Przejrzystość co do tego, gdzie działają Twoje dane

Hosting i bezpieczeństwo danych

Hosting w Europie (Hetzner, Niemcy): zgodnie z RODO żadne dane nie opuszczają UE. Ta strona szczegółowo wyjaśnia, gdzie działają Twoje dane, dlaczego rezydencja europejska spełnia RODO i jak wpisuje się w wymagania Krajowego Systemu Cyberbezpieczeństwa (UKSC) dla podmiotów kluczowych i ważnych, oraz jakie kontrole techniczne są wdrożone.

Najpierw uczciwie. Reglyze NIE jest hostowana w Polsce. Nasza infrastruktura produkcyjna działa na fizycznych serwerach Hetzner Online GmbH w centrum danych w Falkenstein (Niemcy). Wolimy powiedzieć to tutaj, w pierwszej kolejności, niż obiecywać wyłącznie krajowy hosting i po cichu tej obietnicy nie dotrzymać. Każdy audytor zweryfikuje publiczny adres IP api.reglyze.com przez WHOIS w 30 sekund.

Gdzie są Twoje dane

Serwery aplikacyjne

Hetzner Online GmbH, centrum danych w Falkenstein (Saksonia, Niemcy). Dedykowany serwer fizyczny, publiczny adres IP 95.216.191.129 (weryfikowalny przez WHOIS).

Baza danych PostgreSQL

Współlokowana na tym samym serwerze produkcyjnym (Niemcy). Szyfrowanie w spoczynku na poziomie systemu plików. Izolacja per-tenant przez Row-Level Security.

Przesłane pliki (polityki, dowody)

Magazyn obiektowy MinIO na tym samym serwerze (Niemcy). Podpisane adresy URL ważne 5 minut do pobrania, bez dostępu publicznego.

Kopie zapasowe

Codzienny snapshot, skompresowany i zaszyfrowany. Retencja 7 dni lokalnie (Hetzner Niemcy) oraz kopia lustrzana do Google Drive w europejskich centrach danych (Google Cloud UE).

Izolacja per-tenant: dane jednego podmiotu nie mieszają się z innymi

Reglyze to platforma wielopodmiotowa, ale każdy podmiot jest odseparowany na poziomie bazy danych. Nie ma jednego wspólnego zbioru, w którym dane różnych organizacji leżą obok siebie bez granicy.

  • Izolacja per-tenant w PostgreSQL. Każda organizacja ma własną granicę danych: izolacja schematów uzupełniona o Row-Level Security (RLS), tak że zapytanie jednego podmiotu nie może odczytać danych innego.
  • Testy automatyczne przed każdym wdrożeniem. Testy cross-tenant isolation są uruchamiane w CI i blokują wdrożenie, jeśli granica między podmiotami mogłaby zostać naruszona.
  • Przesłane pliki rozdzielone per podmiot. Dowody, polityki i wygenerowane dokumenty są adresowane kluczem organizacji, a dostęp do pobrania odbywa się przez podpisane adresy URL o krótkiej ważności.

Dlaczego hosting w Niemczech spełnia RODO dla polskich podmiotów

Zarówno Polska, jak i Niemcy są państwami członkowskimi Unii Europejskiej, więc stosują to samo Rozporządzenie (UE) 2016/679 (RODO). Dla przepływu danych między tymi krajami RODO traktuje te przepływy jako wewnętrzne dla jednolitego rynku: nie powstają "transfery do państw trzecich" (art. 44 do 49) i nie są wymagane standardowe klauzule umowne (SCC).

  • Organy nadzorcze w ramach EROD. UODO (Polska) oraz BfDI i organy ochrony danych krajów związkowych (Niemcy) uczestniczą w Europejskiej Radzie Ochrony Danych i stosują tę samą wykładnię.
  • Ta sama ochrona w razie incydentu. Naruszenie ochrony danych osobowych zgłasza się do UODO (organ nadzorczy podmiotu będącego administratorem), a nie do organów niemieckich, ponieważ administrator pozostaje w Polsce.
  • Brak ekspozycji na CLOUD Act. Hetzner to niezależna niemiecka spółka, bez kapitału ani spółek zależnych w Stanach Zjednoczonych. Nie podlega amerykańskiemu CLOUD Act ani FISA Section 702, czyli ryzykom, które utrzymują się nawet wtedy, gdy amerykańscy hyperscalerzy otwierają regiony w Polsce.
  • Energia w pełni odnawialna. Centra danych Hetzner w Falkenstein zasilane są certyfikowaną energią odnawialną, co bywa istotne dla podmiotów publicznych z kryteriami środowiskowymi w zamówieniach (zielone zamówienia publiczne).

