Skip to content
ESOF Shield CertifiedGDPR CompliantSOC 2 Compliance in Progress

Bezpieczeństwo i zgodność

Audytowane, szyfrowane i widoczne tylko dla Ciebie.

Niezależnie audytowane, hostowane w UE i szyfrowane end-to-end. Twoje faktury i dane bankowe pozostają prywatne, nawet dla nas.

Obrona wielowarstwowa

Bezpieczeństwo wbudowane w każdą warstwę.

Twoje dane nigdy nie opuszczają UE

Wszystkie Twoje faktury, transakcje bankowe i dokumenty są przechowywane we Frankfurcie w Niemczech. Nic nie jest przesyłane ani przechowywane w USA ani poza Unią Europejską. Dotyczy to wszystkiego: plików, rekordów w bazie danych i kopii zapasowych.

Nie mamy wglądu w Twoje dokumenty

Pracownicy Invoflux nie mają dostępu do Twoich faktur, danych bankowych ani dokumentów finansowych. Dane są izolowane na poziomie bazy danych, co oznacza, że nawet w przypadku błędu w aplikacji, dane jednej firmy nie mogą wyciec do innej. To nie jest tylko polityka, to sposób, w jaki zbudowany jest system.

Pełna zgodność z RODO

Działamy jako podmiot przetwarzający dane zgodnie z RODO. Możesz wyeksportować wszystkie swoje dane lub trwale usunąć konto w dowolnym momencie, bezpośrednio z ustawień. Przetwarzamy dane wyłącznie na Twoje polecenie i nigdy nikomu ich nie udostępniamy.

Wszystko jest szyfrowane

Twoje dokumenty są szyfrowane podczas przesyłania do i z naszych serwerów (TLS 1.3) oraz ponownie po zapisaniu (AES-256-GCM, ten sam standard, którego używają banki). Poświadczenia połączonych kont są szyfrowane oddzielnie własnymi kluczami i nigdy nie są przechowywane jako tekst jawny.

Prosimy tylko o to, co niezbędne

Podłączając Gmaila lub bank, prosimy o absolutne minimum wymaganych uprawnień. Dostęp do Gmaila jest tylko do odczytu i ograniczony do skanowania wiadomości z fakturami. Dostęp do banku dotyczy tylko danych transakcyjnych w trybie odczytu. Nigdy nie wysyłamy wiadomości w Twoim imieniu, niczego nie modyfikujemy i nie uzyskujemy dostępu do większej liczby danych niż to konieczne.

Każde działanie jest rejestrowane

Każde logowanie, dostęp do pliku, eksport danych i zdarzenie integracji jest rejestrowane wraz z sygnaturą czasową i szczegółami. Każda firma ma własny, oddzielny dziennik zdarzeń. Informacje wrażliwe, takie jak adresy e-mail i numery IBAN, są automatycznie usuwane z logów, aby nie mogły zostać ujawnione.

Każda firma jest całkowicie odizolowana

Jeśli zarządzasz wieloma firmami lub Twój księgowy obsługuje kilku klientów, każda przestrzeń robocza jest oddzielona na poziomie bazy danych przy użyciu Row-Level Security. Nie ma możliwości przypadkowego (ani celowego) uzyskania dostępu do danych innej firmy, nawet z poziomu aplikacji.

Zweryfikowane przez Google

Invoflux przeszedł ocenę bezpieczeństwa CASA Tier 2, najwyższy certyfikat oferowany przez Google dla aplikacji korzystających z Gmaila i Dysku. Obejmowało to zewnętrzny audyt bezpieczeństwa i potwierdza, że prosimy tylko o minimalne uprawnienia. Certyfikat jest odnawiany co roku.

Ochrona przed atakami

Punkty końcowe logowania i uwierzytelniania są chronione za pomocą limitów szybkości, aby zapobiec atakom typu brute-force. Dane wrażliwe, takie jak tokeny sesji, są przechowywane po stronie serwera w bezpiecznych plikach cookie i nigdy nie są udostępniane przeglądarce. Regularnie przeprowadzamy skanowanie bezpieczeństwa, aby wykryć luki, zanim staną się problemem.

Pytania

Najczęściej zadawane pytania

Jakie usługi stron trzecich mają dostęp do moich danych?

