Przejdź do treści
Lexiik
rollback

Bezpieczeństwo API: Ochrona danych i zgodność z RODO

Ostatnia aktualizacja : 9 février 2026

Bezpieczeństwo Twoich danych jest naszym najwyższym priorytetem. Dowiedz się, jak Lexiik chroni Twoje wrażliwe informacje według najwyższych branżowych standardów bezpieczeństwa, zapewniając jednocześnie pełną zgodność z RODO.

Certyfikat ISO 27001

Lexiik posiada certyfikat ISO 27001 (bezpieczeństwo informacji) i jest co roku audytowany przez niezależny podmiot. Twoje dane są chronione zgodnie z najbardziej rygorystycznymi normami międzynarodowymi.

Architektura bezpieczeństwa Lexiik

Bezpieczeństwo Lexiik opiera się na podejściu Defense in Depth (obrona warstwowa) z kilkoma niezależnymi warstwami ochrony. Nawet jeśli jedna warstwa zostanie naruszona, pozostałe gwarantują ochronę Twoich danych.

Szyfrowanie podczas transmisji (TLS 1.3)

Cała komunikacja między Twoim sklepem a serwerami Lexiik jest szyfrowana z użyciem TLS 1.3, najnowszego i najbardziej odpornego protokołu bezpieczeństwa:

  • Perfect Forward Secrecy (PFS): Nawet jeśli klucz zostanie skompromitowany, poprzednia komunikacja pozostaje bezpieczna
  • Certyfikaty SSL wildcard: *.lexiik.com oraz cdn.lexiik.com z automatycznym odnawianiem
  • HSTS włączone: Wymusza na przeglądarce korzystanie wyłącznie z HTTPS (brak możliwości degradacji do HTTP)
  • TLS 1.0/1.1 wyłączone: Przestarzałe protokoły zablokowane, akceptowane są tylko TLS 1.2 i 1.3

Warto wiedzieć

Ocena A+ w SSL Labs (wzorcowy test bezpieczeństwa SSL). Możesz w każdej chwili zweryfikować naszą konfigurację na ssllabs.com.

Szyfrowanie w spoczynku (AES-256)

Wszystkie dane przechowywane na serwerach Lexiik są szyfrowane algorytmem AES-256 (Advanced Encryption Standard, klucz 256-bitowy), uważanym za niemożliwy do złamania nawet przez samą NSA:

  • Baza danych: Pełne szyfrowanie PostgreSQL z Transparent Data Encryption (TDE)
  • Snapshoty: Każdy snapshot jest szyfrowany indywidualnie unikalnym kluczem pochodnym
  • Obrazy: Oryginalne obrazy (przed optymalizacją CDN) są szyfrowane w magazynie S3
  • Logi: Dzienniki audytu szyfrowane i podpisane kryptograficznie (niemożliwe do sfałszowania)

Same klucze szyfrowania są z kolei szyfrowane za pomocą Master Key przechowywanej w fizycznie zabezpieczonym HSM (Hardware Security Module) w naszych europejskich centrach danych.

Izolacja tenantów (bezpieczna wielodostępność)

Lexiik to platforma wielodostępna (multi-tenant), co oznacza, że wielu klientów współdzieli tę samą infrastrukturę. Aby zagwarantować pełną izolację między kontami:

  • Row-Level Security (RLS): Każde zapytanie SQL automatycznie filtruje dane według account_id
  • Izolowane przestrzenie nazw: Klucze API, webhooki i zadania asynchroniczne są izolowane na poziomie tenanta
  • Rate limiting per konto: Złośliwy klient nie może wpływać na wydajność innych
  • Limity zasobów: CPU, RAM, przestrzeń dyskowa i przepustowość ograniczone według planu (polityka fair-use)

Plan Enterprise: Dedicated Infrastructure

Klienci Enterprise mogą wybrać dedykowaną infrastrukturę (izolowane serwery i baza danych) dla pełnej fizycznej izolacji. Kontakt: [email protected]

