# Bezpieczeństwo

Bezpieczeństwo danych i infrastruktury IT stanowi jeden z kluczowych filarów systemu **eAuditor Cloud**. Administrator dokłada najwyższej staranności, aby zapewnić zgodność z wymogami **RODO**, najlepszymi praktykami branżowymi oraz standardami bezpieczeństwa informacji.\
Dane użytkowników są chronione poprzez szyfrowanie transmisji, kontrolę dostępu i ciągły monitoring bezpieczeństwa.<br>

Administrator gwarantuje dostępność Usługi na poziomie **99,90% w skali roku**.

## **Lokalizacja i ochrona danych**

* Wszystkie serwery **eAuditor Cloud** zlokalizowane są w **Polsce**, w centrach danych spełniających wymogi **RODO** oraz krajowych przepisów o ochronie danych osobowych.
* Lokalizacja infrastruktury:
  * **Centrum danych OVHcloud w Ożarowie Mazowieckim (Kazimierza Kamińskiego 6, 05-850 Ożarów Mazowiecki, Polska) -** obiekcie zarządzanym przez [**OVHcloud sp. z o.o.**](https://www.ovhcloud.com/pl/), który posiada m.in. certyfikaty **ISO 27001, ISO 27017, ISO 27018, ISO 27701**, a także standardy **SOC 1/2/3** (stan na dzień 13.11.2025). \
    Więcej informacji: [Zgodność i certyfikaty OVHcloud](https://www.ovhcloud.com/pl/compliance/)
* Każdy Klient posiada **swoją indywidualną bazę danych**, która nie jest współdzielona z innymi usługami ani klientami.
* Dane nie są przekazywane poza **Europejski Obszar Gospodarczy (EOG)**.
* W celu zapewnienia najwyższego poziomu bezpieczeństwa, Usługa jest regularnie poddawana **testom penetracyjnym** oraz **audytom bezpieczeństwa** przeprowadzanym przez niezależne, wyspecjalizowane podmioty.

{% hint style="warning" %}
Dane nie są przekazywane poza Europejski Obszar Gospodarczy (EOG). **Wyjątek dotyczy jedynie danych związanych z obsługą płatności**, które są przetwarzane przez operatora Stripe na serwerach zlokalizowanych również poza EOG (w tym w Stanach Zjednoczonych). Obejmuje to wyłącznie informacje potrzebne do realizacji płatności, takie jak: dane nabywcy, dane rozliczeniowe, informacje o subskrypcji oraz szczegóły transakcji.

**Nie dotyczy to żadnych danych zbieranych przez system eAuditor cloud**, takich jak inwentaryzacja, monitoring aktywności, polityki bezpieczeństwa, szyfrowanie dysków, dane DLP czy jakiekolwiek informacje techniczne z komputerów Klienta – te pozostają wyłącznie na serwerach w Polsce.

Więcej informacji o bezpieczeństwie przetwarzania płatności znajduje się w sekcji [**Bezpieczeństwo płatności i operatora rozliczeń**](#bezpieczenstwo-platnosci-i-operatora-rozliczen).
{% endhint %}

### Kopie zapasowe i odtwarzanie danych

Zakres i dostępność kopii zapasowych zależą od wybranego planu subskrypcyjnego:

* **Plan FREE** – kopie zapasowe nie są dostępne.
* **Plany INV100** oraz **ACT200** – system wykonuje **1 kopię zapasową**, przechowywaną w tej samej lokalizacji, w której działa infrastruktura eAuditor cloud, czyli w **centrum danych OVHcloud w Ożarowie Mazowieckim**.
* **Plan DLP300** – dostępne są **2 kopie zapasowe**:
  * jedna przechowywana w **Ożarowie Mazowieckim**,
  * druga w **odrębnej lokalizacji na terenie Unii Europejskiej**, spełniającej opisane standardy bezpieczeństwa i zgodności.

Kopie zapasowe wykorzystywane są wyłącznie w celu odtworzenia danych w przypadku awarii lub utraty dostępności systemu.

## **Szyfrowanie i transmisja danych**

* Proces przesyłania danych jest zabezpieczony przy użyciu szyfrowania **SSL/TLS**, co gwarantuje poufność i integralność komunikacji pomiędzy użytkownikiem a usługą.
* Komunikacja pomiędzy komponentami systemu (**eAgent** oraz **eServer** ) odbywa się z wykorzystaniem protokołu **TLS 1.3**.
* Zarówno **eAgent**, jak i **eServer** posiadają własne certyfikaty **SSL o długości klucza 4096 bitów**, co zapewnia bardzo wysoki poziom bezpieczeństwa transmisji danych.
* Szyfrowanie obejmuje zarówno transmisję danych w czasie rzeczywistym, jak i komunikację podczas procesów uwierzytelniania oraz wymiany informacji systemowych.

## **Przechowywanie i usuwanie danych**

* Dane przesyłane do **Usługi eAuditor cloud** są zapisywane na **Koncie Klienta** i mogą zostać usunięte przez Klienta w dowolnym momencie.
* Po zakończeniu świadczenia Usługi, Konto Klienta zostaje zablokowane na okres 14 dni, po czym dane są **trwale usuwane (15 dnia od zamknięcia Konta)**, z zastrzeżeniem obowiązków wynikających z przepisów prawa.
* Po trwałym usunięciu danych ich **odzyskanie jest technicznie niemożliwe**.
* Administrator przetwarza dane Klienta po zamknięciu Konta **wyłącznie w zakresie i przez okres niezbędny do realizacji obowiązków prawnych**, w szczególności wynikających z przepisów rachunkowości i podatkowych.

## **Uwierzytelnianie i dostęp**

* Logowanie do konsoli **eAuditor Cloud** odbywa się z wykorzystaniem **uwierzytelniania wieloskładnikowego (MFA)**.
* System zintegrowany jest z aplikacjami typu **Google Authenticator** oraz **Microsoft Authenticator**.
* Administrator konta może wymusić stosowanie MFA dla wszystkich użytkowników organizacji.
* System współpracuje z **Microsoft Entra ID**, umożliwiając centralne zarządzanie tożsamością i dostępem.
* Dostęp do funkcji i danych systemu może być zarządzany w oparciu o **role (RBAC)**.

## **Aktualizacje Usługi**

* Nowe wersje oprogramowania **eAuditor Cloud** oraz aktualizacje (patch) udostępniane są użytkownikom automatycznie.
* Aktualizacje obejmują poprawki bezpieczeństwa, usprawnienia działania oraz nowe funkcjonalności.

## **Bezpieczeństwo płatności i operatora rozliczeń**

* W ramach modelu rozliczeń korzystamy z operatora **Stripe**, co wpływa także na bezpieczeństwo systemu eAuditor cloud.
* Stripe jest certyfikowanym [**Service Provider Level 1 zgodnym z normą PCI DSS 4.0**](https://docs.stripe.com/security), co oznacza najwyższy poziom bezpieczeństwa w przetwarzaniu danych kart płatniczych.&#x20;
* Stripe posiada raporty zgodności typu **SOC 1 i SOC 2 Type II**, zaś wszystkie połączenia API oraz dashboard działają wyłącznie przez bezpieczny kanał HTTPS/TLS. [Więcej.](https://docs.stripe.com/security/guide)
* Dzięki temu Twoje dane płatnicze oraz informacje o subskrypcji są przetwarzane przez operatora spełniającego rygorystyczne standardy branżowe.

## **Obowiązki użytkowników w zakresie bezpieczeństwa**

W celu zachowania bezpieczeństwa korzystania z Usługi, poniższe zasady dotyczą wszystkich osób mających dostęp do konta Klienta, zarówno **Użytkowników**, jak i **Administratorów Konta** (zgodnie z definicjami z Regulaminu Usługi):

* Korzystać z aktualnej wersji zalecanych przeglądarek internetowych: **Chrome, Edge, Firefox** lub **Safari**.
* Regularnie aktualizować przeglądarkę do najnowszej wersji edycyjnej.
* Pamiętać, że korzystanie z przeglądarek innych niż zalecane może powodować nieprawidłowe działanie Usługi.
* Dbać o ochronę danych dostępowych i nie udostępniać ich osobom nieuprawnionym.
* Korzystać z Usługi zgodnie z przepisami prawa oraz zasadami określonymi w Regulaminie Usługi.

**Dodatkowe obowiązki Administratora Konta:**

* Zarządzanie dostępami Użytkowników i kontrola nad nadawanymi uprawnieniami.
* Nadzór nad konfiguracją Konta Klienta.
* Reagowanie na podejrzenia nieautoryzowanego dostępu lub naruszenia bezpieczeństwa.

Więcej informacji można znaleźć w [**Regulaminie Usługi eAuditor Cloud**](https://app.eauditor.eu/register).


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://eaclouddoc.eauditor.eu/system/bezpieczenstwo.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.