Czy Quick Event jest zgodny z RODO?

Tak, Quick Event od samego początku jest w 100% zgodny z RODO : • Prywatność w fazie projektowania: Ochrona danych jest zintegrowana z architekturą • Przetwarzanie danych w UE: Wszystkie dane pozostają wyłącznie w centrach danych na terenie Niemiec/UE. • Umowy dotyczące przetwarzania danych: Dostępne są jasne umowy dotyczące przetwarzania danych • Prawa osób, których dane dotyczą: pełne wdrożenie wszystkich praw wynikających z RODO • Automatyczne usuwanie: Konfigurowalne okresy przechowywania Certyfikowana zgodność z ciągłymi audytami bezpieczeństwa.

Gdzie są przechowywane moje dane?

Gwarancja przetwarzania danych w 100% w UE: Główna lokalizacja: Frankfurt nad Menem, Niemcy (Baza danych NEON) Lokalizacje drugorzędne: Amsterdam, Paryż, Monachium, Madryt CDN/Edge: europejskie serwery brzegowe Cloudflare Brak transferu danych poza UE. Twoje dane nigdy nie opuszczają europejskiego obszaru prawnego. Zgodność: Z przepisami o ochronie danych obowiązującymi zarówno w Niemczech, jak i w całej UE.

Jak bezpieczny jest przesył danych?

Szyfrowanie klasy korporacyjnej na wszystkich poziomach: • TLS 1.3: Najnowszy standard szyfrowania dla wszystkich połączeń • Szyfrowanie typu end-to-end: szyfrowanie wszystkich wywołań API i transferów danych • AES-256: Szyfrowanie w stanie spoczynku w bazie danych • Automatyczny SSL: Certyfikaty dla wszystkich domen niestandardowych Infrastruktura Cloudflare Enterprise z ochroną DDoS i WAF (zapora aplikacji internetowych).

Jakie certyfikaty bezpieczeństwa posiada Quick Event?

Bezpieczeństwo przedsiębiorstwa dzięki certyfikowanym partnerom: Cloudflare Enterprise: • Certyfikat SOC 2 typu II • Certyfikat ISO 27001 • Zgodność z PCI DSS Poziom 1 Certyfikaty infrastruktury: • Baza danych NEON: ISO 27001, SOC 2 • SendGrid: SOC 2, zgodność z RODO • Stripe: PCI DSS Poziom 1 Umowa SLA zapewniająca dostępność na poziomie 99,99% z dostępnym wsparciem dla przedsiębiorstw.

Jak działa kontrola dostępu?

Szczegółowe zarządzanie uprawnieniami: Oparte na rolach: • Rola użytkownika: Dostęp tylko do własnych wydarzeń • Rola administratora: pełny dostęp do organizacji • Role niestandardowe: indywidualne zestawy uprawnień Funkcje bezpieczeństwa: • Wymagane jest uwierzytelnianie dwuskładnikowe dla kont administratorów • Zarządzanie sesjami z automatycznym limitem czasu • Integracja OAuth (Google, Microsoft, GitHub) • Rejestry audytu wszystkich zmian autoryzacji Zasada najmniejszych przywilejów jest wszędzie stosowana.

Co się dzieje w przypadku incydentu bezpieczeństwa?

Profesjonalny plan reagowania na incydenty: Środki natychmiastowe: • Automatyczne wykrywanie zagrożeń za pomocą sztucznej inteligencji Cloudflare • Alerty w czasie rzeczywistym dla zespołu ds. bezpieczeństwa • Natychmiastowa izolacja dotkniętych systemów Komunikacja: • W ciągu 24 godzin: Poinformowanie klientów, których dotyczy problem • W ciągu 72 godzin: Zgłoś naruszenie danych władzom • Pełna przejrzystość dotycząca incydentu i podjętych środków Zapobieganie: Stały monitoring bezpieczeństwa i aktualizacje.

W jaki sposób moje dane zostaną usunięte?

Automatyczne usuwanie danych zgodnie z RODO: Konfigurowalne terminy: • Dane dotyczące zdarzeń: Standardowe 2 lata, konfigurowalne • Dane uczestników: według wydarzenia lub indywidualnie • Rejestry audytów: 7 lat na potrzeby zgodności Procedura usuwania: • Automatyczne usuwanie po upływie terminów • Możliwość ręcznego usunięcia w dowolnym momencie na żądanie • Bezpieczne usuwanie ze wszystkich systemów i kopii zapasowych Prawo do bycia zapomnianym jest w pełni realizowane.

