przez cały okres wypowiedzenia. Zasadę tę zapisaliśmy w Regulaminie.
Masz pytanie dotyczące bezpieczeństwa danych? Napisz na
kontakt@energyapp.pl.