Bezpieczeństwo
Dane w UE (Supabase + Hetzner DE), Row Level Security per workspace, SSL, RODO/GDPR compliance, no-data-retention dla Gemini API.
Dane w Unii Europejskiej
Cała infrastruktura w UE: Supabase region eu-central-1 (Frankfurt), VPS na Hetzner CPX42 (Niemcy, Helsinki), Stripe processing w EU (sub-processor). Żadne dane nie są przetwarzane ani przechowywane poza UE/EOG. Pełna zgodność z RODO. Dla klientów wymagających DPA (Data Processing Agreement) — dostępne na żądanie.
Row Level Security (RLS)
Każda tabela w naszej bazie ma RLS policies. Każde zapytanie SELECT/INSERT/UPDATE/DELETE jest filtrowane przez `workspace_id` użytkownika, który robi zapytanie. Nawet jeśli w API byłby bug, baza fizycznie nie zwróci danych z innego workspace. To zero-trust security model — nie ufamy aplikacji, ufamy bazie.
SSL i szyfrowanie
Wszystkie połączenia HTTPS (TLS 1.3, certyfikat Let's Encrypt z auto-renewal). Hasła hashowane bcrypt (przez Supabase Auth). Dane wrażliwe (API keys, tokens) szyfrowane AES-256 w bazie. Backupy bazy szyfrowane at-rest (AES-256). Brak hard-codowanych sekretów w kodzie (wszystko w env).
AI i prywatność danych
Do Google Gemini API wysyłamy fragmenty audytu (meta, content, metryki). Konfigurujemy „no data retention” — Google NIE używa Twoich danych do trenowania modeli. Embeddings w Qdrant są scoped do workspace i audit_id — żaden inny użytkownik nie ma dostępu. Pełna polityka prywatności na /polityka-prywatnosci.
Compliance i certyfikacje
RODO/GDPR — pełna zgodność, DPA dostępne. Bezpieczeństwo w trakcie audytu zewnętrznego (pen-test planowany Q2 2026). Roadmap: ISO 27001 (2027), SOC 2 Type II (2027). Zgłaszanie incydentów: hello@sitespector.app, response time 24h.