Uwierzytelnianie i autoryzacja API

Klucze API: Generowanie i rotacja

API Lexiik używa tajnych kluczy API do uwierzytelniania żądań pochodzących z Twojego sklepu (przez Bridge) lub niestandardowych integracji:

  • Format: lxk_live_xxxxxxxxxxxxxxxxxxxxx (prefiks dla środowiska produkcyjnego) lub lxk_test_xxxxxxxxxxxxxxxxxxxxx (prefiks dla środowiska testowego)
  • Długość: 64 znaki (256 bitów entropii, czyli 2^256 możliwych kombinacji = 10^77)
  • Przechowywanie: Haszowane w bcrypt (koszt 12) w bazie danych, nigdy nie przechowywane w postaci jawnej
  • Zalecana rotacja: Co 90 dni dla planów Pro i wyższych

Generowanie klucza API:

  1. Przejdź do Ustawienia > API i integracje
  2. Kliknij Wygeneruj nowy klucz API
  3. Nadaj nazwę kluczowi (np. „Bridge Produkcja" lub „Skrypt migracji")
  4. Skopiuj wyświetlony klucz (nigdy nie zostanie pokazany ponownie!)
  5. Przechowuj go w menedżerze sekretów (1Password, Bitwarden, Vault itp.)

Uwaga

Ważne: NIGDY nie commituj klucza API do Gita, nawet w prywatnym repozytorium. Używaj zmiennych środowiskowych (.env) i dodaj .env do pliku .gitignore.

Zakresy i szczegółowe uprawnienia

Każdy klucz API może mieć ograniczone uprawnienia (zasada najmniejszego przywileju):

  • read:products: Odczyt kart produktów
  • write:products: Tworzenie i modyfikowanie kart produktów
  • read:audits: Przeglądanie raportów audytu SEO
  • write:audits: Uruchamianie audytu (zużywa kredyty)
  • read:snapshots: Dostęp do historii (Rollback)
  • write:snapshots: Przywracanie snapshotu (wrażliwa akcja)
  • admin:all: Pełny dostęp (zarezerwowany dla administratorów)

Przykład: klucz API używany wyłącznie do wyświetlania KPI na wewnętrznym dashboardzie można ograniczyć do read:products i read:audits.

Rate limiting i ochrona przed nadużyciami

API Lexiik wdraża ścisły rate limiting, aby zapobiegać nadużyciom i gwarantować dostępność:

  • Plan Darmowy: 100 żądań / godzinę
  • Plan Starter: 500 żądań / godzinę
  • Plan Pro: 2 000 żądań / godzinę
  • Plan Expert: 10 000 żądań / godzinę
  • Plan Enterprise: Bez limitu (polityka fair-use z alertem przy 50 000 żądaniach/h)

W przypadku przekroczenia limitu API zwraca kod HTTP 429 Too Many Requests z nagłówkiem Retry-After wskazującym, ile sekund należy odczekać.

Warto wiedzieć

Bridge Lexiik (moduł dla CMS) korzysta z wyższego limitu, ponieważ żądania są grupowane (przetwarzanie wsadowe). Synchronizacja 1000 produktów = 1 żądanie API.

Zgodność z RODO (Ogólne Rozporządzenie o Ochronie Danych)

Lexiik w pełni przestrzega RODO (Rozporządzenie Europejskie 2016/679) i stosuje zasady Privacy by Design od samego początku projektowania każdej funkcjonalności.

Hosting w 100% europejski

Wszystkie Twoje dane są przechowywane wyłącznie w Unii Europejskiej:

  • Główne centrum danych: OVHcloud Gravelines (Francja)
  • Replikacja wtórna: OVHcloud Strasburg (Francja)
  • Replikacja trzeciorzędna: Hetzner Falkenstein (Niemcy)
  • CDN Edge: 35 punktów obecności na świecie, ale wrażliwe dane nigdy nie są buforowane poza UE

Twoje dane NIGDY nie przechodzą przez Stany Zjednoczone ani żaden kraj spoza UE. Nie korzystamy z AWS, Google Cloud ani Azure (dostawcy podlegający amerykańskiemu Cloud Act).

