INFORMACJA O PROGRAMIE BETA Niniejszy dokument dotyczy Programu Beta Kompunik, bezpłatnego pilotażu badawczego dostępnego wyłącznie na zaproszenie, prowadzonego przez Joss Gillet (Założyciel Kompunik). Jest to eksperymentalny prototyp bez gwarancji usługi.

Informacje o Bezpieczenstwie

Data wejścia w życie: 1 stycznia 2026

Ostatnia aktualizacja: 1 stycznia 2026

W Kompunik bezpieczenstwo danych uzytkownikow i integralnosc naszej platformy sa fundamentem wszystkiego, co tworzymy. Niniejszy dokument zawiera przeglad srodkow bezpieczenstwa technicznego i organizacyjnego wdrozonych w celu ochrony uzytkownikow, ich danych i doswiadczenia edukacyjnego.

1. Uwierzytelnianie i kontrola dostepu

Stosujemy wielowarstwowy system uwierzytelniania, aby zapewnic, ze tylko upowaznieni uzytkownicy moga uzyskac dostep do platformy i jej funkcji.

1.1 System uwierzytelniania

Auth.js v5 ze strategia JWT (JSON Web Token) zapewnia bezpieczne, bezstanowe uwierzytelnianie
Uwierzytelnianie za pomoca adresu e-mail i hasla z hashowaniem hasel algorytmem bcrypt
Logowanie jednokrotne (SSO) za posrednictwem Google Workspace i Microsoft Entra ID dla uzytkownikow organizacyjnych, z wykorzystaniem standardowych protokolow branżowych OAuth 2.0 / OpenID Connect
Tokeny sesji sa przechowywane w bezpiecznych plikach cookie HttpOnly, SameSite, co zapobiega atakom miedzywitrynowym

1.2 Uwierzytelnianie wieloskladnikowe (MFA)

E-mail OTP (jednorazowe haslo): Domyslnie wlaczone dla wszystkich uzytkownikow kont osobistych. Kod weryfikacyjny o ograniczonym czasie waznosci jest wysylany na zarejestrowany adres e-mail podczas logowania.
TOTP (jednorazowe haslo oparte na czasie): Opcjonalna obsluga aplikacji uwierzytelniajacych (np. Google Authenticator, Authy) dla silniejszego bezpieczenstwa, z kodami zapasowymi do odzyskiwania dostepu
Polityka MFA organizacji: Administratorzy organizacji moga wymagac MFA od wszystkich uzytkownikow w swojej organizacji i konfigurować dopuszczalne metody MFA

1.3 Kontrola dostepu oparta na rolach

Cztery odrębne role ze stopniowanymi uprawnieniami: Uczacy sie, Menedzer, Administrator Organizacji i Super Administrator
Kontrola dostepu na poziomie tras w oprogramowaniu posredniczacym (middleware) zapewnia, ze uzytkownicy moga uzyskac dostep wylacznie do stron i funkcji odpowiednich dla ich roli
Ochrona punktow koncowych API z weryfikacja roli przy kazdej akcji serwera

1.4 Zarzadzanie sesjami

Tokeny JWT z konfigurowalnym czasem wygasania i logika odswiezania
Bezpieczne atrybuty plikow cookie (HttpOnly, Secure, SameSite=Lax) zapobiegajace przejmowaniu sesji i atakom CSRF
Ograniczanie czestotliwosci zapytan na punktach koncowych uwierzytelniania w celu zapobiegania atakom silowym (5 prob w ciagu 15 minut na adres e-mail)

2. Szyfrowanie danych

Wszystkie dane sa szyfrowane zarowno w transmisji, jak i w stanie spoczynku w celu ochrony przed nieuprawnionym dostepem.

