Bezpieczeństwo

Infrastruktura, którą działy IT mogą zweryfikować

Platforma Spoti działa na infrastrukturze z datacenter w Niemczech, uzupełnionej o Cloudflare i centralny system zarządzania. Poniżej opisujemy każdy element stosu bezpieczeństwa.

Infrastruktura

Serwery w Niemczech,
izolacja per instancja

Serwery fizycznie zlokalizowane są w datacenter Hetzner w Niemczech (UE), co umożliwia podpisanie umowy powierzenia przetwarzania danych (DPA) zgodnej z RODO.

Każda instancja Spoti działa w pełnej izolacji — osobne zasoby CPU i RAM bez współdzielenia z innymi klientami.

Datacenter Hetzner, Niemcy (UE)
  • Datacenter Hetzner, Niemcy (UE)
  • Pełna izolacja instancji (CPU/RAM)
  • Percona Server dla baz danych
  • PHP 8.x
  • SSL/TLS (Let's Encrypt) w standardzie
  • SFTP/SSH per instancja
Sieć

Ochrona warstwy sieciowej

Dwie niezależne warstwy ochrony: po stronie serwera (JDM) i na warstwie CDN (Cloudflare).

JDM network
Warstwa serwera
  • Ochrona DDoS do 950 Gbps
  • Blokada ataków brute force
  • Blokada xmlrpc i REST API abuse
  • Filtrowanie XSS i SQL Injection
  • Izolacja sieciowa instancji
Cloudflare
CDN + WAF
  • WAF — blokada znanych wzorców ataków
  • CDN — ukrycie rzeczywistego IP serwera
  • Bot management i rate limiting
  • HTTPS terminacja na edge
  • Dla instancji klientów: dostępne od planu Business
Aplikacja

Zarządzanie i aktualizacje

Centralne zarządzanie aktualizacjami i ochrona przed exploitami.

Centralne zarządzanie instancjami

Centralna platforma do zarządzania wszystkimi instancjami Spoti. Obejmuje skanowanie podatności, monitoring dostępności i zarządzanie aktualizacjami core/plugins/themes.

  • Skanowanie podatności
  • Monitoring dostępności
  • Centralne aktualizacje core/plugins/themes
Skanowanie podatności

Regularnie skanujemy wszystkie zarządzane instancje Spoti pod kątem znanych podatności i zagrożeń. Skanowanie opiera się na bazie podatności Patchstack i wykrywa podatne komponenty zanim dojdzie do exploitacji.

  • Automatyczne skanowanie wszystkich instancji
  • Bazy danych: Patchstack, WPScan, NVD/CVE (tygodniowo)
  • Alerty przy nowych zagrożeniach
  • Czas reakcji wg CVSS: krytyczne ≤48h, wysokie ≤7 dni
Audyty wewnętrzne

Wewnętrzne audyty bezpieczeństwa infrastruktury co 6 miesięcy — obejmują warstwę systemową serwerów, konfiguracje usług i warstwę aplikacyjną.

  • Cykl: co 6 miesięcy
  • Standard: OWASP ASVS 5.0.0 Level 1
  • 25 testów: nagłówki HTTP, TLS, cookies, uprawnienia plików, konta admin
  • Dokumentacja wyników (dostępna dla planu Business+)
Platforma Spoti

Bezpieczeństwo aplikacji

Mechanizmy bezpieczeństwa wbudowane w platformę Spoti — od warstwy uwierzytelniania po obsługę plików.

Uprawnienia i role

Model RBAC — każda rola ma ściśle określony zakres dostępu do funkcji platformy. Zasada minimalnych uprawnień. MFA dostępne w panelu klienta.

HTTPS + HSTS

Platforma działa wyłącznie przez szyfrowane połączenie HTTPS z wymuszonym HSTS. Ochrona przed atakami MITM i przechwyceniem sesji.

Hardening logowania

Rate limiting: 5 nieudanych prób = 15 minut blokady (per IP). XML-RPC wyłączony. REST API discovery zablokowane. Bezpieczne cookies (HttpOnly, Secure, SameSite). Minimalna długość hasła wymuszana server-side. Opcjonalnie: Cloudflare Turnstile na formularzach logowania, rejestracji i resetu hasła oraz weryfikacja dwuetapowa SMS (2FA).

Hasła

Hasła użytkowników przechowywane jako hash z solą — branżowy standard. Brak przechowywania plain-text. Odporność na wycieki bazy danych.

Baza danych

Logiczna separacja instancji. Szyfrowane połączenia z bazą danych. Uczciwe disclosure: w środowiskach współdzielonych nie stosujemy szyfrowania TDE na poziomie silnika bazy (full-disk encryption at engine level).

Narzędzia RODO

Eksport danych użytkownika, anonimizacja kont, obsługa zgód, polityka prywatności dopasowana do projektu. Realizacja praw podmiotu danych.