Sukces

Lexiik jest zarejestrowany w CNIL (Commission Nationale de l'Informatique et des Libertés) i posiada certyfikowanego Inspektora Ochrony Danych (DPO).

Minimalizacja zbieranych danych

Lexiik zbiera wyłącznie dane ściśle niezbędne do działania usługi:

Zbierane dane:

  • E-mail (uwierzytelnianie i powiadomienia)
  • Imię i nazwisko (fakturowanie)
  • Dane płatnicze (przechowywane przez Stripe, certyfikat PCI-DSS poziom 1)
  • Karty produktów (tytuł, opis, zdjęcia, cena publiczna, kategorie)
  • Logi techniczne (IP, user-agent, znacznik czasu) przechowywane maksymalnie 90 dni

Dane NIGDY niezbierane:

  • Dane osobowe Twoich klientów końcowych (e-maile, adresy, historia zakupów)
  • Numery kart bankowych (delegowane do Stripe)
  • Hasła w postaci jawnej (haszowane w Argon2id)
  • Dane nawigacyjne w Twoim sklepie (nie jesteśmy narzędziem analitycznym)

Twoje prawa wynikające z RODO

Przysługują Ci wszystkie prawa przewidziane przez RODO, dostępne bezpośrednio z Twojego konta Lexiik:

  • Prawo dostępu (Art. 15): Pobierz wszystkie swoje dane w formacie JSON (Ustawienia > Eksportuj moje dane)
  • Prawo do sprostowania (Art. 16): Modyfikuj swoje dane osobowe w dowolnym momencie
  • Prawo do usunięcia (Art. 17): Trwale usuń swoje konto i wszystkie dane (Ustawienia > Usuń moje konto)
  • Prawo do przenoszenia danych (Art. 20): Eksportuj dane w standardowym formacie (JSON, CSV)
  • Prawo sprzeciwu (Art. 21): Odmów przetwarzania niektórych danych (np. e-maile marketingowe)
  • Prawo do ograniczenia przetwarzania (Art. 18): Tymczasowo zawieś przetwarzanie swoich danych

Aby skorzystać ze swoich praw lub skontaktować się z naszym DPO: [email protected]

Warto wiedzieć

Gwarantowany czas odpowiedzi: 72 godziny na wniosek o dostęp, maksymalnie 30 dni na pełne usunięcie (zgodnie z Art. 12 RODO).

Audyty bezpieczeństwa i certyfikaty

Regularne testy penetracyjne

Lexiik jest regularnie poddawany testom penetracyjnym (pentestom) przeprowadzanym przez wyspecjalizowane firmy:

  • Częstotliwość: 1 pełny pentest co 6 miesięcy (plany Pro i Enterprise)
  • Zakres: Aplikacja webowa, API, infrastruktura, Bridge (moduły CMS)
  • Metodologia: OWASP Testing Guide v4.2 + PTES (Penetration Testing Execution Standard)
  • Raport: Raport z audytu dostępny na żądanie dla klientów Enterprise

Krytyczne i wysokie podatności są usuwane w ciągu 48 godzin, średnie w ciągu 7 dni, niskie w ciągu 30 dni.

Program Bug Bounty

Lexiik prowadzi program Bug Bounty (nagroda za podatności) zachęcający badaczy bezpieczeństwa do zgłaszania luk:

  • Platforma: YesWeHack (europejska platforma bug bounty)
  • Nagrody: Od 100 € do 5 000 € w zależności od krytyczności (ocena CVSS)
  • Scope: app.lexiik.com, api.lexiik.com, cdn.lexiik.com, moduły Bridge
  • Czas odpowiedzi: Mniej niż 24 godziny dla ważnych zgłoszeń

Dostęp do programu: yeswehack.com/programs/lexiik

Certyfikaty i zgodności

Lexiik posiada następujące certyfikaty:

  • ISO 27001: Bezpieczeństwo informacji (audytowany przez Bureau Veritas)
  • SOC 2 Type II: Dostępność, poufność, integralność (w trakcie certyfikacji)
  • RODO: Pełna zgodność, certyfikowany DPO, zarejestrowany w CNIL
  • HDS (Hosting Danych Zdrowotnych): Nie dotyczy (wyłącznie e-commerce)
  • PCI-DSS poziom 1: Poprzez Stripe (procesor płatności)

Funkcja Premium

Klienci Enterprise mogą wnioskować o spersonalizowany audyt zgodności (SOC 2, ISO 27001 itp.), aby spełnić swoje wewnętrzne wymagania.
Skontaktuj się z zespołem Enterprise →

Dobre praktyki bezpieczeństwa dla użytkowników

Zarządzanie kluczami API

Aby zapewnić bezpieczeństwo swojego konta, stosuj poniższe dobre praktyki:

  • Nigdy nie udostępniaj klucza API: Utwórz dedykowany klucz dla każdej usługi/dewelopera
  • Regularna rotacja: Zmieniaj klucze co 90 dni (możliwe do automatyzacji przez API)
  • Nazwij swoje klucze: „Bridge Produkcja", „Skrypt Analytics", „Integracja Zapier" itp.
  • Unieważniaj nieużywane klucze: Usuwaj klucze byłych kontrahentów lub dezaktywowanych skryptów
  • Zmienne środowiskowe: Nigdy nie wpisuj kluczy na stałe w kodzie źródłowym

Bezpieczeństwo haseł

Twoje konto Lexiik jest chronione następującymi środkami:

  • Haszowanie Argon2id: Algorytm zalecany przez OWASP (odporny na GPU i ASIC)
  • Unikalny salt: Każde hasło ma losowy 128-bitowy salt
  • Polityka złożoności: Minimum 12 znaków, co najmniej 1 wielka litera, 1 cyfra i 1 znak specjalny
  • Ochrona przed brute-force: Blokada po 5 nieudanych próbach (odblokowanie przez e-mail)
  • 2FA dostępne: Uwierzytelnianie dwuskładnikowe przez TOTP (Google Authenticator, Authy) – zdecydowanie zalecane

Włącz 2FA

Włączenie uwierzytelniania dwuskładnikowego zmniejsza ryzyko włamania na konto o 99,9%, nawet jeśli hasło zostało skompromitowane. Włącz je w Ustawienia > Bezpieczeństwo.

Monitorowanie konta

Lexiik automatycznie powiadamia Cię o podejrzanej aktywności:

  • Logowanie z nowego kraju: E-mail z linkiem potwierdzającym
  • Nowe urządzenie: Powiadomienie push, jeśli aplikacja mobilna jest zainstalowana
  • Utworzenie klucza API: E-mail podsumowujący z nazwą i uprawnieniami
  • Zmiana metody płatności: Podwójne potwierdzenie e-mailem + SMS
  • Nieudane próby logowania: Alert po 3 błędach

Przeglądaj pełną historię logowań w Ustawienia > Aktywność konta.

Podsumowanie

Bezpieczeństwo Lexiik opiera się na wielowarstwowym podejściu (Defense in Depth) z najwyższymi branżowymi standardami:

  • Szyfrowanie: TLS 1.3 podczas transmisji + AES-256 w spoczynku
  • Uwierzytelnianie: 256-bitowe klucze API + dostępne 2FA
  • Hosting: 100% europejski (Francja + Niemcy), nigdy w USA
  • Zgodność: Pełne RODO, ISO 27001, SOC 2 Type II w toku
  • Audyty: Półroczne pentesty + aktywny Bug Bounty

Twoje dane są chronione na takim samym poziomie bezpieczeństwa jak w bankach internetowych i instytucjach finansowych.

Sukces

Masz pytania lub szczególne wymagania dotyczące bezpieczeństwa? Nasz zespół Security jest do Twojej dyspozycji.
Skontaktuj się z zespołem bezpieczeństwa →

Powiązane artykuły: Gwarancja Rollback · Retencja danych · Podłączanie sklepu