Bezpieczeństwo i ochrona danych

Zarządzając danymi wydarzeń – listami obecności , danymi kontaktowymi, szczegółami płatności – bezpieczeństwo nie jest opcją, lecz wymogiem. Rozwiązanie Quick Event zostało zaprojektowane od podstaw z myślą o ochronie danych i bezpieczeństwie przedsiębiorstwa: pełna zgodność z RODO, przetwarzanie danych wyłącznie w UE oraz kompleksowe szyfrowanie na wszystkich poziomach.

Rozwiązanie Quick Event jest zgodne z RODO od samego początku — nie jest modyfikowane, ale opracowane zgodnie z zasadą „Prywatności w fazie projektowania” . Ochrona danych jest zintegrowana z architekturą, a nie dodana jako funkcja.

Oznacza to konkretnie: Zapewniamy kompleksową umowę o przetwarzaniu danych (DPA) , która spełnia wszystkie wymogi artykułu 28 RODO. DPA jasno określa, jakie dane są przetwarzane, w jakim celu oraz za pomocą jakich środków technicznych i organizacyjnych są chronione.

Wszystkie prawa osób, których dane dotyczą, są w pełni realizowane: prawo dostępu, prawo do sprostowania, prawo do usunięcia, prawo do przenoszenia danych oraz prawo do sprzeciwu. Uczestnicy mogą w dowolnym momencie przeglądać, poprawiać lub usuwać swoje dane – bezpośrednio za pośrednictwem platformy lub na wniosek organizatora.

Ponadto Quick Event oferuje konfigurowalne okresy przechowywania z automatycznym usuwaniem. Po upływie zdefiniowanego okresu dane osobowe są automatycznie i całkowicie usuwane ze wszystkich systemów – bez konieczności ręcznej interwencji.

Przetwarzanie danych w UE

Wszystkie dane są przetwarzane i przechowywane wyłącznie na terenie Unii Europejskiej. Żadne dane nie są przekazywane do państw trzecich – ani do bazy danych, ani do przetwarzania brzegowego, ani do tworzenia kopii zapasowych.

Główną lokalizacją jest Frankfurt nad Menem w Niemczech. To właśnie tam działa baza danych NEON, która przechowuje wszystkie dane dotyczące zdarzeń, uczestników i organizacji. Lokalizacje pomocnicze w Amsterdamie i Paryżu służą jako kopie zapasowe i do buforowania brzegowego za pośrednictwem sieci Cloudflare. Pozostałe lokalizacje w Europie, takie jak Monachium i Madryt, służą do dostarczania treści.

Cała infrastruktura podlega niemieckim i unijnym przepisom o ochronie danych . Wszystkie operacje przetwarzania danych podlegają jurysdykcji niemieckiej. Dla organizatorów wydarzeń oznacza to maksymalną pewność prawną bez skomplikowanych procedur transferu danych do państw trzecich.

Szyfrowanie

Quick Event wykorzystuje wielowarstwowe szyfrowanie, które chroni zarówno dane podczas transmisji, jak i dane przechowywane.

Szyfrowanie podczas transmisji

Wszystkie połączenia korzystają z TLS 1.3 , najnowszego standardu szyfrowania. Dotyczy to komunikacji między przeglądarką a serwerem, między usługami wewnętrznymi oraz wszystkich wywołań API. Starsze, niezabezpieczone wersje TLS nie są obsługiwane.

Szyfrowanie w stanie spoczynku

Wszystkie dane przechowywane w bazie danych są szyfrowane algorytmem AES-256 — tym samym standardem, którego używają banki i agencje rządowe. Dotyczy to danych uczestników, informacji o rezerwacjach , treści wiadomości e-mail oraz plików przesłanych do Cloudflare R2.

Automatyczne certyfikaty SSL

Jeśli używasz własnej domeny dla stron wydarzenia, Quick Event automatycznie zapewnia certyfikat SSL – bez ręcznej interwencji i dodatkowych kosztów. Certyfikaty są odnawiane automatycznie, zapewniając uczestnikom zawsze szyfrowane połączenie.

Kontrola dostępu

System uprawnień Quick Event opiera się na zasadzie najmniejszych uprawnień : każdy użytkownik otrzymuje tylko uprawnienia niezbędne do wykonania zadania. Ani więcej, ani mniej.

System autoryzacji oparty na rolach

Funkcja Quick Event oferuje trzy poziomy uprawnień. Rola użytkownika ogranicza dostęp do własnych wydarzeń – idealne rozwiązanie dla członków zespołu projektowego, którzy zarządzają tylko własnymi wydarzeniami. Rola administratora zapewnia pełny dostęp do wszystkich wydarzeń i ustawień organizacji, w tym do zarządzania zespołem i rozliczeń. Dodatkowo, można tworzyć role niestandardowe z indywidualnymi zestawami uprawnień, aby zapewnić precyzyjny poziom dostępu.