2.1 Szyfrowanie w transmisji

TLS 1.2 lub wyzszy jest wymuszany na wszystkich polaczeniach miedzy uzytkownikami a platforma
HTTPS jest obowiazkowe; polaczenia HTTP sa automatycznie przekierowywane
Naglowki HTTP Strict Transport Security (HSTS) sa ustawione w celu zapobiegania atakom degradacji protokolu

2.2 Szyfrowanie w stanie spoczynku

Szyfrowanie AES-256 dla wszystkich danych przechowywanych w MongoDB Atlas
Szyfrowane automatyczne kopie zapasowe zarzadzane przez infrastrukture MongoDB Atlas
Tresci multimedialne w DigitalOcean Spaces sa szyfrowane w stanie spoczynku z uzyciem szyfrowania po stronie serwera

2.3 Podpisane adresy URL dla tresci multimedialnych

Sciezki audio, filmy, obrazy i certyfikaty sa dostarczane za posrednictwem podpisanych adresow URL z ograniczonym czasem waznosci wynoszacym jedna (1) godzine
Podpisane adresy URL sa generowane po stronie serwera i nie moga byc udostepniane ani ponownie uzywane po uplywie terminu waznosci
Ochrona przed hotlinkowaniem weryfikuje naglowki origin i referer żadania

3. Prywatnosc i przetwarzanie danych

Prywatnosc jest wbudowana w projekt platformy, a nie traktowana jako dodatek.

3.1 Zgodnosc z RODO

Pelna zgodnosc z Ogolnym Rozporządzeniem o Ochronie Danych (RODO) dla wszystkich podmiotow danych w UE
Przetwarzanie danych opiera sie na jasnych podstawach prawnych: wykonanie umowy, prawnie uzasadniony interes i wyrazna zgoda
Uzytkownicy moga korzystac ze swoich praw dotyczacych danych (dostep, sprostowanie, usunięcie, przenoszenie) w dowolnym momencie

3.2 Prywatnosc domyslnie

Profile uzytkownikow sa domyslnie prywatne -- zadne dane osobowe nie sa widoczne dla innych uzytkownikow, chyba ze zostana wyraznie wlaczone
Profile publiczne, karty udostepniania i widocznosc spolecznosciowa sa funkcjami wymagajacymi aktywnego wlaczenia (opt-in)
Odpowiedzi 404 chroniace prywatnosc dla nieistniejacych lub prywatnych profili (brak enumeracji uzytkownikow)

3.3 Udostepnianie danych za zgoda

Funkcje spolecznosciowe (posty, komentarze, kregi, wyzwania) wymagaja aktywnego uczestnictwa
Funkcje porownywania z innymi uzytkownikami wymagaja wyraznej zgody zarowno organizacji, jak i uzytkownika
Ustawienia awatara i widocznosci profilu sa szczegolowe i kontrolowane przez uzytkownika

3.4 Brak sledzenia przez osoby trzecie

Brak zewnetrznych uslug analitycznych (brak Google Analytics, Mixpanel ani podobnych)
Brak plikow cookie reklamowych ani technologii sledzenia miedzywitrynowego
Brak sprzedazy danych reklamodawcom, posrednikom w handlu danymi ani jakimkolwiek osobom trzecim
Cala analityka jest obliczana wewnetrznie z naszej wlasnej bazy danych z uzyciem zanonimizowanych, zagregowanych danych

3.5 Prawo do usunieciad

Uzytkownicy moga żadac calkowitego usuniecia konta
Dane konta sa usuwane w ciagu 30 dni od żadania usunięcia
Ewidencja finansowa jest przechowywana przez 7 lat, zgodnie z wymogami prawa francuskiego

4. Infrastruktura i hosting

Nasza infrastruktura jest zaprojektowana pod katem niezawodnosci, bezpieczenstwa i ochrony danych.

