Przejrzystość co do tego, gdzie działają Twoje dane
Hosting w Europie (Hetzner, Niemcy): zgodnie z RODO żadne dane nie opuszczają UE. Ta strona szczegółowo wyjaśnia, gdzie działają Twoje dane, dlaczego rezydencja europejska spełnia RODO i jak wpisuje się w wymagania Krajowego Systemu Cyberbezpieczeństwa (UKSC) dla podmiotów kluczowych i ważnych, oraz jakie kontrole techniczne są wdrożone.
Najpierw uczciwie. Reglyze NIE jest hostowana w Polsce. Nasza infrastruktura produkcyjna działa na fizycznych serwerach Hetzner Online GmbH w centrum danych w Falkenstein (Niemcy). Wolimy powiedzieć to tutaj, w pierwszej kolejności, niż obiecywać wyłącznie krajowy hosting i po cichu tej obietnicy nie dotrzymać. Każdy audytor zweryfikuje publiczny adres IP api.reglyze.com przez WHOIS w 30 sekund.
Serwery aplikacyjne
Hetzner Online GmbH, centrum danych w Falkenstein (Saksonia, Niemcy). Dedykowany serwer fizyczny, publiczny adres IP 95.216.191.129 (weryfikowalny przez WHOIS).
Baza danych PostgreSQL
Współlokowana na tym samym serwerze produkcyjnym (Niemcy). Szyfrowanie w spoczynku na poziomie systemu plików. Izolacja per-tenant przez Row-Level Security.
Przesłane pliki (polityki, dowody)
Magazyn obiektowy MinIO na tym samym serwerze (Niemcy). Podpisane adresy URL ważne 5 minut do pobrania, bez dostępu publicznego.
Kopie zapasowe
Codzienny snapshot, skompresowany i zaszyfrowany. Retencja 7 dni lokalnie (Hetzner Niemcy) oraz kopia lustrzana do Google Drive w europejskich centrach danych (Google Cloud UE).
Reglyze to platforma wielopodmiotowa, ale każdy podmiot jest odseparowany na poziomie bazy danych. Nie ma jednego wspólnego zbioru, w którym dane różnych organizacji leżą obok siebie bez granicy.
Zarówno Polska, jak i Niemcy są państwami członkowskimi Unii Europejskiej, więc stosują to samo Rozporządzenie (UE) 2016/679 (RODO). Dla przepływu danych między tymi krajami RODO traktuje te przepływy jako wewnętrzne dla jednolitego rynku: nie powstają "transfery do państw trzecich" (art. 44 do 49) i nie są wymagane standardowe klauzule umowne (SCC).
Art. 8 ust. 1 UKSC nakłada na podmiot kluczowy i podmiot ważny obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego pięć obszarów: zarządzanie ryzykiem; środki techniczne i organizacyjne; informacje o cyberzagrożeniach; zarządzanie incydentami; zapobieganie i ograniczanie wpływu incydentów. Korzystając z zewnętrznego dostawcy SaaS, włączasz go do swojego łańcucha dostaw ICT, a to oznacza, że trzeba go ująć w analizie ryzyka i objąć odpowiednimi środkami.
Dla pełnej uczciwości: w stosie Reglyze są trzy usługi zewnętrzne, które nie znajdują się w UE. Oto jak są traktowane.
Anthropic (model AI Claude)
Funkcje generowania polityk i odpowiedzi na kwestionariusze wywołują model Claude przez API Anthropic (Stany Zjednoczone). Przed każdym wywołaniem tekst przechodzi przez redaktor danych osobowych, który zastępuje adresy e-mail, numery telefonu, NIP, IBAN i inne identyfikatory symbolami zastępczymi. Anthropic nie trenuje modeli na danych wejściowych (zobowiązanie umowne). Zależność tę można wyłączyć per organizacja (kill-switch REGLYZE_LLM_REMEDIATION) dla klientów o surowszych wymaganiach prawnych.