Uwierzytelnianie i zarządzanie sesjami

Uwierzytelnianie dwuskładnikowe (2FA) jest dostępne dla kont administratorów, aby zapobiec nieautoryzowanemu dostępowi, nawet w przypadku złamania hasła. Sesje są automatycznie zamykane po konfigurowalnym okresie braku aktywności. Alternatywnie użytkownicy mogą zalogować się przez OAuth za pomocą istniejącego konta Google, Microsoft lub GitHub – bez konieczności zarządzania dodatkowym hasłem.

Wszystkie zmiany uprawnień są rejestrowane w dziennikach audytu , dzięki czemu można prześledzić, kto uzyskał lub utracił prawa dostępu i kiedy.

Certyfikaty partnerskie

Quick Event opiera się na sprawdzonych partnerach infrastrukturalnych, którzy spełniają nawet najwyższe standardy bezpieczeństwa. Każdy komponent platformy jest obsługiwany przez dostawcę, który przeszedł niezależny audyt i certyfikację.

Cloudflare

Jako platforma do przetwarzania brzegowego, ochrony przed atakami DDoS i dostarczania treści, Cloudflare posiada certyfikaty SOC 2 typu II , ISO 27001 i PCI DSS poziomu 1. Jej zapora sieciowa aplikacji internetowych (WAF) chroni przed zagrożeniami z listy OWASP Top 10, a jej globalna sieć zapewnia dostępność na poziomie 99,99%.

Baza danych NEON

Baza danych PostgreSQL działa w NEON, certyfikowanym zgodnie z normami ISO 27001 i SOC 2. Lokalizacja w UE we Frankfurcie gwarantuje, że zapytania do bazy danych i przechowywanie danych odbywają się w całości zgodnie z prawem UE.

Naszywka

Do przetwarzania płatności Quick Event korzysta ze Stripe — certyfikowanego zgodnie z PCI DSS Level 1 , najwyższym standardem bezpieczeństwa w branży kart płatniczych. Dane kart kredytowych nigdy nie są przechowywane na serwerach Quick Event, lecz przetwarzane wyłącznie przez Stripe.

SendGrid

Wiadomości e-mail są wysyłane za pośrednictwem SendGrid, który posiada certyfikat SOC 2 i jest w pełni zgodny z RODO. Wszystkie serwery poczty e-mail znajdują się w UE, a szyfrowanie transmisji za pomocą protokołu TLS jest standardem dla każdej wiadomości wychodzącej.

Reagowanie na incydenty

W przypadku wystąpienia incydentu bezpieczeństwa, pomimo podjęcia wszelkich środków ochronnych, zostanie wdrożony określony plan reagowania na incydenty, zawierający jasno określone obowiązki i terminy.

Zautomatyzowane wykrywanie zagrożeń Cloudflare AI identyfikuje anomalie w czasie rzeczywistym. Po potwierdzeniu incydentu, zagrożony system jest natychmiast izolowany, aby zapobiec dalszemu rozprzestrzenianiu się. Jednocześnie do zespołu ds. bezpieczeństwa wysyłane są alerty w czasie rzeczywistym.

Komunikacja odbywa się w ustalonych ramach czasowych: klienci, których dotyczy naruszenie, są informowani w ciągu 24 godzin . W przypadku naruszenia danych, zgodnie z definicją RODO, organy są powiadamiane w ciągu 72 godzin , zgodnie z wymogami prawnymi. Przejrzystość jest priorytetem – strony poszkodowane otrzymują pełne informacje o incydencie, podjętych środkach oraz krokach zapobiegających przyszłym incydentom.

Okresy usuwania i przechowywania danych

Funkcja Quick Event daje organizatorom wydarzeń pełną kontrolę nad czasem przechowywania danych osobowych. Okresy przechowywania można konfigurować dla każdego wydarzenia i są one automatycznie egzekwowane.

Domyślnie dane o wydarzeniu są przechowywane przez dwa lata od jego zakończenia – okres ten można skrócić lub wydłużyć w razie potrzeby. Dane uczestników można usunąć po zakończeniu wydarzenia lub po upływie określonego przez użytkownika okresu. Dzienniki audytu są przechowywane przez siedem lat, zgodnie z wymogami prawnymi.

Usuwanie następuje automatycznie po upływie okresu przechowywania – bez konieczności ręcznej interwencji. Ręczne usunięcie jest również możliwe w dowolnym momencie na żądanie , na przykład gdy uczestnik skorzysta z prawa do bycia zapomnianym. W takim przypadku dane są całkowicie i nieodwracalnie usuwane ze wszystkich systemów i kopii zapasowych.