4.1 Baza danych

Baza danych MongoDB Atlas w chmurze z automatycznymi kopiami zapasowymi, odzyskiwaniem do punktu w czasie i szyfrowaniem na poziomie klastra
Infrastruktura z certyfikatem SOC 2 Type II
Dostep do bazy danych ograniczony do kont serwisowych aplikacji z uprawnieniami minimalnymi niezbednymi

4.2 Przechowywanie tresci

DigitalOcean Spaces (magazyn obiektow kompatybilny z S3) dla plikow multimedialnych, certyfikatow i przeslanych zasobow
Szyfrowanie po stronie serwera w stanie spoczynku
Dostep kontrolowany za posrednictwem podpisanych adresow URL z ograniczonym czasem waznosci

4.3 Hosting aplikacji

Aplikacja Next.js z srodowiskiem uruchomieniowym Node.js
Izolacja zmiennych srodowiskowych zapewnia, ze sekrety nigdy nie sa udostepniane kodowi po stronie klienta
Rozdzielenie kodu serwera i klienta na etapie budowania i uruchamiania

4.4 Automatyczne kopie zapasowe

Kopie zapasowe bazy danych sa automatyzowane i szyfrowane przez MongoDB Atlas
Mozliwosc odzyskiwania do punktu w czasie na potrzeby odzyskiwania po awarii
Tresci multimedialne przechowywane redundantnie w DigitalOcean Spaces z wbudowana replikacja

5. Bezpieczenstwo aplikacji

Aplikacja jest budowana z uwzglednieniem praktyk programistycznych stawiajacych bezpieczenstwo na pierwszym miejscu na wszystkich warstwach.

5.1 Walidacja danych wejsciowych

Wszystkie dane wejsciowe uzytkownika sa walidowane po stronie serwera przed przetworzeniem
Scisla kontrola typow za pomoca TypeScript w calej bazie kodu
Przesylane pliki sa walidowane pod katem typu, rozmiaru i tresci (w tym oczyszczanie SVG w celu usuniecia zlosliwych skryptow)

5.2 Oczyszczanie tresci

Tresci generowane przez uzytkownikow (posty spolecznosciowe, komentarze) sa renderowane jako zwykly tekst z wykorzystaniem wbudowanej ochrony XSS frameworka React
Tresci bloga (tworzone przez administratorow) sa oczyszczane za pomoca sanitize-html z restrykcyjna lista dozwolonych znacznikow HTML
Przesylane pliki SVG sa przetwarzane przez dedykowany modul oczyszczajacy, ktory usuwa skrypty, obsluge zdarzen i obiekty obce

5.3 Bezpieczenstwo bazy danych

Wylacznie zapytania parametryzowane -- wszystkie zapytania MongoDB uzywaja sparametryzowanych filtrow, calkowicie eliminujac podatnosci na iniekcje
Brak uzycia $where, eval() ani zadnego dynamicznego konstruowania zapytan
Operacje bazodanowe sa hermetyzowane w dedykowanych funkcjach warstwy dostepu do danych

5.4 Ograniczanie czestotliwosci zapytan

Ograniczanie czestotliwosci zapytan jest wymuszane na wszystkich wrazliwych punktach koncowych:
- Logowanie: 5 prob w ciagu 15 minut na adres e-mail
- Rejestracja: 5 prob na godzine na adres e-mail
- Resetowanie hasla: 3 proby w ciagu 15 minut
- Punkty koncowe API: konfigurowalne limity na trase
- Funkcje wspomagane przez AI: dzienne limity na uzytkownika
Naglowki ograniczania czestotliwosci (X-RateLimit-Remaining, X-RateLimit-Reset) informuja klientow o pozostalym limicie

5.5 Naglowki bezpieczenstwa

Content Security Policy (CSP): Ogranicza zrodla skryptow, stylow, obrazow i polaczen do zaufanych domen
X-Content-Type-Options: nosniff zapobiega pomylkom w typach MIME
X-Frame-Options: SAMEORIGIN zapobiega atakom clickjacking
Referrer-Policy: strict-origin-when-cross-origin ogranicza wyciek danych referrer
Permissions-Policy: Ogranicza dostep do wrazliwych interfejsow API przegladarki

5.6 Ochrona CSRF

Akcje serwera maja wbudowana ochrone CSRF za posrednictwem mechanizmow frameworka Next.js
Atrybut cookie SameSite=Lax zapobiega fałszowaniu żadan miedzywitrynowych
Trasy API sa chronione uwierzytelnianiem i weryfikacja roli

6. Izolacja najemcow organizacyjnych

Organizacje na platformie dzialaja w izolowanych srodowiskach, aby zapobiec wyciekowi danych miedzy najemcami.

