Bezpieczeństwo Danych i Prywatność
Jak chronimy Twoje dane finansowe za pomocą szyfrowania, kontroli dostępu i infrastruktury zgodnej z RODO.
Nasza filozofia bezpieczeństwa
Dane finansowe należą do najbardziej wrażliwych informacji, jakie posiada firma. W Klaras AI bezpieczeństwo nie jest kwestią drugorzędną — jest fundamentem każdego systemu, który budujemy. Traktujemy Twoje faktury, wyciągi bankowe, dokumenty kadrowe i zeznania podatkowe z tym samym poziomem ochrony, jaki banki stosują wobec własnych danych wewnętrznych.
Nasze podejście opiera się na trzech głównych zasadach:
- Ochrona wielowarstwowa — Wiele warstw zabezpieczeń, aby żaden pojedynczy punkt awarii nie mógł narazić Twoich danych
- Zasada najmniejszych uprawnień — Każdy system i każda osoba ma dostęp tylko do minimalnej ilości danych wymaganej dla ich roli
- Przejrzystość — Zawsze wiesz, jakie dane przechowujemy, kto miał do nich dostęp i dlaczego
Szyfrowanie
Dane w tranzycie
Cała komunikacja między Twoją przeglądarką a serwerami Klaras AI jest szyfrowana przy użyciu TLS 1.3, najnowszego protokołu bezpieczeństwa warstwy transportowej. Dotyczy to każdej interakcji — przesyłania dokumentów, przeglądania raportów, składania deklaracji i wywołań API.
Dane w spoczynku
Wszystkie przechowywane dane są szyfrowane przy użyciu szyfrowania AES-256, tego samego standardu stosowanego przez rządy i instytucje finansowe na całym świecie. Obejmuje to:
- Przesłane dokumenty (faktury, paragony, umowy)
- Rekordy bazy danych (transakcje, salda kont, dane pracowników)
- Kopie zapasowe i archiwa
- Tymczasowe pliki przetwarzania (automatycznie usuwane po przetworzeniu)
Zarządzanie kluczami
Klucze szyfrowania są zarządzane przez dedykowaną usługę zarządzania kluczami z automatyczną rotacją. Klucze nigdy nie są przechowywane obok danych, które chronią, a dostęp do zarządzania kluczami jest ograniczony do minimalnego zestawu inżynierów infrastruktury posiadających uwierzytelnianie wieloskładnikowe.
Infrastruktura i hosting
Klaras AI działa na infrastrukturze chmurowej z siedzibą w UE, zapewniając, że Twoje dane pozostają w obrębie Europejskiego Obszaru Gospodarczego (EOG). Nasze środowisko hostingowe obejmuje:
- Centra danych certyfikowane SOC 2 Typ II
- Dostawca infrastruktury certyfikowany ISO 27001
- Redundantne przechowywanie w wielu strefach dostępności dla odtwarzania po awarii
- Automatyczne codzienne kopie zapasowe z retencją 30 dni
- SLA dostępności na poziomie 99,9%
Kontrola dostępu
Stosujemy rygorystyczną kontrolę dostępu na każdym poziomie:
| Poziom | Zabezpieczenie |
|---|---|
| Konta użytkowników | Email + hasło z wymuszaną złożonością, opcjonalne 2FA (TOTP lub klucz sprzętowy) |
| Role zespołu | Szczegółowe uprawnienia — Właściciel, Księgowy, Obserwator, Audytor — każda z różnymi poziomami dostępu do danych |
| Pracownicy wewnętrzni | Dostęp oparty na rolach z obowiązkowym MFA, aprowizacja dostępu na żądanie i pełne logowanie audytu |
| Systemy AI | Izolowane środowiska przetwarzania bez trwałego dostępu do surowych danych po zakończeniu zadania |
Zgodność z RODO
Jako firma przetwarzająca dane mieszkańców UE, Klaras AI jest w pełni zgodna z Ogólnym Rozporządzeniem o Ochronie Danych (RODO). Nasze środki compliance obejmują:
- Podstawa prawna przetwarzania — Przetwarzamy dane finansowe na podstawie niezbędności do wykonania umowy (Art. 6(1)(b)) i uzasadnionego interesu (Art. 6(1)(f))
