Dokument prawny
Bezpieczeństwo
Ostatnia aktualizacja: 29 czerwca 2026
1. Minimalizacja danych
Paczesny Analytics jest z założenia wolny od plików cookie. Tracker analityczny nie ustawia żadnych plików cookie i nie zbiera danych bezpośrednio identyfikujących. Surowy adres IP nie jest przechowywany w ramach danych analityki odwiedzin; odwiedzający są reprezentowani wyłącznie przez codziennie rotowany pseudonimowy identyfikator.
2. Pseudonimizacja
Identyfikator odwiedzającego jest wyliczany po stronie serwera jako solony skrót identyfikatora witryny, adresu IP, klienta użytkownika (user agent) oraz soli rotowanej każdego dnia w czasie UTC: sha256(siteId + ip + user-agent + dzienna sól). Ponieważ sól zmienia się codziennie, a dane wejściowe nie są przechowywane, tego samego odwiedzającego nie można powiązać między dniami, a identyfikatora nie można odwrócić do adresu IP.
3. Szyfrowanie w trakcie przesyłania
Każde połączenie z usługą — panel, punkt zbierania zdarzeń oraz API — jest obsługiwane wyłącznie przez TLS. Nieszyfrowany HTTP jest przekierowywany na HTTPS.
4. Szyfrowanie w spoczynku
Wrażliwe dane uwierzytelniające są szyfrowane w spoczynku. Tokeny odświeżania OAuth Google są przechowywane z użyciem uwierzytelnionego szyfrowania AES-256-GCM, a magazyn bazy danych jest chroniony na poziomie infrastruktury.
5. Infrastruktura hostingowa
Usługa działa na samodzielnie hostowanej infrastrukturze na Oracle Cloud Infrastructure pod naszą bezpośrednią kontrolą, w regionie Amsterdam w Holandii (eu-amsterdam-1) — w obszarze UE/EOG. Nie przekazujemy Twoich danych zewnętrznym, zarządzanym platformom analitycznym.
6. Kontrola dostępu
Dostęp do panelu wymaga uwierzytelnienia, a uwierzytelnianie dwuskładnikowe (MFA) jest dostępne. Dane aplikacji są przypisane do właściciela konta, a kolekcje wrażliwe są dostępne wyłącznie przez administracyjne konta serwisowe na serwerze — nigdy bezpośrednio z przeglądarki.
7. Retencja danych
Surowe dane zdarzeń są przechowywane przez 30 dni, a następnie usuwane przez automatyczny proces retencji; analityka zagregowana jest przechowywana do czasu usunięcia witryny lub konta. Dziennik dostarczania alertów jest przechowywany przez 90 dni. Zapisy akceptacji dokumentów prawnych są przechowywane tak długo, jak jest to niezbędne do wykazania tej akceptacji (art. 17 ust. 3 lit. b RODO).
8. Zgłaszanie naruszeń
W przypadku naruszenia ochrony danych osobowych powiadamiamy dotkniętych klientów bez zbędnej zwłoki i w ciągu 72 godzin od stwierdzenia naruszenia, zgodnie z naszą Umową Powierzenia Przetwarzania Danych Osobowych. Zgłoszenia naruszeń i kwestie bezpieczeństwa można kierować na adres dpa@paczesny.pl.
9. Odpowiedzialne ujawnianie
Jeśli odkryjesz lukę w zabezpieczeniach, zgłoś ją na adres bartek@paczesny.pl i daj nam rozsądny czas na jej usunięcie przed jakimkolwiek publicznym ujawnieniem. Dążymy do potwierdzenia zgłoszeń w ciągu pięciu dni roboczych.
10. Certyfikaty
Nasz aktualny status certyfikacji opisano poniżej.
Nie posiadamy aktualnie certyfikatów SOC 2 ani ISO 27001. Certyfikacje te wymagają znacznych, stałych nakładów; wrócimy do nich, gdy będą wymagane przez kontrakty enterprise. Nasze podejście do bezpieczeństwa jest opisane w całości na tej stronie.
11. Bezpieczeństwo podmiotów podprzetwarzających
Korzystamy z ograniczonego zestawu podmiotów podprzetwarzających i nakładamy na każdy z nich obowiązki w zakresie ochrony danych. Aktualna lista, z celami i lokalizacjami, jest opublikowana pod adresem /sub-processors.
12. Polityka plików cookie
Tracker analityczny nie używa plików cookie. Jedynym plikiem cookie, jaki ustawia usługa, jest techniczny token sesji niezbędny do utrzymania zalogowania w panelu.
13. Dokumentacja prawna
Powiązane dokumenty: nasza Polityka prywatności, Regulamin, Umowa Powierzenia Przetwarzania Danych Osobowych oraz lista Pod-procesorów.