Bezpieczeństwo #
EthicsPortal obsługuje wrażliwe dane sygnalistów. Ta strona dokumentuje konkretne środki techniczne i organizacyjne, które stosujemy. Jest napisana dla inspektorów ds. zgodności, inspektorów ochrony danych i zespołów prawnych oceniających platformę.
Ostatnia aktualizacja: kwiecień 2026.
Szyfrowanie danych #
Wszystkie wrażliwe pola są szyfrowane w spoczynku przy użyciu Rails ActiveRecord Encryption z szyfrowaniem niedeterministycznym (każde szyfrowanie generuje unikalny szyfrogram, co uniemożliwia analizę wzorców).
| Pole | Szyfrowane | Deterministyczne |
|---|---|---|
| Opis zgłoszenia | Tak | Nie |
| Imię i nazwisko zgłaszającego | Tak | Nie |
| Dane kontaktowe zgłaszającego | Tak | Nie |
| Treść wiadomości (komunikacja zgłaszający–prowadzący) | Tak | Nie |
Szyfrowanie niedeterministyczne oznacza, że tych pól nie można wyszukiwać po wartości na poziomie bazy danych. Nawet mając pełny dostęp do bazy, atakujący nie może wyszukać konkretnego imienia i nazwiska zgłaszającego w rekordach.
Wszystkie połączenia z EthicsPortal wykorzystują HTTPS/TLS. Nieszyfrowane żądania HTTP są przekierowywane.
Anonimowość i prywatność #
Anonimizacja IP #
EthicsPortal nigdy nie przechowuje adresów IP. Trasy portalu (wysyłanie zgłoszeń, sprawdzanie spraw, wymiana wiadomości) wykorzystują jednokierunkowy hasz SHA256 adresu IP wyłącznie do limitowania żądań. Hasz nie jest odwracalny — odzyskanie oryginalnego adresu IP z przechowywanej wartości jest niemożliwe.
Dotyczy to wszystkich endpointów portalu. Żaden adres IP nie jest zapisywany w żadnym logu, polu bazy danych ani systemie analitycznym.
Usuwanie metadanych plików #
Przesłane pliki są automatycznie oczyszczane z identyfikujących metadanych przed zapisem:
| Typ pliku | Usuwane metadane | Metoda |
|---|---|---|
| Obrazy (JPEG, PNG, TIFF, WebP) | Dane EXIF: współrzędne GPS, model aparatu, numer seryjny urządzenia, autor, znaczniki czasu | Przetwarzanie obrazów Vips |
| Dokumenty PDF | Autor, aplikacja tworząca, historia modyfikacji | exiftool |
| Pliki wideo | GPS, informacje o urządzeniu, oprogramowanie nagrywające | exiftool |
| Pliki audio | Urządzenie nagrywające, GPS, tagi oprogramowania | exiftool |
Zgłaszający nie muszą ufać, że ich pliki są bezpieczne — metadane są usuwane po stronie serwera niezależnie od zawartości pliku.
Skanowanie antywirusowe #
Wszystkie przesłane pliki są automatycznie skanowane pod kątem złośliwego oprogramowania za pomocą ClamAV, silnika antywirusowego open source. Skanowanie odbywa się po stronie serwera w procesie w tle po przesłaniu pliku. Zainfekowane pliki są automatycznie usuwane i nigdy nie trafiają do osób prowadzących sprawy.
Pliki są skanowane na infrastrukturze EthicsPortal — żadne dane plików nie są wysyłane do zewnętrznych usług skanowania.
Anonimowość prowadzącego #
Sygnaliści nigdy nie widzą prawdziwych imion i nazwisk ani adresów e-mail osób obsługujących ich zgłoszenie. Wszystkie wiadomości od prowadzących są wyświetlane jako „Osoba prowadząca sprawę". Chroni to tożsamość prowadzącego i zapobiega inżynierii społecznej.
Brak śledzenia #
EthicsPortal nie używa ciasteczek śledzących firm trzecich, pikseli reklamowych ani skryptów fingerprinting. Na stronach marketingowych używamy Cloudflare Web Analytics — narzędzie bez ciasteczek, które nie zbiera danych osobowych i jest w pełni zgodne z RODO. Sam portal zgłoszeniowy nie posiada żadnej analityki.