6.1 Izolacja danych

Wszystkie zapytania bazodanowe dotyczace danych organizacyjnych zawieraja identyfikator organizacji jako obowiazkowy filtr
Uzytkownicy moga uzyskac dostep wylacznie do danych nalezacych do wlasnej organizacji
Dostep do danych miedzy organizacjami jest uniemozliwiony na poziomie zapytan bazodanowych

6.2 Kontrola dostepu

Bramki rol w oprogramowaniu posredniczacym (middleware) wymuszaja, ze uzytkownicy moga uzyskac dostep wylacznie do tras odpowiednich dla ich organizacji i roli
Administratorzy organizacji moga zarzadzac wylacznie uzytkownikami i ustawieniami w ramach wlasnej organizacji
Widocznosc menedzerow jest ograniczona do przypisanych zespolow (menedzerowie widza wylacznie uczacych sie ze swojego zespolu)

6.3 Izolacja identyfikacji wizualnej

Identyfikacja wizualna organizacji (logo, nazwy wyswietlane) jest ograniczona do poszczegolnych organizacji
Niestandardowa identyfikacja wizualna nie wplywa na inne organizacje ani na globalne doswiadczenie platformy
Przeslane zasoby identyfikacji wizualnej sa przechowywane w sciezkach specyficznych dla organizacji

6.4 Izolacja spolecznosci

Przestrzenie spolecznosciowe organizacji sa calkowicie oddzielone od spolecznosci globalnej
Posty, kregi, wyzwania i pokoje cwiczeniowe utworzone w przestrzeni organizacji sa widoczne wylacznie dla czlonkow tej organizacji
Funkcje spolecznosciowe organizacji moga byc wlaczane lub wylaczane przez administratora organizacji

6.5 Zarzadzanie umowami i stanowiskami

Warunki umow i przydzialy stanowisk sa zarzadzane dla kazdej organizacji oddzielnie
Przydzialy stanowisk sa walidowane wzgledem limitow umownych za pomoca atomowych operacji bazodanowych, co zapobiega nadmiernemu przydzielaniu
Zmiany stanowisk wyzwalaja odpowiednie modyfikacje dostepu (okresy karencji, aktualizacje zapisow)

7. Moderacja tresci

Tresci spolecznosciowe sa moderowane za pomoca kompleksowego szesciopwarstwowego systemu w celu utrzymania bezpiecznego i pelnego szacunku srodowiska.

7.1 System moderacji

Ograniczanie czestotliwosci zapytan: Zapobiega szybkiemu publikowaniu i spamowi
Oczyszczanie HTML: Usuwa wszelkie znaczniki HTML i potencjalne wektory XSS z danych wejsciowych uzytkownika
Normalizacja tekstu: Normalizuje tekst w celu wykrycia technik obejscia (homoglify, mowa l33t, znaki o zerowej szerokosci)
Dopasowanie do list blokowanych: Sprawdza tresci pod katem list zabronionych terminow specyficznych dla danego jezyka
Klasyfikacja AI: Tresci sa analizowane przez OpenAI Moderation API pod katem mowy nienawisci, przemocy, nekania i innych kategorii szkodliwych tresci
Przeglad manualny: Oznaczone tresci sa kierowane do kolejki moderacji administracyjnej do recznego przegladu

7.2 Automatyczne oznaczanie

Tresci, ktore wyzwalaja progi list blokowanych lub klasyfikacji AI, sa automatycznie wstrzymywane do przegladu
Uzytkownicy otrzymuja jasna informacje zwrotna, gdy ich tresci wymagaja modyfikacji

