TRUEINGS

Bezpieczeństwo i zgodność

Gdzie znajdują się dane i czego nie zawierają.

Napisane dla działów zakupów, bezpieczeństwa IT i recenzentów prawnych. Bez marketingowej otoczki, tylko fakty w obecnym stanie, w tym rzeczy, których jeszcze nie deklarujemy.

Adres URL do przekazywania dalej. Jeśli Twój zespół ds. bezpieczeństwa potrzebuje kwestionariusza dla dostawcy lub kontrasygnowanej DPA, zobacz Kontakt na dole.

Mała kamienna twierdza z jednym ciepło oświetlonym wejściem, o świcie na cichej łące: ochrona z założenia, a nie siłą.

Podmioty przetwarzające

Gdzie przetwarzane są Twoje dane.

Pełna lista podmiotów trzecich, które mają styczność z danymi ocenianych osób lub respondentów, wraz z regionem i podstawą transferu. Anthropic znajduje się w Stanach Zjednoczonych i jest objęty standardowymi klauzulami umownymi; wszystko inne jest w UE.

UsługaCelRegionPodstawa transferu
Supabase
supabase.com/security
Zarządzana baza Postgres (dane ocenianych osób i respondentów, egzekwowane przez RLS), logowanie bez hasła.UEW obrębie UE.
Anthropic
trust.anthropic.com
Wnioskowanie LLM dla Projektanta Kryteriów, Prowadzącego Rozmowę i Syntezatora.Stany ZjednoczoneUE → USA na podstawie standardowych klauzul umownych, podpisana umowa DPA z Anthropic. Wyłącznie Messages API, bez Batch, Files ani serwerowej Memory.
Resend
resend.com/legal/security
Transakcyjna poczta e-mail (logowanie linkiem, zaproszenia dla respondentów, przypomnienia).UEW obrębie UE.
Stripe
stripe.com/privacy
Obsługa płatności dla planów $50 jednorazowo i $100/rok oraz pul licencji dla zespołów.Stany Zjednoczone (globalna infrastruktura Stripe)UE → USA na podstawie standardowych klauzul umownych. Dane karty są zbierane bezpośrednio przez Stripe; Trueings nigdy nie widzi ani nie przechowuje danych karty.
PostHog
posthog.com/handbook/company/security
Analityka produktu (wyłącznie liczby zdarzeń: bez plików cookie, bez nagrywania sesji, bez automatycznego przechwytywania, bez profilu pojedynczej osoby).UE (eu.i.posthog.com)W obrębie UE.

Hosting: sama aplikacja działa na zarządzanej infrastrukturze bezserwerowej (Vercel). Żadne treści informacji zwrotnej klienta nie są przechowywane w logach aplikacji; kanonicznym magazynem jest Supabase.

Przechowywanie

Co przechowujemy, jak długo i czego nie.

Surowe zapisy rozmów są usuwane przez zaplanowane zadanie bazy danych 30 dni po syntezie każdej kampanii. Zadanie działa codziennie i podlega audytowi. Po jego wykonaniu kampanii nie można ponownie zsyntetyzować; pozostaje jedynie zanonimizowany raport.

  • Surowe zapisy rozmów respondentów

    30 dni po sfinalizowaniu syntezy kampanii

    Usuwane codziennie przez zaplanowane zadanie bazy danych. Po usunięciu kampanii nie można ponownie zsyntetyzować; pozostaje jedynie zanonimizowany raport.

  • Zsyntetyzowany raport (tematy, mapa Johariego, plan rozwoju)

    Cały okres istnienia konta ocenianej osoby

    Pozbawiony identyfikatorów przez obowiązkowy przebieg Strażnika Poufności. Oceniana osoba może go wyeksportować lub usunąć w dowolnym momencie.

  • Zapisy konta, zgód i rozliczeń

    Cały okres istnienia konta + okres wymagany przez prawo podatkowe / konsumenckie UE

    Powiązane z ocenianą osobą; usuwane przy usunięciu konta z zastrzeżeniem ustawowego przechowywania.

