Dane kart są bezpieczne u nas
Dane kart chronimy w naszym vault PCI DSS Level 1: zaszyfrowane, przechowywane wyłącznie w europejskich centrach danych, z rejestrem każdego dostępu. Ty nigdy nie dotykasz numeru karty – pracujesz wyłącznie na tokenach.
Szyfrowanie w spoczynku
AES-256 w vault
Centra danych w UE
Dane karty nigdy nie opuszczają UE
Śledzony dostęp
Każde żądanie jest rejestrowane
PCI DSS Level 1
To najwyższy poziom zgodności PCI. Oznacza, że nasz vault jest audytowany co roku przez niezależnych asesorów, a Ty przejmujesz znaczną część tej ochrony.
Coroczny audyt
Akredytowany asesor PCI (QSA) weryfikuje co roku spełnienie wszystkich wymagań. Raport jest dostępny dla organizacji płatniczych i – na życzenie – dla Ciebie.
Kwartalne skany
Co kwartał skanujemy infrastrukturę dostępną z Internetu. Jeśli wykryjemy cokolwiek do poprawy, usuwamy problem przed kolejnym skanem.
Mniej obowiązków dla Ciebie
Ponieważ dane kart przechowujemy w naszym vault, zakres PCI po Twojej stronie ulega znacznemu zmniejszeniu. Często wystarczy uproszczony kwestionariusz (SAQ A) zamiast samodzielnego zarządzania całą zgodnością.
Dane kart nigdy nie opuszczają UE
Dane kart przechowujemy i przetwarzamy wyłącznie na terenie Unii Europejskiej. Żadnych kopii poza Europą, żadnych nieeuropejskich chmur do operacji vault.
Zaprojektowane pod RODO
Umowy powierzenia przetwarzania danych, podstawy prawne i dokumentacja są już gotowe. Wiesz, gdzie są dane i kto nimi zarządza: my, w UE.
Centra danych w Niemczech i Holandii
Redundantna infrastruktura o wysokiej dostępności. Disaster recovery również pozostaje w granicach Europy.
Żadnych transferów za granicę
Klucze szyfrowania, mapowania tokenów i dzienniki audytu pozostają pod jurysdykcją UE. Żadnego ryzyka związanego z transferem danych poza Europę.
Co gwarantujemy
Zaszyfrowane w spoczynku i podczas transmisji
Dane kart nigdy nie są przesyłane w postaci jawnej. Szyfrujemy je podczas zapisu i podczas przesyłania między naszymi systemami.
AES-256 w vault
W spoczynkuKażdy numer karty w vault jest szyfrowany algorytmem AES-256. Klucze są chronione wewnątrz dedykowanego sprzętu (HSM). Nigdy nie eksportujemy ich w postaci jawnej.
TLS 1.3 podczas transmisji
Tylko bezpieczne połączeniaAPI i przepływy płatnicze używają wyłącznie TLS 1.3. Starsze wersje są wyłączone. Nawet przechwycenie ruchu nie pozwoli na odszyfrowanie danych.
Rotacja kluczy
Bez przestojówKlucze główne rotowane są co roku, zgodnie z wymaganiami PCI DSS. Ponowne szyfrowanie odbywa się w tle – dla Ciebie i Twoich klientów nic się nie zmienia.
AES-256
Szyfrowanie w spoczynku
TLS 1.3
Między systemami
Coroczna
Rotacja kluczy
Klucze przechowywane w HSM
HSM to urządzenie sprzętowe odporne na manipulacje fizyczne, w którym generujemy i przechowujemy klucze szyfrowania. Numery kart nigdy go nie opuszczają w postaci jawnej.
Certyfikat FIPS 140-2 Level 3
Uznany standard dla bezpieczeństwa sprzętowego. Próba fizycznego otwarcia urządzenia powoduje automatyczne zniszczenie kluczy.
Klucze generowane wewnątrz HSM
Generowanie, rotacja i niszczenie kluczy odbywa się wyłącznie w granicach HSM. Nigdy nie przechowujemy kluczy głównych na dyskach ani w ogólnych zasobach chmurowych.