7.3 Zglaszanie i przeglad

Wszyscy uzytkownicy moga zglaszac tresci lub zachowania za pomoca ustrukturyzowanego zglaszania z predefiniowanymi kategoriami przyczyn
Zgloszenia sa sledzone i eskalowane, gdy wiele zgloszen dotyczy tych samych tresci
Administratorzy maja dostep do dedykowanej kolejki moderacji z narzedziami do filtrowania i podejmowania dzialan

7.4 Projekt otwarty na bledy (fail-open)

Jezeli usluga moderacji AI jest tymczasowo niedostepna, tresci sa przepuszczane w celu zapobiezenia przerwie w dzialaniu uslugi
Automatyczna moderacja jest uzupelniana przez zgloszenia spolecznosciowe w celu wychwycenia tresci omijajacych automatyczne kontrole

8. Bezpieczenstwo platnosci

Transakcje finansowe sa obslugiwane z najwyzszymi standardami bezpieczenstwa dzieki wspolpracy ze Stripe.

8.1 Zgodnosc z PCI-DSS

Wszystkie platnosci sa przetwarzane przez Stripe, ktory posiada certyfikat PCI-DSS poziomu 1 (najwyzszy poziom certyfikacji bezpieczenstwa platnosci)
Kompunik nigdy nie otrzymuje, nie przetwarza ani nie przechowuje numerow kart kredytowych, kodow CVV ani pelnych danych kart platniczych na swoich serwerach
Dane kart platniczych sa wprowadzane bezposrednio w bezpiecznych elementach platniczych Stripe

8.2 Bezpieczenstwo webhookow

Zdarzenia webhookow Stripe sa weryfikowane za pomoca kryptograficznej walidacji podpisu przed przetworzeniem
Deduplikacja identyfikatorow zdarzen zapobiega podwojnemu przetworzeniu tego samego zdarzenia platniczego
Punkt koncowy webhooka jest objety ograniczaniem czestotliwosci zapytan w celu zapobiegania naduzyciom

8.3 Idempotentne przetwarzanie

Aktywacja platnosci jest idempotentna -- przetworzenie tego samego zdarzenia wielokrotnie daje ten sam wynik bez podwojnych obciązen ani aktywacji
Rejestry transakcji zapewniaja pelen slad audytowy wszystkich dzialan platniczych

9. Zgodnosc i standardy

9.1 Aktualna zgodnosc

Zgodnosc z RODO dla wszystkich podmiotow danych w UE, w tym udokumentowane podstawy prawne, prawa podmiotow danych i umowy o przetwarzaniu danych z podwykonawcami
48-godzinny cel reakcji na incydenty bezpieczenstwa -- zobowiazujemy sie do zbadania i rozpoczecia naprawy w ciagu 48 godzin od wykrycia incydentu
Regularne wewnetrzne przeglady bezpieczenstwa kodu, zaleznosci i konfiguracji infrastruktury
Audyt zaleznosci poprzez automatyczne skanowanie podatnosci pakietow zewnetrznych

9.2 Informacje o przejrzystosci

Wierzymy w przejrzystosc dotyczaca naszego aktualnego stanu bezpieczenstwa i planu poprawy:

Certyfikacje SOC 2 i ISO 27001 sa planowane na przyszla faze w miare skalowania organizacji
Ograniczanie czestotliwosci zapytan obecnie wykorzystuje magazyn w pamieci (odpowiedni dla wdrozen jednoinstancyjnych); migracja do rozproszonego ograniczania opartego na Redis jest planowana dla srodowisk produkcyjnych z wieloma instancjami
Testy bezpieczenstwa sa obecnie wykonywane poprzez wewnetrzne przeglady; zaangazowanie zewnetrznej firmy wykonujacej testy penetracyjne jest planowane
Infrastruktura logowania audytowego jest w fazie rozwoju w celu zapewnienia kompleksowych sladow aktywnosci na potrzeby zgodnosci i dochodzen

10. Odpowiedzialne ujawnianie podatnosci

Jezeli odkryjesz podatnosc bezpieczenstwa na platformie Kompunik, zachecamy do odpowiedzialnego jej zgloszenia.