  • Zagregowane logi operacyjne (bez treści respondentów)

    Do 90 dni

    Używane do reagowania na incydenty i wykrywania nadużyć. Bez odpowiedzi respondentów; bez treści informacji zwrotnej.

Poufność jest architektoniczna

Egzekwowana w kodzie, a nie przez politykę.

Produkt nie może wyciec informacji zwrotnej do niewłaściwej strony, ponieważ niewłaściwej strony nie ma w ścieżce danych. To są gwarancje strukturalne, a nie zobowiązania.

  • Bezpieczeństwo na poziomie wierszy w każdej wrażliwej tabeli. Domyślna odmowa, wąskie polityki; sama baza danych odrzuca odczyty między kontami.
  • Syntezator nigdy nie widzi tożsamości respondenta. Otrzymuje wyłącznie tekst dowodowy (bez nazwisk, bez adresów e-mail, bez powiązania z tym, kto co powiedział), więc nawet dowolny prompt nie może wydobyć tego, czego nie ma w jego kontekście.
  • Deterministyczny Strażnik Poufności działa, zanim oceniana osoba cokolwiek zobaczy. Egzekwuje minimalny próg liczby respondentów, ograniczenie szczegółów przy progu miękkim oraz końcowe usunięcie identyfikatorów. Nie jest to ocena LLM.
  • Dla zespołów: portal firmy jest z założenia niewidzący treści. Ujawnia wyłącznie liczbę realizacji i wskaźnik ukończenia, nigdy tożsamości, treści ani tematów.

Uwierzytelnianie i dostęp

Bez hasła, ograniczone zakresem, audytowane.

  • Oceniane osoby logują się za pomocą jednorazowych linków na zweryfikowany adres e-mail. Żadne hasła nie są przechowywane ani akceptowane. Wydawanie linków ma ograniczenie częstotliwości i po cichu odrzuca próby wyliczania.
  • Respondenci nie mają kont. Każde zaproszenie to podpisany, ograniczony zakresem odbiorcy, jednorazowy JWT powiązany z jedną konkretną odpowiedzią; algorytm jest przypięty, a tokeny są unieważniane przy wysłaniu.
  • Administratorzy firmy uwierzytelniają się tak samo jak oceniane osoby, za pomocą linku na zweryfikowany adres e-mail, do osobnego, niewidzącego treści portalu.
  • Dostęp operatora jest ograniczony do niewielkiej liczby imiennie wskazanych pracowników poprzez bramkowaną środowiskowo powierzchnię administracyjną. Pracownicy nie uzyskują dostępu do treści informacji zwrotnej w normalnym toku działań; dostęp do bazy danych jest logowany.

Szyfrowanie i transport

Standardowe, od końca do końca.

  • W tranzycie: TLS 1.2+ dla każdego połączenia: przeglądarka ↔ aplikacja oraz aplikacja ↔ każdy podmiot przetwarzający.
  • W spoczynku: szyfrowanie zapewniane jest przez każdy podmiot przetwarzający (link w tabeli powyżej): zarządzany przez Supabase Postgres, zarządzane przez Vercel środowisko uruchomieniowe, Resend, Stripe, PostHog.
  • Dane karty: obsługiwane bezpośrednio przez Stripe za pośrednictwem Checkout. Trueings nigdy nie widzi ani nie przechowuje numerów kart.
  • Sekrety: sekrety aplikacji znajdują się w zaszyfrowanym magazynie zmiennych środowiskowych platformy; klucz bazy danych z rolą serwisową nigdy nie trafia do przeglądarki.

Czego nie deklarujemy

Rzeczy, które wolelibyśmy, żebyś przeczytał tutaj, niż żebyś nie przeczytał ich wcale.

Przeciwieństwo marketingowej strony o bezpieczeństwie. Jeśli jakiegoś środka lub certyfikacji nie ma poniżej, załóż, że jeszcze go nie mamy. Jeśli jest ważny dla Twojej oceny, powiedz nam, a powiemy, jaki jest plan.

