ProyectaSecurity

Security

Last Updated: May 21, 2026

Przetłumaczone dla Twojej wygody. W przypadku jakiegokolwiek konfliktu między tą wersją a wersją angielską, wersja angielska ma moc rozstrzygającą.

Proyecta jest platformą, w której Twój kod źródłowy, zapytania i dane projektowe przepływają przez systemy SI i izolowane środowiska wykonawcze. Ochrona tych danych stanowi podstawę tego, w jaki sposób budujemy Usługi. Na tej stronie podsumowujemy nasze praktyki bezpieczeństwa prostym językiem; stanowi ona uzupełnienie naszej Polityki prywatności, Warunków korzystania z usług oraz listy Podwykonawców przetwarzania.

W sprawach pytań dotyczących bezpieczeństwa, korporacyjnych przeglądów bezpieczeństwa lub w celu zgłoszenia podatności prosimy o kontakt pod adresem security@proyecta.dev.

1. Infrastruktura i hosting

Usługi działają w oparciu o Google Cloud Platform — natywną infrastrukturę Kubernetes prowadzoną w ugruntowanych regionach chmurowych. Cloudflare znajduje się przed naszymi publicznymi punktami końcowymi, zapewniając dostarczanie treści, ochronę przed atakami DDoS oraz zaporę aplikacji internetowych.

Nie prowadzimy własnych centrów danych. Nasi dostawcy chmury utrzymują własne, niezależne certyfikaty bezpieczeństwa infrastruktury, a aktualna lista dostawców przetwarzających dane w naszym imieniu jest publikowana na naszej stronie Podwykonawcy przetwarzania.

2. Szyfrowanie

  • W tranzycie: Cały ruch między Tobą a Usługami jest szyfrowany przy użyciu TLS 1.2 lub wyższej wersji.
  • W spoczynku: Treści klienta, dane konta i kopie zapasowe są szyfrowane w spoczynku.
  • Tajemnice: Dane uwierzytelniające i tokeny integracyjne są przechowywane w postaci zaszyfrowanej i nigdy nie są ujawniane w kodzie po stronie klienta ani w dziennikach.

3. Kontrola dostępu

  • Kontrola dostępu oparta na rolach. Dostęp do systemów produkcyjnych i danych klientów jest ograniczony do upoważnionego personelu Proyecta na zasadzie minimalnych uprawnień.
  • Rejestrowanie audytowe. Działania administracyjne i dostęp do danych są rejestrowane na potrzeby rozliczalności.
  • Ograniczone poświadczenia. Poświadczenia usług i integracji są ograniczone do minimalnych uprawnień wymaganych do ich funkcjonowania.
  • Zobowiązania do poufności. Personel mający dostęp do Treści jest związany zobowiązaniami do zachowania poufności i przechodzi szkolenia z zakresu bezpieczeństwa.

Zgodnie z opisem w naszej Polityce prywatności upoważniony personel uzyskuje dostęp do Treści wyłącznie w zakresie niezbędnym do świadczenia wsparcia, rozwiązywania problemów, utrzymywania niezawodności lub wypełniania obowiązków prawnych.

4. Obsługa Twojego kodu i danych SI

Jest to kwestia, na której najbardziej zależy klientom, dlatego wyrażamy ją wprost:

  • Nie trenujemy modeli SI na Twoich Treściach. Nie wykorzystujemy Twojego kodu, zapytań ani danych do trenowania ani dostrajania naszych modeli SI i nie przesyłamy Twoich Treści do dostawców SI w celu trenowania ich modeli.
  • Treści są przetwarzane, aby Ci służyć, a nie aby je eksploatować. Twoje Treści są przetwarzane wyłącznie w celu dostarczania odpowiedzi w ramach Twoich własnych sesji.
  • Zewnętrzni dostawcy SI przetwarzają dane wejściowe przejściowo. W celu generowania odpowiedzi dane wejściowe są przesyłane do dostawców modeli SI (Anthropic, OpenAI, Google) za pośrednictwem ich interfejsów API. Korzystamy z poziomów API, które — zgodnie z aktualnymi warunkami API tych dostawców — nie są wykorzystywane do trenowania ich modeli na danych wejściowych klientów. Nie kontrolujemy tych dostawców, a sposób przetwarzania przez nich danych podlega ich własnym warunkom, które powinieneś przejrzeć niezależnie (zob. Warunki §10.2).
  • Wyłącznie zagregowane analizy. Wszelkie analizy, które wykorzystujemy do ulepszania Usług, opierają się na zagregowanych, zanonimizowanych danych, których nie można wykorzystać do Twojej identyfikacji ani do odtworzenia Twoich Treści.