10.1 Sposob zglaszania

Prosimy o przesylanie raportow o podatnosciach na adres compliance@kompunik.org wraz z:

Szczegolowym opisem podatnosci
Krokami umozliwiajacymi odtworzenie problemu
Potencjalnym wplywem podatnosci
Ewentualnymi sugestiami dotyczacymi naprawy, jezeli dotyczy

10.2 Nasze zobowiazanie

Potwierdzimy otrzymanie zgloszenia w ciagu 48 godzin
Zbadamy i przedstawimy wstepna ocene w ciagu 5 dni roboczych
Bedziemy informowac o postepach w usuwaniu podatnosci
Nie podejmiemy dzialan prawnych przeciwko badaczom, ktorzy zglaszaja podatnosci w dobrej wierze i przestrzegaja zasad odpowiedzialnego ujawniania

10.3 Zakres

Niniejsza polityka odpowiedzialnego ujawniania obejmuje aplikacje internetowa Kompunik i powiazane interfejsy API. Uslugi osob trzecich (Stripe, MongoDB Atlas, DigitalOcean) posiadaja wlasne kanaly zglaszania problemow bezpieczenstwa.

11. Kontakt

W przypadku pytan dotyczacych naszych praktyk bezpieczenstwa lub checi zgloszenia problemu bezpieczenstwa prosimy o kontakt:

Joss Gillet (Founder of Kompunik) Awinion, Francja

Zapytania dotyczace bezpieczenstwa i zgloszenia podatnosci: compliance@kompunik.org
Zapytania dotyczace prywatnosci: compliance@kompunik.org
Ogolne wsparcie: contact@kompunik.org

Niniejsze Informacje o Bezpieczenstwie obowiazuja od 1 stycznia 2026 r.

Warunki Specyficzne dla Programu Beta

Charakter Eksperymentalny

Ta platforma jest eksperymentalnym prototypem. Funkcje mogą się zmieniać, być usuwane lub działać nieprawidłowo bez uprzedzenia. Nie jest udzielana żadna gwarancja dostępności, czasu działania ani wydajności.

Przetwarzanie Danych

Dane zebrane podczas wersji beta mogą zostać usunięte po zakończeniu okresu beta. Chociaż dokładamy należytej staranności w ochronie Twoich danych, nie udzielamy żadnych gwarancji dotyczących trwałości lub kopii zapasowej danych.

Wykorzystanie Opinii

Wszelkie opinie, sugestie lub pomysły przekazane podczas beta mogą być wykorzystane do ulepszenia produktu bez wynagrodzenia lub przypisania autorstwa.

Brak Wynagrodzenia Finansowego

Uczestnictwo w wersji beta jest dobrowolne i nieodpłatne. Nie przysługują żadne wynagrodzenia finansowe, kredyty ani zwroty.

Ograniczenie Odpowiedzialności

Joss Gillet (Założyciel Kompunik) nie ponosi odpowiedzialności za jakiekolwiek szkody bezpośrednie, pośrednie, przypadkowe lub wynikowe wynikające z korzystania z tej platformy beta. Korzystanie odbywa się wyłącznie na własne ryzyko.

Poufność (Opcjonalnie)

Możesz napotkać funkcje lub treści, które nie są jeszcze publicznie dostępne. Chociaż nie jest to prawnie wiążące, prosimy o dyskretne traktowanie niewydanych funkcji.

Brak Relacji Komercyjnej

Ta wersja beta nie stanowi usługi komercyjnej, umowy ani subskrypcji. Nie będą wystawiane faktury i nie obowiązują umowy o poziomie usług.

Bezpieczeństwo i ochrona danych