Pliki i załączniki

Filtrowanie dozwolonych typów plików przy przesyłaniu. Bezpieczne procesowanie przesłanych danych. Ograniczenie ryzyka złośliwych skryptów w treściach.

Ochrona przed wstrzyknięciami

Kontrolowane operacje na danych, prepared statements, sanitizacja wejścia. Ograniczenie ryzyka XSS i manipulacji danymi przez złośliwe treści.

Dostęp

Zero Trust — zero ekspozycji panelu

Panel zarządzający instancjami klientów nie jest dostępny z publicznego internetu. Dostęp chroniony jest przez Cloudflare Zero Trust (Cloudflare Access) — warunek wejścia to aktywna sesja Google Workspace w domenie eTechnologie.

Oznacza to: pracownik, który opuszcza firmę i traci konto Google w domenie @etechnologie.pl, traci dostęp natychmiastowo — bez ręcznego cofania uprawnień w osobnym systemie.

Kto może zarządzać Twoją instancją
1
Żądanie dostępu trafia do Cloudflare Access
2
Wymagana autentykacja przez Google Workspace
3
Weryfikacja: czy konto należy do domeny @etechnologie.pl
Dostęp tylko dla pracowników eTechnologie z aktywnym kontem firmowym
Reagowanie na incydenty

Zdefiniowana procedura reakcji

Każdy incydent bezpieczeństwa jest klasyfikowany, izolowany i rozwiązywany według udokumentowanej procedury — z powiadomieniem klienta w określonym czasie.

P1 — Krytyczny
Wyciek danych, przejęcie systemu
1h
Reakcja
8h
Rozwiązanie
P2 — Wysoki
SQL injection, ominięcie autoryzacji
4h
Reakcja
24h
Rozwiązanie
P3 — Średni
Podejrzana aktywność, anomalie
8h
Reakcja
72h
Rozwiązanie
P4 — Niski
Potencjalne zagrożenie, spam
24h
Reakcja
7 dni
Rozwiązanie
Powiadomienie klienta: P1/P2 w ciągu 1h od wykrycia
RODO Art. 33: zgłoszenie do UODO w ciągu 72h przy wycieku danych
Retencja logów forensic: minimum 12 miesięcy
RODO

Dane i zgodność z RODO

Dane Twoich użytkowników pozostają w UE. Subprocesorzy mają podpisane DPA.

Lokalizacja danych
Serwery w Niemczech (Hetzner). Dane wyłącznie w UE. Żadnych transferów do krajów trzecich.
Umowa DPA
DPA z JDM dostępna elektronicznie w panelu hostingowym. DPA jako standardowy załącznik do umowy z klientem — na zapytanie.
Retencja danych
Po zakończeniu współpracy dane przechowywane przez 30 dni, następnie trwale usuwane. Bez opłat za przechowywanie w tym okresie.
Subprocesorzy danych
Nazwa Rola Lokalizacja danych DPA
JDM (jdm.pl) Hosting, backup, infrastruktura Niemcy (UE)
Cloudflare CDN, WAF, Zero Trust UE (edge nodes)
ManageWP / GoDaddy Monitoring, aktualizacje, backup USA — dane techniczne instancji
Backup

Dzienny backup z 30-dniową retencją

Każda instancja Spoti jest objęta automatycznym backupem po stronie JDM. Kopie zapasowe przechowywane w osobnej lokalizacji — oddzielonej od głównych serwerów.

Zakres backupu obejmuje zarówno pliki WordPress (motywy, wtyczki, media, konfigurację) jak i pełną bazę danych. RPO: 24h — maksymalna utrata danych w razie awarii. RTO: do 4h w godzinach roboczych. Testy odtwarzania przeprowadzane kwartalnie.

Codziennie
Częstotliwość backupu
30 dni
Retencja kopii
Pliki + baza
Zakres backupu
do 4h
RTO (godziny robocze)
Plany

Co otrzymujecie per plan

Podstawowy stack bezpieczeństwa dostępny na każdym planie. Rozszerzone funkcje od planu Business.

Funkcja bezpieczeństwa Growth Business Enterprise
Hosting JDM + izolacja instancji
SSL/TLS + ochrona sieciowa JDM
ManageWP monitoring + skanowanie
Patchstack virtual patching
Backup dzienny — 30 dni retencji
HTTPS + HSTS, RBAC, brute force protection
SSO / integracja z Active Directory
Cloudflare WAF dla Twojej instancji
Dokumentacja techniczna bezpieczeństwa
SLA
Dedykowany CSM
Kontakt dla IT

Pytania od działu IT?

Przygotujemy odpowiedzi na pytania bezpieczeństwa, udostępnimy dokumentację techniczną (plan Business+) lub podpiszemy NDA przed rozmową.

Napisz do nas Umów prezentację

Używamy plików cookie, aby analizować ruch na stronie i mierzyć skuteczność reklam. Polityka prywatności