Bezpieczeństwo

Dane kart są bezpieczne u nas

Dane kart chronimy w naszym vault PCI DSS Level 1: zaszyfrowane, przechowywane wyłącznie w europejskich centrach danych, z rejestrem każdego dostępu. Ty nigdy nie dotykasz numeru karty – pracujesz wyłącznie na tokenach.

Certyfikacja

PCI DSS Level 1

To najwyższy poziom zgodności PCI. Oznacza, że nasz vault jest audytowany co roku przez niezależnych asesorów, a Ty przejmujesz znaczną część tej ochrony.

Coroczny audyt

Akredytowany asesor PCI (QSA) weryfikuje co roku spełnienie wszystkich wymagań. Raport jest dostępny dla organizacji płatniczych i – na życzenie – dla Ciebie.

Kwartalne skany

Co kwartał skanujemy infrastrukturę dostępną z Internetu. Jeśli wykryjemy cokolwiek do poprawy, usuwamy problem przed kolejnym skanem.

Mniej obowiązków dla Ciebie

Ponieważ dane kart przechowujemy w naszym vault, zakres PCI po Twojej stronie ulega znacznemu zmniejszeniu. Często wystarczy uproszczony kwestionariusz (SAQ A) zamiast samodzielnego zarządzania całą zgodnością.

Tylko Europa

Dane kart nigdy nie opuszczają UE

Dane kart przechowujemy i przetwarzamy wyłącznie na terenie Unii Europejskiej. Żadnych kopii poza Europą, żadnych nieeuropejskich chmur do operacji vault.

Zaprojektowane pod RODO

Umowy powierzenia przetwarzania danych, podstawy prawne i dokumentacja są już gotowe. Wiesz, gdzie są dane i kto nimi zarządza: my, w UE.

Centra danych w Niemczech i Holandii

Redundantna infrastruktura o wysokiej dostępności. Disaster recovery również pozostaje w granicach Europy.

Żadnych transferów za granicę

Klucze szyfrowania, mapowania tokenów i dzienniki audytu pozostają pod jurysdykcją UE. Żadnego ryzyka związanego z transferem danych poza Europę.

Co gwarantujemy

Dane kart przechowywane wyłącznie w centrach danych UE
Klucze szyfrowania generowane i przechowywane w UE
Umowa DPA zgodna z art. 28 RODO – dostępna na żądanie
Brak podprzetwarzających spoza UE dla vault
Disaster recovery w granicach UE
Szyfrowanie

Zaszyfrowane w spoczynku i podczas transmisji

Dane kart nigdy nie są przesyłane w postaci jawnej. Szyfrujemy je podczas zapisu i podczas przesyłania między naszymi systemami.

01

AES-256 w vault

W spoczynku

Każdy numer karty w vault jest szyfrowany algorytmem AES-256. Klucze są chronione wewnątrz dedykowanego sprzętu (HSM). Nigdy nie eksportujemy ich w postaci jawnej.

02

TLS 1.3 podczas transmisji

Tylko bezpieczne połączenia

API i przepływy płatnicze używają wyłącznie TLS 1.3. Starsze wersje są wyłączone. Nawet przechwycenie ruchu nie pozwoli na odszyfrowanie danych.

03

Rotacja kluczy

Bez przestojów

Klucze główne rotowane są co roku, zgodnie z wymaganiami PCI DSS. Ponowne szyfrowanie odbywa się w tle – dla Ciebie i Twoich klientów nic się nie zmienia.

AES-256

Szyfrowanie w spoczynku

TLS 1.3

Między systemami

Coroczna

Rotacja kluczy

Dedykowany sprzęt

Klucze przechowywane w HSM

HSM to urządzenie sprzętowe odporne na manipulacje fizyczne, w którym generujemy i przechowujemy klucze szyfrowania. Numery kart nigdy go nie opuszczają w postaci jawnej.

Certyfikat FIPS 140-2 Level 3

Uznany standard dla bezpieczeństwa sprzętowego. Próba fizycznego otwarcia urządzenia powoduje automatyczne zniszczenie kluczy.

Klucze generowane wewnątrz HSM

Generowanie, rotacja i niszczenie kluczy odbywa się wyłącznie w granicach HSM. Nigdy nie przechowujemy kluczy głównych na dyskach ani w ogólnych zasobach chmurowych.