Kontrola dostępu #
Autoryzacja jest egzekwowana na poziomie aplikacji przy użyciu polityk Pundit.
| Rola | Może przeglądać zgłoszenia | Może zarządzać ustawieniami organizacji | Może przypisywać prowadzących |
|---|---|---|---|
| Administrator | Wszystkie zgłoszenia | Tak | Tak |
| Prowadzący | Tylko przypisane zgłoszenia | Nie | Nie |
- Prowadzący nie mogą widzieć zgłoszeń, które nie zostały im przypisane.
- Zgłaszający nie posiadają konta użytkownika — uzyskują dostęp do swojego zgłoszenia za pomocą unikalnego, losowo wygenerowanego kodu dostępu.
- Każda akcja kontrolera sprawdza autoryzację. Próby nieautoryzowanego dostępu są blokowane i rejestrowane.
Limitowanie żądań #
Publiczne endpointy portalu są objęte limitami zapobiegającymi nadużyciom i atakom enumeracyjnym:
| Endpoint | Limit |
|---|---|
| Wysyłanie zgłoszenia | 5 na 10 minut na zanonimizowany IP |
| Sprawdzanie sprawy (kod dostępu) | 10 na 3 minuty na zanonimizowany IP |
| Wysyłanie wiadomości | 10 na 3 minuty na zanonimizowany IP |
Limitowanie żądań wykorzystuje jednokierunkowy hasz IP opisany powyżej — żaden rzeczywisty adres IP nie jest przechowywany.
Audyt i zgodność #
Niezmienny dziennik audytu #
Każda akcja w EthicsPortal jest rejestrowana z następującymi danymi:
- Znacznik czasu (UTC)
- Wykonawca (który użytkownik lub proces systemowy wykonał akcję)
- Typ akcji (zgłoszenie utworzone, status zmieniony, wiadomość wysłana, prowadzący przypisany, zgłoszenie wyświetlone, zgłoszenie wyeksportowane, zgłoszenie usunięte itp.)
Wpisy dziennika audytu są tylko do zapisu. Nie mogą być edytowane ani usunięte przez żadnego użytkownika, w tym administratorów organizacji. Pełny dziennik audytu jest dołączany do eksportów spraw w formacie PDF do przeglądu regulacyjnego.
Przechowywanie danych #
Organizacje konfigurują własny okres przechowywania: 12, 24, 36 lub 60 miesięcy po zamknięciu zgłoszenia. Po upływie okresu przechowywania zgłoszenie i wszystkie powiązane dane (wiadomości, załączniki, wpisy dziennika audytu) są automatycznie i trwale usuwane przez zadanie w tle.
Spełnia to wymogi RODO dotyczące ograniczenia przechowywania (Art. 5(1)(e)) oraz obowiązki prowadzenia rejestrów z dyrektywy 2019/1937 (Art. 17–18).
Ochrona przed CSRF #
Wszystkie formularze są chronione przed fałszowaniem żądań cross-site za pomocą wbudowanych tokenów CSRF w Rails.
Infrastruktura #
| Komponent | Dostawca | Lokalizacja |
|---|---|---|
| Serwer aplikacji i baza danych | Hetzner | Norymberga, Niemcy (UE) |
| Przechowywanie plików | Cloudflare R2 | UE |
| E-maile transakcyjne | Postmark | USA (z przetwarzaniem w UE, standardowe klauzule umowne) |
| Przetwarzanie płatności | Stripe | UE |
- Całe przetwarzanie danych odbywa się w Unii Europejskiej.
- Na serwerach EthicsPortal nie są przechowywane numery kart kredytowych ani dane uwierzytelniające płatności. Wszystkie dane płatnicze są obsługiwane przez Stripe.
- Postmark jest używany do e-maili transakcyjnych (powiadomienia dla prowadzących, nie dla sygnalistów). Dostarczanie e-maili na serwery w USA jest objęte standardowymi klauzulami umownymi.
Odpowiedzialne ujawnianie #
Jeśli odkryjesz lukę w zabezpieczeniach EthicsPortal, prosimy o zgłoszenie na adres [email protected]. Prosimy, abyś:
- Nie ujawniał publicznie luki, zanim nie będziemy mieli możliwości jej naprawienia.
- Podał wystarczająco dużo szczegółów, abyśmy mogli odtworzyć i naprawić problem.
- Nie uzyskiwał dostępu do danych innych klientów ani ich nie modyfikował.
Potwierdzimy otrzymanie zgłoszenia w ciągu 2 dni roboczych i dążymy do szybkiego rozwiązania potwierdzonych luk.