Bezpieczeństwo danych

Twoje dane — zużycie energii, lista i parametry urządzeń, raporty — należą do Ciebie. Poniżej opisujemy konkretne, działające zabezpieczenia, które stosujemy w Energy App. Piszemy tylko o tym, co naprawdę robimy.

Szyfrowane połączenie

  • Cały ruch w aplikacji odbywa się przez HTTPS (TLS). W środowisku produkcyjnym żądania HTTP są automatycznie przekierowywane na HTTPS.
  • Stosujemy nagłówek HSTS (Strict-Transport-Security, ważność 1 rok, z subdomenami), który nakazuje przeglądarce łączyć się wyłącznie szyfrowanym kanałem.
  • Połączenie z bazą danych jest szyfrowane (TLS, sslmode=require).

Hasła i dostęp do konta

  • Haseł nigdy nie przechowujemy jawnie. Są zapisywane jako skrót kryptograficzny obliczany nowoczesnym, odpornym na łamanie algorytmem scrypt (memory-hard, biblioteka Werkzeug) — z odrębną solą dla każdego hasła.
  • Rejestracja konta wymaga weryfikacji adresu e-mail.
  • Linki do resetu hasła są jednorazowe i czasowe; nie zapisujemy ich w logach.

Izolacja kont

  • Każdy projekt, urządzenie i raport jest przypisany do właściciela. Dostęp do danych wymaga zalogowania, a każda operacja jest sprawdzana pod kątem uprawnień — nie zobaczysz danych innego użytkownika i nikt nie zobaczy Twoich.
  • Nie sprzedajemy i nie udostępniamy danych projektowych podmiotom trzecim w celach marketingowych.

Zabezpieczenia aplikacji

  • Ciasteczka sesji i „zapamiętaj mnie" są oznaczone jako HttpOnly i SameSite, a w produkcji także Secure (przesyłane wyłącznie po HTTPS).
  • Stosujemy egzekwującą Politykę Bezpieczeństwa Treści (CSP) z jednorazowym tokenem (nonce), co ogranicza ryzyko ataków typu XSS.
  • Włączone są nagłówki ochronne X-Content-Type-Options: nosniff oraz X-Frame-Options: SAMEORIGIN (ochrona przed clickjackingiem).
  • Formularze są chronione tokenami CSRF, a aplikacja stosuje ograniczanie liczby żądań (rate limiting).

Twoje prawa do danych (RODO)

  • Eksport danych (art. 20) — w każdej chwili samodzielnie pobierzesz wszystkie swoje dane jednym kliknięciem w Profilu: paczka ZIP z plikiem JSON (format maszynowy) i arkuszem XLSX (czytelny dla człowieka), wraz z opisem schematu. Dane są użyteczne także poza aplikacją — nie zamykamy Cię w jednym narzędziu.
  • Usunięcie konta (art. 17) — samodzielnie i trwale usuniesz konto wraz ze wszystkimi powiązanymi danymi (projekty, urządzenia, historia obliczeń).
  • Szczegóły: Polityka Prywatności.

Kopie zapasowe i ciągłość działania

  • Wykonujemy kopie zapasowe bazy danych — m.in. przed każdą aktualizacją struktury danych — i dysponujemy narzędziami do tworzenia kopii poza serwerem produkcyjnym.
  • Działamy na sprawdzonej infrastrukturze chmurowej w Unii Europejskiej.
  • Plan ciągłości: gdybyśmy kiedykolwiek mieli zakończyć świadczenie usługi, poinformujemy o tym z wyprzedzeniem co najmniej 60 dni, a możliwość eksportu danych pozostanie aktywna przez cały okres wypowiedzenia. Zasadę tę zapisaliśmy w Regulaminie.
Masz pytanie dotyczące bezpieczeństwa danych? Napisz na kontakt@energyapp.pl.