Odporność na manipulacje

Dedykowane czujniki i obudowy wykrywają próby fizycznego dostępu. W przypadku wykrycia nieprawidłowości materiał kryptograficzny jest natychmiast niszczony.

Jak przebiega żądanie

Twoje żądanie API (TLS 1.3)
Silnik PCI Proxy Odbiera dane karty i tworzy token
HSM (FIPS 140-2 L3) Generuje klucze i szyfruje dane karty
Zaszyfrowany vault (AES-256) Numer karty zaszyfrowany, klucze wyłącznie w HSM
Aktywna ochrona

Kontrole antynadużyciowe

Poza szyfrowaniem i tokenizacją monitorujemy każde żądanie. Jeśli coś wygląda podejrzanie, blokujemy lub oznaczamy to zanim stanie się problemem.

Limity żądań

Wykrywamy nietypowe skoki liczby żądań z tego samego konta, adresu IP lub klucza API. Konfigurowalne progi uruchamiają tymczasowe blokady i alerty dla zespołu bezpieczeństwa.

Podejrzane wzorce

Analizujemy ruch w celu wykrycia nieprawidłowego zachowania: sekwencyjne testy, nietyp owe wolumeny, niespójności geograficzne. Oznaczone żądania są blokowane zgodnie z Twoją polityką.

Monitoring 24/7

Nasz zespół bezpieczeństwa monitoruje błędy, opóźnienia i dostęp do danych. W przypadku odchyleń od normy reagujemy w ciągu kilku minut.

Testy zewnętrzne

Testujemy się również od zewnątrz

Nie poprzestajemy na audytach PCI: regularne testy penetracyjne i skany niezależnych firm weryfikują, że vault pozostaje solidny.

01

Testy penetracyjne

Dwa razy w roku akredytowane firmy symulują ataki na naszą sieć i API. Każdy znaleziony problem jest naprawiany i ponownie weryfikowany.

02

Zarządzanie podatnościami

Tygodniowe skany wewnętrzne obejmujące wszystkie komponenty. Krytyczne problemy są rozwiązywane w określonych terminach – najpoważniejsze w ciągu 24 godzin.

03

Raport SOC 2 Type II

Co roku niezależni audytorzy weryfikują bezpieczeństwo, dostępność i poufność. Na żądanie, po podpisaniu NDA, udostępniamy raport klientom.

04

Bezpieczne wytwarzanie oprogramowania

Każda zmiana kodu przechodzi przegląd i automatyczne testy. Przed dotknięciem vault oceniamy ryzyka w ustrukturyzowany sposób.

Jeśli coś się wydarzy

Reakcja na incydent

Mamy nadzieję, że nigdy nie będzie potrzeby. Jeśli jednak dojdzie do zdarzenia bezpieczeństwa, wykrywamy je, powstrzymujemy i informujemy Cię w sposób przejrzysty.

24/7
Monitoring

Zawsze aktywny

Korelacja logów i alertów w czasie rzeczywistym dla całej infrastruktury

<15m
Wykrycie

Pierwsza reakcja

Klasyfikujemy wagę incydentu i uruchamiamy procedurę izolacji w ciągu 15 minut

<72h
Komunikacja

Informujemy Cię

W razie potrzeby powiadamiamy w ciągu 72 godzin, zgodnie z wymogami RODO i PCI

Po
Doskonalenie

Analiza i poprawki

Post-mortem z działaniami naprawczymi, aby zapobiec powtórzeniu się incydentu

Dostępność: 99,95% uptime z automatycznym failoverem. Incydent produkcyjny jest eskalowany do starszego zespołu w ciągu 5 minut.

99,95% uptime
Certyfikaty

Standardy, które spełniamy

PCI DSS, RODO, SOC 2 i certyfikowany sprzęt: nie tylko etykiety, ale kontrole weryfikowane co roku.

PCI DSS L1

Najwyższy poziom PCI

FIPS 140-2 L3

Certyfikowany sprzęt HSM

SOC 2 Type II

Zweryfikowane kontrole

RODO

Dane wyłącznie w UE

Coroczny audyt PCI

Pełny raport zgodności

Kwartalne skany

Zewnętrzne podatności

Półroczne testy pen

Akredytowane podmioty trzecie

Chcesz dowiedzieć się, jak chronimy Twoje płatności?

Zarządzamy vault PCI. Ty integrujesz API i pracujesz na tokenach. Mniejsze ryzyko, mniej formalności, te same płatności.

Jak to działa Zgodność PCI Integracje Skontaktuj się