Jak hosting wpisuje się w wymagania UKSC

Art. 8 ust. 1 UKSC nakłada na podmiot kluczowy i podmiot ważny obowiązek wdrożenia systemu zarządzania bezpieczeństwem informacji obejmującego pięć obszarów: zarządzanie ryzykiem; środki techniczne i organizacyjne; informacje o cyberzagrożeniach; zarządzanie incydentami; zapobieganie i ograniczanie wpływu incydentów. Korzystając z zewnętrznego dostawcy SaaS, włączasz go do swojego łańcucha dostaw ICT, a to oznacza, że trzeba go ująć w analizie ryzyka i objąć odpowiednimi środkami.

  • Dostawca, którego łatwo udokumentować. Publiczny adres IP, znana lokalizacja centrum danych, izolacja per-tenant i lista zależności sprawiają, że Reglyze można wprost wpisać do rejestru dostawców i analizy ryzyka łańcucha dostaw wymaganej przez UKSC.
  • Środki techniczne i organizacyjne pod kontrolą. Szyfrowanie w tranzycie i w spoczynku, niemodyfikowalny dziennik audytu oraz obowiązkowy przegląd kodu odpowiadają na obszar środków technicznych i organizacyjnych z art. 8 ust. 1.
  • Spójność z warstwą metodyczną. Wymagania szczegółowe doprecyzuje przyszłe rozporządzenie wykonawcze, a warstwę metodyczną tworzą Narodowe Standardy Cyberbezpieczeństwa (NSC, KPRM, oparte na NIST). Kontrole Reglyze są opisane tak, by dało się je odwzorować na te standardy.
  • Operator zawsze wykonuje ostatni krok. Reglyze jest narzędziem operacyjnym w służbie obowiązków podmiotu. Nie zgłasza za Ciebie poważnych incydentów: zgłoszenia do właściwego CSIRT (CSIRT NASK dla sektora ogólnego i prywatnego) składa operator przez incydent.cert.pl (wczesne ostrzeżenie w ciągu 24 godzin, zgłoszenie incydentu w ciągu 72 godzin, sprawozdanie końcowe w ciągu 1 miesiąca).

Zależności poza UE i jak są traktowane

Dla pełnej uczciwości: w stosie Reglyze są trzy usługi zewnętrzne, które nie znajdują się w UE. Oto jak są traktowane.

Anthropic (model AI Claude)

Funkcje generowania polityk i odpowiedzi na kwestionariusze wywołują model Claude przez API Anthropic (Stany Zjednoczone). Przed każdym wywołaniem tekst przechodzi przez redaktor danych osobowych, który zastępuje adresy e-mail, numery telefonu, NIP, IBAN i inne identyfikatory symbolami zastępczymi. Anthropic nie trenuje modeli na danych wejściowych (zobowiązanie umowne). Zależność tę można wyłączyć per organizacja (kill-switch REGLYZE_LLM_REMEDIATION) dla klientów o surowszych wymaganiach prawnych.

Stripe (płatności)

Wyłącznie dane ściśle niezbędne do obsługi płatności (nazwa, e-mail rozliczeniowy, ostatnie cztery cyfry karty). Stripe Ireland Limited (Dublin, Irlandia) jest podmiotem przetwarzającym, a Stripe Inc. (USA) podmiotem podprzetwarzającym na podstawie standardowych klauzul umownych i wyraźnych zobowiązań kontraktowych. Żadne dane z procesu zgodności UKSC nie przechodzą przez Stripe.

Cloudflare (ochrona DDoS i cache)

Cloudflare prowadzi infrastrukturę rozproszoną globalnie, lecz ruch europejski jest obsługiwany z węzłów PoP w UE (Frankfurt, Warszawa, Paryż). Tranzytem przechodzą jedynie metadane żądania (adres IP, user-agent). Treść aplikacji jest szyfrowana TLS 1.3 punkt do punktu aż do serwera w Falkenstein.

