Twoje dane w UE
Kit jest hostowany na Hetzner Cloud w Norymberdze w Niemczech. Dane rekrutacyjne są szyfrowane w spoczynku i w tranzycie, chronione ciągłym skanowaniem bezpieczeństwa i przechowywane na terenie Unii Europejskiej.
Prywatność i RODO
Rezydencja danych
Wszystkie dane podstawowe są przechowywane na terenie Unii Europejskiej (Hetzner Cloud, Norymberga, Niemcy). Brak rutynowych transferów danych osobowych do Stanów Zjednoczonych w celach infrastrukturalnych.
Zgodność z RODO
Kit został zaprojektowany, aby wspierać Twoją zgodność z RODO. Zapewniamy kompleksową umowę powierzenia przetwarzania danych, obsługujemy prawa osób, których dane dotyczą, oraz oferujemy wbudowane narzędzia do eksportu danych, anonimizacji i zarządzania zgodami.
Umowa powierzenia przetwarzania danych
Nasza umowa powierzenia przetwarzania danych obejmuje wszystkie obowiązkowe klauzule art. 28 RODO, w tym zarządzanie podwykonawcami, powiadamianie o naruszeniach, prawa do audytu i zabezpieczenia transferów międzynarodowych.
Zobacz naszą umowę powierzenia przetwarzania danychZarządzanie zgodami
Wbudowane zarządzanie zgodami na przetwarzanie danych kandydatów z konfigurowalnymi okresami przechowywania, automatycznym wygasaniem, procesami odnowienia i ścieżką audytu.
Zgodność z przepisami
RODO
- Dostępna umowa powierzenia przetwarzania danych
- Obsługa praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw)
- Narzędzia do eksportu i anonimizacji danych
- Zarządzanie zgodami ze ścieżką audytu
- Infrastruktura w UE
- Obejmuje również UK GDPR i szwajcarskie FADP
ePrivacy
- Zgoda na pliki cookie z opt-in dla analityki
- Domyślnie tylko niezbędne pliki cookie
- Microsoft Clarity ograniczony do stron marketingowych
- Wypisanie z e-maili jednym kliknięciem (RFC 8058)
CCPA
- Brak sprzedaży ani udostępniania danych osobowych
- Usunięcie danych na żądanie
- Prawo do informacji o zbieranych danych
- Brak dyskryminacji z tytułu korzystania z praw do prywatności
Infrastruktura
Hosting
Cała infrastruktura działa na Hetzner Cloud w Norymberdze w Niemczech (centrum danych nbg1-dc3, strefa sieciowa eu-central). Brak amerykańskich podwykonawców dla infrastruktury podstawowej. Dane aplikacji są przechowywane na terenie UE.
Rezydencja danych
Baza danych działa w sieci prywatnej bez publicznego dostępu z internetu. Cały ruch bazodanowy pozostaje na lokalnych interfejsach. Kopie zapasowe są szyfrowane i przechowywane na terenie UE.
Infrastruktura e-mail
Samodzielnie hostowany serwer pocztowy w UE. E-maile kandydatów i powiadomienia nigdy nie przechodzą przez infrastrukturę pocztową firm amerykańskich. Pełna kontrola nad dostarczalnością e-maili i rezydencją danych.
Bezpieczeństwo brzegowe
Cloudflare zapewnia ochronę przed DDoS, zaporę aplikacji webowych (WAF) oraz terminację TLS. Przetwarzanie w UE jest dostępne dla usług Cloudflare.
Szyfrowanie
W tranzycie
Wszystkie połączenia są szyfrowane za pomocą TLS 1.2 lub nowszego. HSTS jest egzekwowany. Endpointy API wymagają HTTPS.
W spoczynku
Wrażliwe pola danych osobowych są szyfrowane na poziomie aplikacji (szyfrowanie deterministyczne i niedeterministyczne). Wolumeny magazynowe są szyfrowane. Kopie zapasowe są szyfrowane.
Dane płatnicze
Przetwarzanie płatności obsługuje Stripe. Kit nigdy nie przechowuje, nie przetwarza ani nie ma dostępu do pełnych numerów kart kredytowych. Stripe posiada certyfikat PCI DSS Level 1.
Bezpieczeństwo aplikacji
Automatyczne skanowanie bezpieczeństwa
Każde wdrożenie wymaga pozytywnego wyniku Brakeman (analiza statyczna podatności Rails), bundler-audit (sprawdzanie CVE gemów Ruby) oraz importmap audit (sprawdzanie zależności JavaScript). Żaden kod nie jest wdrażany bez pozytywnego wyniku tych kontroli.
Ochrona frameworka
Zbudowany na Ruby on Rails 8, który zapewnia wbudowaną ochronę przed CSRF, XSS, SQL injection i innymi podatnościami z listy OWASP Top 10. Nagłówki Content Security Policy są egzekwowane.
Przegląd kodu
Wszystkie zmiany przechodzą przegląd pull requestów przed scaleniem. Automatyczne lintowanie (RuboCop, ERB Lint) wymusza standardy jakości kodu.
Zarządzanie zależnościami
Automatyczne alerty o podatnych zależnościach. Regularne aktualizacje frameworka i bibliotek. Ciągłe monitorowanie biuletynów bezpieczeństwa.
Kontrola dostępu
Uwierzytelnianie
Hasła użytkowników są bezpiecznie hashowane. Dostępne opcjonalne uwierzytelnianie dwuskładnikowe. Zarządzanie sesjami z bezpiecznymi ciasteczkami HTTP-only.
Uprawnienia zespołu
Kontrola dostępu oparta na rolach (właściciel, administrator, członek) na poziomie konta. Szczegółowe uprawnienia dla etapów procesu rekrutacyjnego. Ścieżka audytu dla wrażliwych operacji.
Bezpieczeństwo API
Tokeny API oparte na JWT z ograniczonym zakresem uprawnień. Limity zapytań na wszystkich endpointach API. Obsługa rotacji tokenów.
Dostęp wewnętrzny
Mały zespół inżynierski (2-3 osoby). Brak współdzielonych poświadczeń. Zasada minimalnych uprawnień dla wszystkich dostępów systemowych.
Podmioty przetwarzające
Korzystamy z następujących podmiotów przetwarzających. Pełne szczegóły, w tym mechanizmy transferu danych, znajdują się w naszej umowie powierzenia przetwarzania danych (Załącznik 3):
| Dostawca | Cel | Lokalizacja |
|---|---|---|
| Hetzner Online GmbH | Infrastruktura, obliczenia, przechowywanie | Norymberga, Niemcy |
| Cloudflare, Inc. | CDN, DNS, ochrona DDoS | Globalnie (DPF + SKU) |
| Stripe, Inc. | Obsługa płatności | Stany Zjednoczone (DPF + SKU) |
| Functional Software, Inc. (Sentry) | Monitorowanie błędów | Stany Zjednoczone (DPF + SKU) |
Ujawnianie podatności
Kit prowadzi program ujawniania podatności z dedykowanym formularzem zgłoszeniowym, ustrukturyzowaną oceną i opublikowaną polityką bezpieczeństwa. Potwierdzamy otrzymanie zgłoszeń w ciągu 48 godzin.
Nasz plik security.txt jest opublikowany pod adresem /.well-known/security.txt
Dostępność i status
Publikujemy informacje o statusie w czasie rzeczywistym, w tym historię dostępności i raporty z incydentów.
Zobacz stronę statusuPytania?
W sprawach dotyczących bezpieczeństwa prosimy o kontakt:
[email protected]Ostatnia aktualizacja: 31 marca 2026