Korzystamy z Supabase (baza danych i przechowywanie plików w UE), Salt Edge (połączenia bankowe w trybie odczytu, z siedzibą w UE) oraz OpenAI (wyłącznie do ekstrakcji danych z faktur, bez retencji danych po ich stronie). Wszystkie usługi są umownie zobowiązane do przestrzegania standardów przetwarzania danych w UE.

Co stanie się z moimi danymi, jeśli zrezygnuję?

Możesz najpierw wyeksportować wszystko, a następnie usunąć konto. Usunięcie jest trwałe i usuwa wszystkie Twoje dokumenty, rekordy transakcji oraz dane osobowe z naszych systemów.

Czy sprzedajecie lub udostępniacie moje dane?

Nie. Nigdy. Twoje dane finansowe należą do Ciebie. Nie monetyzujemy ich, nie udostępniamy reklamodawcom ani nie wykorzystujemy do niczego innego poza świadczeniem usługi, na którą się zapisałeś.

Przetwarzanie danych

Jak przetwarzamy Twoje dane

  • Przechowywane w UE, opcjonalnie kopiowane do Twojej chmury: Twoje faktury znajdują się w szyfrowanej pamięci w UE. Możesz również kopiować je na własny Dysk Google, OneDrive, Dropbox lub Box, gdzie Invoflux ma dostęp tylko do folderów, które sam utworzy.
  • Dane strukturalne, w pełni przeszukiwalne: dostawca, numer faktury, data, kwoty i status dopasowania są ekstrahowane, dzięki czemu wszystko jest przeszukiwalne i uzgodnione.
  • Brak trenowania AI: dane użytkowników nigdy nie są wykorzystywane do trenowania publicznych modeli.
  • Przejrzystość podwykonawców: wszyscy zgodni z wymogami UE.
  • Pełna kontrola retencji: usuwaj dane w dowolnym momencie.

Open banking

Open Banking i zgodność z PSD2

Jak działają połączenia bankowe

  • Uwierzytelniasz się bezpośrednio w swoim banku.
  • Dane logowania nigdy nie są udostępniane Invoflux.
  • Dostęp jest wyłącznie do odczytu i zgodny z PSD2.
  • Pobierane są tylko wymagane dane transakcyjne.

Regulowany dostęp do danych bankowych

Zasięg licencji PSD2

Dostęp do banku zapewnia w pełni regulowany dostawca zgodny z PSD2.

eIDAS i silne uwierzytelnianie klienta

Wszystkie połączenia wykorzystują kwalifikowane certyfikaty i zasady PSD2 SCA.

Dane finansowe tylko do odczytu

Płatności nie mogą być inicjowane, a dane logowania nie są przechowywane ani widoczne.

Dlaczego to ważne

  • Brak narażenia danych logowania
  • W pełni regulowany dostęp zgodny ze standardami UE
  • Tylko do odczytu, bezpiecznie i zgodnie z przepisami
  • Użytkownik zachowuje pełną kontrolę

Twoje prawa

Zgodność z RODO

Twoje prawa

  • Dostęp do swoich danych
  • Przenoszenie danych
  • Usunięcie danych
  • Ograniczenie lub sprzeciw
  • Brak zautomatyzowanego podejmowania decyzji bez zgody

Umowa powierzenia przetwarzania danych

Dostępna na żądanie pod adresem [email protected].

Wzmocnienie ochrony

Nagłówki bezpieczeństwa

Invoflux wdraża kompleksowe nagłówki bezpieczeństwa w celu ochrony przed typowymi lukami w zabezpieczeniach sieci:

  • Strict-Transport-Security: Wymusza połączenia HTTPS
  • X-Frame-Options: Zapobiega atakom typu clickjacking
  • X-Content-Type-Options: Zapobiega sniffingowi typów MIME
  • Content-Security-Policy: Ogranicza ataki XSS
  • Permissions-Policy: Kontroluje dostęp do funkcji przeglądarki
  • Referrer-Policy: Kontroluje informacje udostępniane podczas nawigacji między stronami

Bezpieczeństwo, które możesz zweryfikować.

Zacznij za darmo i zobacz, jak Invoflux chroni Twoje dane od pierwszego dnia.

Zacznij za darmo

Skontaktuj się z nami

Kontakt

W przypadku pytań dotyczących bezpieczeństwa lub zgodności: