Centrum bezpieczeństwa

Bezpieczeństwo i zgodność

Plumm przetwarza wrażliwe dane finansowe i podatkowe Twoich firm. Bezpieczeństwo jest fundamentem naszej architektury — nie dodatkiem. Poniżej opisujemy konkretne środki techniczne i organizacyjne, które stosujemy w codziennej pracy.

Zgodność regulacyjna

RODO / GDPR

Rozporządzenie (UE) 2016/679 — środki techniczne i organizacyjne adekwatne do ryzyka

Ustawa o rachunkowości

Dokumentacja przechowywana zgodnie z art. 74

Ordynacja podatkowa

Retencja dokumentów podatkowych zgodna z art. 86

Ustawa o KSeF

Faktury w formacie FA(3), integracja z API MF

PayU S.A.

Dane kart płatniczych obsługuje wyłącznie PayU S.A. — certyfikowany dostawca PCI DSS Level 1

KSeF FA(3) / API MF

Faktury w standardzie FA(3), szyfrowanie RSA-OAEP + AES-256-CBC wg specyfikacji MF

RODO i powierzenie danych

Przetwarzamy dane osobowe zgodnie z RODO. Szczegóły znajdziesz w polityce prywatności. Jeśli powierzasz nam dane swoich pracowników lub kontrahentów, stosujemy umowę powierzenia przetwarzania danych osobowych (art. 28 RODO). Kopie zapasowe są szyfrowane; retencja i częstotliwość backupów opisane są w sekcji infrastruktury poniżej.

Szyfrowanie danych

Wszystkie połączenia z platformą są szyfrowane protokołem TLS 1.2+ (HTTPS). Połączenia nieszyfrowane są automatycznie przekierowywane.
Dane w spoczynku (at rest) szyfrowane są algorytmem AES-256-GCM z losowym wektorem inicjalizacyjnym (IV) dla każdego rekordu.
Hasła użytkowników przechowywane są wyłącznie jako hash bcrypt (12 rund solenia) — nigdy w postaci jawnej.
Wrażliwe tokeny API (np. tokeny KSeF) szyfrowane są AES-256-GCM przed zapisem do bazy danych.

Uwierzytelnianie i kontrola dostępu

Dwuskładnikowe uwierzytelnianie (2FA) jest dostępne i zalecane dla wszystkich kont. Aktywacja: po zalogowaniu — panel Plumm → sekcja Firma → Konto i bezpieczeństwo (ścieżka /dashboard/konto).
2FA oparte jest na standardzie TOTP (Time-based One-Time Password, RFC 6238) z aplikacjami takimi jak Google Authenticator lub Authy.
Sesje użytkowników wygasają automatycznie po 14 dniach od ostatniego logowania.
Wielokrotne nieudane próby logowania powodują tymczasowe zablokowanie konta i powiadomienie e-mail.
Kontrola dostępu oparta na rolach (RBAC): właściciel, księgowy i pracownik — każda rola ma precyzyjnie ograniczony zakres uprawnień. Właściciel definiuje granularne uprawnienia dla zaproszonych pracowników.

Infrastruktura i dostępność

Platforma hostowana jest na dedykowanej infrastrukturze serwerowej VPS z lokalizacją w Europie.
Baza danych PostgreSQL hostowana na własnym serwerze dedykowanym. Dane klientów nie opuszczają Europejskiego Obszaru Gospodarczego.
Regularne zaszyfrowane kopie zapasowe bazy danych z retencją minimum 7 dni.
Monitoring dostępności 24/7 — alerty uruchamiane przy niedostępności powyżej 1 minuty.
Planowane przerwy techniczne ogłaszane z co najmniej 24-godzinnym wyprzedzeniem.

Monitorowanie i audyt

Wszystkie krytyczne operacje (zamknięcie miesiąca, usunięcie dokumentu, zmiana danych firmy, eksport danych) są rejestrowane w dzienniku audytu z datą, użytkownikiem i adresem IP.
Dziennik audytu jest niemodyfikowalny przez użytkowników — dostęp do niego ma wyłącznie administrator systemu.
Monitoring błędów i anomalii zabezpieczeń przez Sentry (EU region). Raporty błędów nie zawierają danych finansowych ani haseł.
Ograniczanie liczby żądań (rate limiting) na wszystkich endpoint'ach API chroni przed atakami brute-force i DDoS.

Integracja z KSeF i organami podatkowymi

Tokeny KSeF (Ministerstwo Finansów) przechowywane są w zaszyfrowanej postaci (AES-256-GCM) i deszyfrowane wyłącznie w momencie wykonania operacji.
Komunikacja z API KSeF odbywa się wyłącznie przez szyfrowane połączenie HTTPS z weryfikacją certyfikatu.
Pliki JPK generowane lokalnie w systemie — nie są przesyłane do zewnętrznych usług innych niż KSeF i Ministerstwo Finansów.
Klucze szyfrowania KSeF generowane są zgodnie ze specyfikacją techniczną MF (RSA-OAEP + AES-256-CBC).

Zarządzanie podatnościami

Zależności npm aktualizowane są regularnie z automatycznym skanowaniem pod kątem znanych podatności (CVE).
Nagłówki HTTP bezpieczeństwa: Content-Security-Policy (CSP), Strict-Transport-Security (HSTS, 2 lata), X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.
Polityka HSTS preload aktywna w środowisku produkcyjnym.
Testy penetracyjne zaplanowane na II kwartał 2026 r. Po ich przeprowadzeniu raport będzie dostępny na żądanie dla klientów Enterprise.

Reagowanie na incydenty

W przypadku naruszenia ochrony danych osobowych dążymy do zgłoszenia do Prezesa UODO bez zbędnej zwłoki, w terminie przewidzianym w art. 33 RODO (co do zasady do 72 godzin od stwierdzenia naruszenia, o ile ma ono charakter naruszenia w rozumieniu tego przepisu).
Dotknięci użytkownicy są niezwłocznie powiadamiani z opisem zakresu naruszenia i zalecanych kroków ochronnych.
Plumm posiada wewnętrzny plan reagowania na incydenty bezpieczeństwa (Incident Response Plan).
Zgłoszenia podatności przyjmujemy na adres: biuro@plumm.pl (temat: [SECURITY]). Zobowiązujemy się do odpowiedzi w ciągu 48h.

Masz pytania lub znalazłeś podatność?

Zespół bezpieczeństwa jest dostępny pod adresem biuro@plumm.pl (temat: [SECURITY]). Zobowiązujemy się do odpowiedzi w ciągu 48 godzin. Dla klientów Enterprise dostępna jest pełna dokumentacja środków bezpieczeństwa. Raport z testów penetracyjnych będzie udostępniany po ich przeprowadzeniu (planowane Q2 2026) — skontaktuj się z opiekunem konta.

Ostatnia aktualizacja dokumentu: 19 marca 2026 r. · PLUMM Sp. z o.o., NIP 5833564025

Ładowanie...

RODO i powierzenie danych

Masz pytania lub znalazłeś podatność?

Ostatnia aktualizacja dokumentu: 19 marca 2026 r. · PLUMM Sp. z o.o., NIP 5833564025