- Minimalizacja danych — Zbieramy tylko dane niezbędne do świadczenia naszych usług
- Prawo dostępu — Możesz w każdej chwili zażądać pełnego eksportu swoich danych
- Prawo do usunięcia — Możesz zażądać usunięcia swojego konta i wszystkich powiązanych danych, z zastrzeżeniem wymogów prawnych dotyczących przechowywania
- Umowa Powierzenia Danych (DPA) — Dostępna dla wszystkich klientów biznesowych na żądanie
- Inspektor Ochrony Danych — Nasz IOD nadzoruje zgodność i można się z nim skontaktować pod adresem admin@klarasai.com
Polska ochrona danych
Oprócz RODO przestrzegamy polskich wymagań dotyczących ochrony danych nadzorowanych przez UODO (Urząd Ochrony Danych Osobowych). Polskie przepisy rachunkowe nakładają również określone okresy przechowywania danych:
- 5 lat — Dokumenty związane z podatkami muszą być przechowywane przez 5 lat od końca roku kalendarzowego, w którym powstało zobowiązanie podatkowe
- 50 lat — Dokumentacja płacowa i pracownicza (10 lat dla pracowników zatrudnionych po 1 stycznia 2019 r.)
- Bezterminowo — Roczne sprawozdania finansowe i niektóre dokumenty korporacyjne
Klaras AI automatycznie zarządza tymi okresami przechowywania, zapewniając zachowanie dokumentów przez wymagany czas i oznaczanie ich do bezpiecznego usunięcia, gdy nie są już wymagane prawnie.
Bezpieczeństwo specyficzne dla AI
Gdy Twoje dokumenty są przetwarzane przez nasze modele AI, obowiązują dodatkowe zabezpieczenia:
- Brak szkolenia na Twoich danych — Twoje dokumenty finansowe nigdy nie są używane do szkolenia ani dostrajania modeli AI. Przetwarzanie odbywa się wyłącznie w trybie inferencji.
- Izolowane przetwarzanie — Każdy dokument jest przetwarzany w sandboxowanym środowisku, które jest niszczone po zakończeniu
- Brak udostępniania danych — Nie udostępniamy Twoich danych żadnym zewnętrznym dostawcom AI. Nasze modele działają na własnej infrastrukturze.
- Ścieżka audytu — Każde działanie AI jest rejestrowane, w tym jakie dane były dostępne, jaka decyzja została podjęta i jaki poziom pewności został przypisany
Reagowanie na incydenty
Mimo naszych starań, żaden system nie jest odporny na zagrożenia. Nasz plan reagowania na incydenty obejmuje:
- Monitorowanie 24/7 — Automatyczne wykrywanie zagrożeń z dyżurującym zespołem bezpieczeństwa
- Powiadomienie w ciągu 72 godzin — W przypadku naruszenia danych osobowych powiadamiamy dotkniętych użytkowników i właściwe organy w ciągu 72 godzin, zgodnie z wymogami RODO
- Przegląd poincydentowy — Każde zdarzenie bezpieczeństwa wywołuje dokładny przegląd z opublikowanymi wynikami i krokami naprawczymi
- Regularne testy penetracyjne — Coroczne audyty bezpieczeństwa i testy penetracyjne przez podmioty zewnętrzne
Twoje obowiązki
Bezpieczeństwo jest wspólną odpowiedzialnością. Zalecamy wszystkim użytkownikom Klaras AI:
- Włączenie uwierzytelniania dwuskładnikowego na swoim koncie
- Stosowanie unikalnych, silnych haseł (zalecamy menedżera haseł)
- Regularne przeglądanie dostępu członków zespołu i usuwanie nieaktywnych użytkowników
- Niezwłoczne zgłaszanie wszelkich podejrzanych działań na adres admin@klarasai.com
Masz pytania dotyczące naszych praktyk bezpieczeństwa? Skontaktuj się z naszym zespołem — chętnie dostarczymy dodatkową dokumentację lub omówimy specyficzne wymagania dotyczące zgodności.