bezpieczeństwo

Bezpieczeństwo danych

Powierzasz nam bazę swoich klientów. Traktujemy to serio. Poniżej konkretnie, gdzie trzymamy dane, jak je szyfrujemy i kto jeszcze je przetwarza. Bez marketingowej mgły.

Gdzie trzymamy Twoje dane

Serwery i kopie zapasowe stoją w OVHcloud w Warszawie. Dane, które hostujemy, pozostają w Unii Europejskiej. Transmisja jest zawsze szyfrowana (TLS), a dostęp do bazy mają wyłącznie procesy aplikacji, z izolacją między salonami — jeden salon nigdy nie widzi danych drugiego.

Szyfrowanie danych wrażliwych

Dane szczególnej kategorii (RODO art. 9) — alergie, notatki i dokumentacja zabiegowa klientów — szyfrujemy na poziomie pojedynczego pola, zanim trafią do bazy.

  • Algorytm AES-256-GCM — uwierzytelnione szyfrowanie, które wykrywa każdą próbę podmiany danych.
  • Losowy wektor (nonce) dla każdego zapisu — ten sam tekst daje za każdym razem inny szyfrogram, brak wycieku przez powtarzalność.
  • Klucz szyfrujący jest oddzielony od bazy. Bez niego zawartość tych pól pozostaje nieczytelna nawet przy dostępie do samej bazy.

Podstawowe dane kontaktowe (imię, e-mail, telefon) chronimy izolacją między salonami, szyfrowaniem transmisji i hostingiem w UE — nie szyfrujemy ich na poziomie pola świadomie, bo to uniemożliwiłoby wyszukiwanie i rozpoznawanie klientów, których sam potrzebujesz.

Kto jeszcze przetwarza Twoje dane

Do działania serwisu korzystamy z zaufanych podwykonawców (podmiotów przetwarzających):

  • Stripe — płatności online i zadatki (standard PCI-DSS; numeru karty nigdy nie widzimy ani nie przechowujemy).
  • OVHcloud — hosting i kopie zapasowe (Warszawa).
  • Postmark — e-maile transakcyjne (potwierdzenia, przypomnienia, kody).
  • SMSAPI — powiadomienia SMS (Polska).

Każdy z nich jest związany umową powierzenia. Tam, gdzie pojedyncze dane trafiają poza EOG (część usług płatniczych i mailowych), transfer opieramy na standardowych klauzulach umownych. Pełną, aktualną listę znajdziesz w Polityce prywatności.

Twoje dane należą do Ciebie

  • Eksport jednym kliknięciem — całą bazę klientów pobierzesz w każdej chwili.
  • Usunięcie na żądanie — kasujemy konto i dane, gdy zdecydujesz.
  • Zero vendor lock-in — wychodzisz z tym, co Twoje, bez zakładników.

Umowa powierzenia i kontakt

Prowadzisz gabinet albo klinikę i potrzebujesz podpisanej umowy powierzenia przetwarzania danych (DPA)? Przygotujemy i podpiszemy — napisz na kontakt@bookito.pl. Pod ten sam adres pisz w każdej sprawie dotyczącej danych i bezpieczeństwa.