Stripe (płatności)
Wyłącznie dane ściśle niezbędne do obsługi płatności (nazwa, e-mail rozliczeniowy, ostatnie cztery cyfry karty). Stripe Ireland Limited (Dublin, Irlandia) jest podmiotem przetwarzającym, a Stripe Inc. (USA) podmiotem podprzetwarzającym na podstawie standardowych klauzul umownych i wyraźnych zobowiązań kontraktowych. Żadne dane z procesu zgodności UKSC nie przechodzą przez Stripe.
Cloudflare (ochrona DDoS i cache)
Cloudflare prowadzi infrastrukturę rozproszoną globalnie, lecz ruch europejski jest obsługiwany z węzłów PoP w UE (Frankfurt, Warszawa, Paryż). Tranzytem przechodzą jedynie metadane żądania (adres IP, user-agent). Treść aplikacji jest szyfrowana TLS 1.3 punkt do punktu aż do serwera w Falkenstein.
Wszystkie dane aplikacyjne (baza danych, przesłane pliki, dzienniki audytu, kopie zapasowe) są przechowywane na fizycznych serwerach Hetzner Online GmbH w centrum danych w Falkenstein (Niemcy). Produkcyjny adres IP jest publiczny (95.216.191.129) i można go zweryfikować przez WHOIS. Żadne dane klienta nie opuszczają Europejskiego Obszaru Gospodarczego.
Wybór niemieckiego centrum danych wynika z dojrzałości europejskiego rynku infrastruktury oraz niezależności dostawcy (Hetzner to niezależny europejski provider, bez kapitału amerykańskiego i bez ekspozycji na CLOUD Act). Z punktu widzenia RODO rezydencja w Polsce i w Niemczech jest równoważna: oba państwa członkowskie stosują to samo Rozporządzenie (UE) 2016/679.
Nie. Hetzner to niemiecka spółka bez kapitału i jurysdykcji w USA, więc nie podlega amerykańskiemu CLOUD Act ani FISA Section 702. Reglyze nie korzysta z usług zarządzanych AWS, Google Cloud ani Azure dla danych klienta. Jedyne zależności poza UE to Anthropic (z redakcją danych osobowych przed wysyłką) oraz Stripe (wyłącznie dla płatności, pod standardowymi klauzulami umownymi).
Art. 8 ust. 1 UKSC wymaga systemu zarządzania bezpieczeństwem informacji obejmującego między innymi zarządzanie ryzykiem oraz środki techniczne i organizacyjne. Dostawca SaaS taki jak Reglyze staje się częścią łańcucha dostaw ICT podmiotu, więc trzeba go ująć w analizie ryzyka. Hosting w UE, zgodność z RODO i udokumentowane kontrole sprawiają, że Reglyze łatwo wpisać do rejestru ryzyka dostawców i przygotować dokumentację dla organu właściwego (Minister Cyfryzacji).
Każdy podmiot to odrębna organizacja z izolacją per-tenant na poziomie PostgreSQL: izolacja schematów uzupełniona o Row-Level Security (RLS), tak że zapytanie jednej organizacji nie może odczytać danych innej. Automatyczne testy cross-tenant isolation są uruchamiane w CI przed każdym wdrożeniem.
Tak. Umowa powierzenia przetwarzania (DPA) realizuje wymogi art. 28 RODO i jest dostępna w języku polskim oraz angielskim. Dla klientów planu Pro i MSP jest podpisywana e-mailem; podmioty publiczne mogą poprosić o wersję dostosowaną do procedury zamówienia publicznego. Kontakt: [email protected].
Środki bezpieczeństwa według KSC
Pięć obszarów systemu zarządzania bezpieczeństwem informacji z art. 8 ust. 1 UKSC i jak je u siebie wdrożyć.
Podmiot kluczowy czy podmiot ważny
Sprawdź, czy podlegasz UKSC, i porównaj kryteria sektora oraz wielkości wraz z Twoją ekspozycją na RODO.
Zgłoszenie incydentu do CSIRT
Terminy 24 godzin, 72 godzin i 1 miesiąca oraz to, jak operator składa zgłoszenie do CSIRT NASK przez incydent.cert.pl.
Bezpłatna diagnoza (2 min)
Potwierdź w 2 minuty, czy obejmuje Cię UKSC i jaka jest Twoja kategoria, bez podawania karty.