Przejdź do treści
Bezpieczeństwo

Polityka bezpieczeństwa

Odpowiedzialne ujawnianie, obsługa luk w zabezpieczeniach i nasze zaangażowanie w ochronę Twoich danych.

Ostatnia aktualizacja: maj 2026

01 Polityka odpowiedzialnego ujawniania

InfoPeak docenia społeczność badaczy bezpieczeństwa i zachęca do odpowiedzialnego zgłaszania luk. Jeśli odkryjesz problem bezpieczeństwa w dowolnej usłudze InfoPeak, prosimy o jego zgłoszenie.

Zgłoś lukę

security@infopeak.io

W przypadku wrażliwych zgłoszeń poproś o nasz publiczny klucz PGP.

02 Zakres

Następujące usługi i zasoby podlegają odpowiedzialnemu ujawnianiu:

  • infopeak.io - główna aplikacja i strona
  • auth.infopeak.io - usługa uwierzytelniania
  • InfoPeak Pass - rozszerzenie przeglądarki
  • InfoPeak VPN - aplikacje mobilne i desktopowe

03 Wytyczne dotyczące zgłaszania

Prosimy badaczy bezpieczeństwa o przestrzeganie tych wytycznych:

  • Podaj wystarczające szczegóły, aby odtworzyć lukę.
  • Nie uzyskuj dostępu do danych innych użytkowników, nie modyfikuj ich ani nie usuwaj.
  • Nie przeprowadzaj ataków denial-of-service ani inżynierii społecznej.
  • Daj nam rozsądny czas (90 dni) na usunięcie problemu przed publicznym ujawnieniem.

04 Harmonogram reakcji

72 godziny

Potwierdzamy otrzymanie Twojego zgłoszenia.

14 dni

Przekazujemy wstępną ocenę i przewidywany harmonogram naprawy.

90 dni

Dążymy do usunięcia wszystkich potwierdzonych luk w tym terminie.

05 Safe Harbor

InfoPeak nie będzie podejmować działań prawnych przeciwko badaczom bezpieczeństwa, którzy w dobrej wierze odkryją i zgłoszą luki zgodnie z niniejszą polityką. Uznajemy badania bezpieczeństwa prowadzone na podstawie tej polityki za autoryzowane i nie wszczynamy postępowań za omijanie środków technicznych, gdy badania są zgodne z tą polityką.

06 Reagowanie na incydenty i powiadamianie o naruszeniach

W przypadku incydentu bezpieczeństwa lub naruszenia danych InfoPeak stosuje te procedury zgodnie z Dyrektywą NIS2 (UE) 2022/2555 oraz art. 33 i 34 RODO:

  • W ciągu 24 godzin: Wczesne ostrzeżenie do właściwego krajowego CSIRT (Computer Security Incident Response Team).
  • W ciągu 72 godzin: Pełne zgłoszenie incydentu do organu nadzorczego (RODO) i CSIRT (NIS2), w tym ocena zakresu i środki zaradcze.
  • Bez zbędnej zwłoki: Dotknięci użytkownicy zostaną powiadomieni e-mailem z jasnymi informacjami o charakterze naruszenia, dotkniętych danych, podjętych działaniach i zalecanych krokach.
  • W ciągu 1 miesiąca: Raport końcowy jest przekazywany właściwym organom wraz z analizą przyczyn i środkami zapobiegawczymi.

07 Architektura bezpieczeństwa

InfoPeak stosuje następujące środki bezpieczeństwa w ramach naszego zaangażowania w Cyber Resilience Act (CRA):

  • Szyfrowanie w spoczynku: AES-256-CBC dla wszystkich przechowywanych danych użytkowników.
  • Szyfrowanie w tranzycie: TLS 1.3 dla wszystkich połączeń.
  • Architektura zero-knowledge: Osobiste klucze szyfrowania są generowane po stronie klienta. InfoPeak nie ma dostępu do Twoich zaszyfrowanych treści.
  • Wyłącznie hosting w UE: Cała infrastruktura znajduje się na terenie Unii Europejskiej.
  • Regularne aktualizacje bezpieczeństwa: Zależności i infrastruktura są stale monitorowane i aktualizowane.