Brak SOC 2

Nie ukończyliśmy audytu SOC 2. Typ I jest planowany na fazę B2B2C dla średniego rynku; opublikujemy raport, gdy będzie gotowy, i nie wcześniej.

Brak ISO 27001

Nieplanowane na etapie beta. Rozważymy to ponownie, gdy popyt nabywców uczyni to istotnym.

Brak formalnej DPIA w aktach

Ocena skutków dla ochrony danych jest zarezerwowana na ekspansję w obszarze ochrony zdrowia. Obecny produkt jest zgodny z RODO już na etapie projektowania (poufność egzekwowana strukturalnie, a nie przez politykę) i jest tak udokumentowany w Informacji o prywatności oraz DPA.

Brak na razie CAPTCHA antybotowej w formularzu logowania

Logowanie linkiem ma ograniczenie częstotliwości i po cichu odrzuca próby wyliczania; CAPTCHA jest w planach.

Zerowe przechowywanie danych Anthropic: zażądane, weryfikacja w toku

Nasza organizacja Anthropic jest na poziomie komercyjnym i zażądaliśmy ZDR. Informacja o prywatności i DPA zostaną zaktualizowane, a istniejące oceniane osoby ponownie wyrażą zgodę, gdy tylko pokrycie ZDR zostanie potwierdzone.

Niezależny przegląd bezpieczeństwa

Sprawdzony u źródła przed uruchomieniem.

Baza kodu przeszła przegląd bezpieczeństwa na poziomie źródła w dniu 2026-05-19. Nie zidentyfikowano ustaleń krytycznych. Wszystkie pozycje o wysokim i średnim poziomie istotności podniesione w przeglądzie zostały naprawione, z jednym wyjątkiem, który jest udokumentowany i zaakceptowany jako monitorowalna pozostałość, a nie ryzyko wyeliminowane (przypadek brzegowy z fałszywą tożsamością wobec minimum anonimowości).

Przegląd skupił się na uwierzytelnianiu, silniku rozmowy, Strażniku Poufności, rozliczeniach oraz powierzchniach podatnych na nadużycia. Możemy udostępnić zakres i podsumowanie napraw na żądanie w ramach kwestionariusza dla dostawcy.

Powiadamianie o naruszeniach

72 godziny, na piśmie, z tym, co wiemy i co robimy.

Jeśli dowiemy się o naruszeniu danych osobowych dotyczącym danych ocenianych osób lub respondentów, powiadomimy odpowiedniego administratora bez zbędnej zwłoki i w ciągu 72 godzin, gdy naruszenie może skutkować ryzykiem dla podmiotów danych, zgodnie z art. 33 RODO. Zobowiązania proceduralne znajdują się w Umowie o przetwarzaniu danych.

Dokumenty prawne

Umowa i ujawnienia, w jednym miejscu.

Informacja o prywatności

Co przetwarzamy, dlaczego, jak długo i jakie masz prawa, dla ocenianych osób i respondentów.

Regulamin usługi

Umowa dla ocenianych osób korzystających z Trueings bezpośrednio.

Główna Umowa Subskrypcyjna

Umowa dla firm kupujących pulę licencji dla swoich pracowników.

Umowa o przetwarzaniu danych

Role, podmioty przetwarzające, przechowywanie, transfery, środki bezpieczeństwa, powiadamianie o naruszeniach.

Kontakt

Dla Twojego zespołu ds. bezpieczeństwa.

W sprawie kwestionariusza dla dostawcy, kontrasygnowanej DPA, subskrypcji powiadomień o zmianach podmiotów przetwarzających lub jakiegokolwiek pytania, które ta strona pozostawia otwartym, napisz na teams@trueings.com. Odpowiadamy w ciągu dwóch dni roboczych.

W przypadku wniosków podmiotów danych (dostęp, usunięcie, przenoszenie) oceniane osoby korzystają z wewnątrzproduktowych ustawień prywatności; respondenci i strony trzecie mogą napisać na privacy@trueings.com.