Odporność na manipulacje
Dedykowane czujniki i obudowy wykrywają próby fizycznego dostępu. W przypadku wykrycia nieprawidłowości materiał kryptograficzny jest natychmiast niszczony.
Jak przebiega żądanie
Kontrole antynadużyciowe
Poza szyfrowaniem i tokenizacją monitorujemy każde żądanie. Jeśli coś wygląda podejrzanie, blokujemy lub oznaczamy to zanim stanie się problemem.
Limity żądań
Wykrywamy nietypowe skoki liczby żądań z tego samego konta, adresu IP lub klucza API. Konfigurowalne progi uruchamiają tymczasowe blokady i alerty dla zespołu bezpieczeństwa.
Podejrzane wzorce
Analizujemy ruch w celu wykrycia nieprawidłowego zachowania: sekwencyjne testy, nietyp owe wolumeny, niespójności geograficzne. Oznaczone żądania są blokowane zgodnie z Twoją polityką.
Monitoring 24/7
Nasz zespół bezpieczeństwa monitoruje błędy, opóźnienia i dostęp do danych. W przypadku odchyleń od normy reagujemy w ciągu kilku minut.
Testujemy się również od zewnątrz
Nie poprzestajemy na audytach PCI: regularne testy penetracyjne i skany niezależnych firm weryfikują, że vault pozostaje solidny.
Testy penetracyjne
Dwa razy w roku akredytowane firmy symulują ataki na naszą sieć i API. Każdy znaleziony problem jest naprawiany i ponownie weryfikowany.
Zarządzanie podatnościami
Tygodniowe skany wewnętrzne obejmujące wszystkie komponenty. Krytyczne problemy są rozwiązywane w określonych terminach – najpoważniejsze w ciągu 24 godzin.
Raport SOC 2 Type II
Co roku niezależni audytorzy weryfikują bezpieczeństwo, dostępność i poufność. Na żądanie, po podpisaniu NDA, udostępniamy raport klientom.
Bezpieczne wytwarzanie oprogramowania
Każda zmiana kodu przechodzi przegląd i automatyczne testy. Przed dotknięciem vault oceniamy ryzyka w ustrukturyzowany sposób.
Reakcja na incydent
Mamy nadzieję, że nigdy nie będzie potrzeby. Jeśli jednak dojdzie do zdarzenia bezpieczeństwa, wykrywamy je, powstrzymujemy i informujemy Cię w sposób przejrzysty.
Zawsze aktywny
Korelacja logów i alertów w czasie rzeczywistym dla całej infrastruktury
Pierwsza reakcja
Klasyfikujemy wagę incydentu i uruchamiamy procedurę izolacji w ciągu 15 minut
Informujemy Cię
W razie potrzeby powiadamiamy w ciągu 72 godzin, zgodnie z wymogami RODO i PCI
Analiza i poprawki
Post-mortem z działaniami naprawczymi, aby zapobiec powtórzeniu się incydentu
Dostępność: 99,95% uptime z automatycznym failoverem. Incydent produkcyjny jest eskalowany do starszego zespołu w ciągu 5 minut.
99,95% uptimeStandardy, które spełniamy
PCI DSS, ISO 27001, ISO 9001, SOC 2, RODO, DORA i certyfikowany sprzęt: nie tylko etykiety, ale kontrole weryfikowane co roku.
PCI DSS L1
Najwyższy poziom PCI
FIPS 140-2 L3
Certyfikowany sprzęt HSM
SOC 2 Type II
Zweryfikowane kontrole
RODO
Dane wyłącznie w UE
ISO 27001
Bezpieczeństwo informacji
ISO 9001
Zarządzanie jakością
DORA
Odporność operacyjna
Coroczny audyt PCI
Pełny raport zgodności
Kwartalne skany
Zewnętrzne podatności
Półroczne testy pen
Akredytowane podmioty trzecie
Chcesz dowiedzieć się, jak chronimy Twoje płatności?
Zarządzamy vault PCI. Ty integrujesz API i pracujesz na tokenach. Mniejsze ryzyko, mniej formalności, te same płatności.