Bezpieczeństwo danych
Powierzasz nam bazę swoich klientów. Traktujemy to serio. Poniżej konkretnie, gdzie trzymamy dane, jak je szyfrujemy i kto jeszcze je przetwarza. Bez marketingowej mgły.
Gdzie trzymamy Twoje dane
Serwery i kopie zapasowe stoją w OVHcloud w Warszawie. Dane, które hostujemy, pozostają w Unii Europejskiej. Transmisja jest zawsze szyfrowana (TLS), a dostęp do bazy mają wyłącznie procesy aplikacji, z izolacją między salonami — jeden salon nigdy nie widzi danych drugiego.
Szyfrowanie danych wrażliwych
Dane szczególnej kategorii (RODO art. 9) — alergie, notatki i dokumentacja zabiegowa klientów — szyfrujemy na poziomie pojedynczego pola, zanim trafią do bazy.
- Algorytm AES-256-GCM — uwierzytelnione szyfrowanie, które wykrywa każdą próbę podmiany danych.
- Losowy wektor (nonce) dla każdego zapisu — ten sam tekst daje za każdym razem inny szyfrogram, brak wycieku przez powtarzalność.
- Klucz szyfrujący jest oddzielony od bazy. Bez niego zawartość tych pól pozostaje nieczytelna nawet przy dostępie do samej bazy.
Podstawowe dane kontaktowe (imię, e-mail, telefon) chronimy izolacją między salonami, szyfrowaniem transmisji i hostingiem w UE — nie szyfrujemy ich na poziomie pola świadomie, bo to uniemożliwiłoby wyszukiwanie i rozpoznawanie klientów, których sam potrzebujesz.
Kto jeszcze przetwarza Twoje dane
Do działania serwisu korzystamy z zaufanych podwykonawców (podmiotów przetwarzających):
- Stripe — płatności online i zadatki (standard PCI-DSS; numeru karty nigdy nie widzimy ani nie przechowujemy).
- OVHcloud — hosting i kopie zapasowe (Warszawa).
- Postmark — e-maile transakcyjne (potwierdzenia, przypomnienia, kody).
- SMSAPI — powiadomienia SMS (Polska).
Każdy z nich jest związany umową powierzenia. Tam, gdzie pojedyncze dane trafiają poza EOG (część usług płatniczych i mailowych), transfer opieramy na standardowych klauzulach umownych. Pełną, aktualną listę znajdziesz w Polityce prywatności.
Twoje dane należą do Ciebie
- Eksport jednym kliknięciem — całą bazę klientów pobierzesz w każdej chwili.
- Usunięcie na żądanie — kasujemy konto i dane, gdy zdecydujesz.
- Zero vendor lock-in — wychodzisz z tym, co Twoje, bez zakładników.
Umowa powierzenia i kontakt
Prowadzisz gabinet albo klinikę i potrzebujesz podpisanej umowy powierzenia przetwarzania danych (DPA)? Przygotujemy i podpiszemy — napisz na kontakt@bookito.pl. Pod ten sam adres pisz w każdej sprawie dotyczącej danych i bezpieczeństwa.