Wdrożone kontrole techniczne

  • TLS 1.3 w tranzycie. Szyfrowanie punkt do punktu między przeglądarką operatora a serwerem produkcyjnym. Tryb Full SSL na Cloudflare (bez fallbacku do HTTP).
  • Szyfrowanie w spoczynku. System plików serwera produkcyjnego jest szyfrowany, a kopie zapasowe są kompresowane i szyfrowane, zanim opuszczą serwer.
  • Izolacja per-tenant. Każdy podmiot to odrębna organizacja z własnym kluczem; zapytania SQL przechodzą przez obowiązkowe filtry aplikacyjne oraz Row-Level Security. Testy cross-tenant isolation działają w CI przed każdym wdrożeniem.
  • Niemodyfikowalny dziennik audytu. Każda istotna aktywność (zmiany zakresu, generowanie dokumentów, przygotowane pakiety dla organu) jest rejestrowana w tabeli tylko do dopisu, z zabezpieczeniami na poziomie ról bazy danych.
  • Segregacja kluczy API. Środowiska dev i prod używają odrębnych kluczy Anthropic, z udokumentowaną rotacją w runbooku. Dostęp do serwera produkcyjnego odbywa się przez SSH z dedykowanym kluczem publicznym (bez uwierzytelniania hasłem).
  • Obowiązkowy przegląd kodu. Cały kod trafiający na produkcję przechodzi przegląd przed scaleniem. Proces wdrożenia wykonuje pełną kopię zapasową przed migracjami i automatyczny rollback w razie niepowodzenia testu smoke.

Najczęściej zadawane pytania

Gdzie są hostowane moje dane, gdy korzystam z Reglyze?

Wszystkie dane aplikacyjne (baza danych, przesłane pliki, dzienniki audytu, kopie zapasowe) są przechowywane na fizycznych serwerach Hetzner Online GmbH w centrum danych w Falkenstein (Niemcy). Produkcyjny adres IP jest publiczny (95.216.191.129) i można go zweryfikować przez WHOIS. Żadne dane klienta nie opuszczają Europejskiego Obszaru Gospodarczego.

Dlaczego Reglyze nie jest hostowana w Polsce?

Wybór niemieckiego centrum danych wynika z dojrzałości europejskiego rynku infrastruktury oraz niezależności dostawcy (Hetzner to niezależny europejski provider, bez kapitału amerykańskiego i bez ekspozycji na CLOUD Act). Z punktu widzenia RODO rezydencja w Polsce i w Niemczech jest równoważna: oba państwa członkowskie stosują to samo Rozporządzenie (UE) 2016/679.

Czy moje dane mogą zostać udostępnione organom USA?

Nie. Hetzner to niemiecka spółka bez kapitału i jurysdykcji w USA, więc nie podlega amerykańskiemu CLOUD Act ani FISA Section 702. Reglyze nie korzysta z usług zarządzanych AWS, Google Cloud ani Azure dla danych klienta. Jedyne zależności poza UE to Anthropic (z redakcją danych osobowych przed wysyłką) oraz Stripe (wyłącznie dla płatności, pod standardowymi klauzulami umownymi).

Jak hosting Reglyze wpisuje się w wymagania UKSC dotyczące łańcucha dostaw?

Art. 8 ust. 1 UKSC wymaga systemu zarządzania bezpieczeństwem informacji obejmującego między innymi zarządzanie ryzykiem oraz środki techniczne i organizacyjne. Dostawca SaaS taki jak Reglyze staje się częścią łańcucha dostaw ICT podmiotu, więc trzeba go ująć w analizie ryzyka. Hosting w UE, zgodność z RODO i udokumentowane kontrole sprawiają, że Reglyze łatwo wpisać do rejestru ryzyka dostawców i przygotować dokumentację dla organu właściwego (Minister Cyfryzacji).

Jak działa izolacja danych między podmiotami (per-tenant)?

Każdy podmiot to odrębna organizacja z izolacją per-tenant na poziomie PostgreSQL: izolacja schematów uzupełniona o Row-Level Security (RLS), tak że zapytanie jednej organizacji nie może odczytać danych innej. Automatyczne testy cross-tenant isolation są uruchamiane w CI przed każdym wdrożeniem.

Czy mogę otrzymać podpisaną umowę powierzenia (DPA) przed subskrypcją?

Tak. Umowa powierzenia przetwarzania (DPA) realizuje wymogi art. 28 RODO i jest dostępna w języku polskim oraz angielskim. Dla klientów planu Pro i MSP jest podpisywana e-mailem; podmioty publiczne mogą poprosić o wersję dostosowaną do procedury zamówienia publicznego. Kontakt: [email protected].

Zacznij bez kompromisu co do rezydencji danych

Reglyze powstała z myślą o podmiotach europejskich. Zacznij od bezpłatnej diagnozy w 2 minuty: bez karty kredytowej, bez danych opuszczających UE.