Bezpieczeństwo — Payment Gateway

Certyfikaty

Standardy branżowe

PCI DSS

Level 1

3DS 2.2

EMVCo Certified

PSD2

SCA Ready

ISO 27001

Certified 2025

GDPR

EU Compliant

Architektura

Warstwy obrony

Defense in depth — od WAF po HSM. Każda warstwa niezależnie audytowana.

WAF + DDoS Protection

Cloudflare · rate limit · bot detection

API Gateway

mTLS · JWT · scoped API keys

Risk Engine + 3DS

ML fraud scoring · velocity rules · device fingerprint

Tokenization Vault

HSM FIPS 140-2 L3 · AES-256 · format-preserving

Segmentowane PCI CDE

VPC isolation · egress control · audit logs

Praktyki

Jak chronimy Twoje dane

Szyfrowanie at-rest

AES-256 dla bazy danych, backupów i logów. Klucze rotowane co 90 dni, zarządzane w HSM.

Szyfrowanie in-transit

TLS 1.3 obowiązkowy. HSTS preload. Certyfikaty ECDSA P-384. Forward secrecy.

Tokenizacja PAN

Karty nigdy nie opuszczają vault w otwartym formacie. Merchant otrzymuje tylko format-preserving token.

Segmentacja PCI CDE

Środowisko kart kredytowych odizolowane od aplikacji biznesowych. Dostęp tylko przez audit-loggowany bastion.

Lokalizacja danych

Hosting w Frankfurcie i Warszawie. Data residency PL dostępna na życzenie (Enterprise).

Disaster Recovery

RTO: 15 minut. RPO: 1 minuta. Automatyczny failover między regionami. Testowany kwartalnie.

Penetration testing

Zewnętrzne pentesty dwa razy rocznie (niezależny QSA). Wewnętrzny bug bounty na HackerOne.

Audyt dostępu

Wszystkie akcje logowane i korelowane przez SIEM. Just-in-time access z zatwierdzeniem.

Dokumenty

Compliance package

Raporty i certyfikaty dostępne dla zespołu prawnego pod NDA.

SOC 2 Type II

Roczny raport niezależnego audytora. Security, Availability, Confidentiality. Dostępny pod NDA.

PCI DSS AoC

Attestation of Compliance Level 1. Aktualny audyt QSA. Pobieralny po podpisaniu NDA.

Pentest report

Streszczenie wyników z ostatniego pentestu + remediation plan. Bez szczegółów technicznych.

Bug bounty program

Public policy na HackerOne. Payouts do 10 000 EUR za krytyczne znaleziska. Safe harbor dla researcherów.

Audytowane.
Regulowane. Bez kompromisów.