5. Izolacja środowiska wykonawczego

Kod generowany i wykonywany przez Usługi działa w izolowanych środowiskach wykonawczych — dedykowanych, oddzielonych w piaskownicy podach Kubernetes udostępnianych dla każdego obciążenia. Środowiska wykonawcze są od siebie odizolowane i likwidowane zgodnie z ich harmonogramem cyklu życia, co ogranicza zasięg oddziaływania pojedynczego wykonania.

6. Zarządzanie podatnościami

  • Przeprowadzamy okresowe oceny podatności i testy bezpieczeństwa Usług.
  • Monitorujemy nasze zależności programowe pod kątem znanych podatności i stosujemy aktualizacje w oparciu o priorytety ryzyka.
  • Odpowiedzialne ujawnianie. Jeżeli sądzisz, że odkryłeś podatność związaną z bezpieczeństwem, zgłoś ją pod adresem security@proyecta.dev. Potwierdzimy otrzymanie zgłoszenia, niezwłocznie przeprowadzimy postępowanie i będziemy Cię informować na bieżąco. Prosimy o zapewnienie nam rozsądnej możliwości usunięcia podatności przed jakimkolwiek publicznym ujawnieniem.

7. Przechowywanie i usuwanie danych

Przechowujemy informacje wyłącznie tak długo, jak jest to konieczne do świadczenia Usług i wypełnienia zobowiązań prawnych. Historia konwersacji, w tym zapytania i wygenerowane wyniki, jest przechowywana do momentu jej usunięcia przez Ciebie lub zamknięcia konta. Po zamknięciu konta przysługuje Ci 30-dniowe okno na wyeksportowanie danych, po którym dane są usuwane zgodnie z naszym harmonogramem przechowywania. Pełne informacje znajdują się w Polityce prywatności §4.

8. Reagowanie na incydenty

Utrzymujemy proces reagowania na incydenty dla zdarzeń bezpieczeństwa. W przypadku naruszenia obejmującego Twoje dane osobowe powiadomimy poszkodowanych klientów w ciągu 72 godzin od wykrycia, jeżeli będzie to wykonalne, lub wcześniej, jeżeli wymagają tego obowiązujące przepisy, podając charakter incydentu, rodzaje danych, których dotyczy, oraz zalecane działania.

9. Podwykonawcy przetwarzania

Korzystamy z zweryfikowanego zestawu zewnętrznych dostawców usług, którzy umożliwiają funkcjonowanie Usług. Każdy z nich jest umownie zobowiązany do ochrony danych, które przetwarza w naszym imieniu. Pełna, aktualna lista — wraz z celem każdego dostawcy, przetwarzanymi danymi i lokalizacją — jest publikowana na naszej stronie Podwykonawcy przetwarzania, która opisuje, w jaki sposób przekazujemy powiadomienia o zmianach.

10. Zgodność i przeglądy bezpieczeństwa

  • Umowa o przetwarzanie danych. Klienci działający jako administrator danych mogą wnioskować o DPA, która uzupełnia naszą Politykę prywatności o dodatkowe zobowiązania w zakresie ochrony danych. Prosimy o kontakt pod adresem legal@proyecta.dev.
  • Kwestionariusze bezpieczeństwa. Z przyjemnością wypełniamy kwestionariusze bezpieczeństwa dostawców i wspieramy korporacyjne przeglądy bezpieczeństwa — prosimy o kontakt pod adresem security@proyecta.dev.
  • Przejrzystość podwykonawców. Nasza lista podwykonawców jest publiczna i aktualizowana na bieżąco.

W miarę rozwoju Proyecta kontynuujemy rozbudowę naszego formalnego programu bezpieczeństwa i zgodności. Aby uzyskać aktualny status konkretnego certyfikatu lub poświadczenia, skontaktuj się z nami, a powiemy, na jakim etapie się znajdujemy.

11. Kontakt

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.