Nazaj na Konta
Varnost GDPR skladno

Varnost na Konti

Vaši finančni podatki so zaupne narave. Povemo vam natančno, kako jih varujemo.

Šifriranje AES-256 TLS 1.3 GDPR skladno EU strežniki MFA podpora Redne varnostne kopije

Konta je namenjena računovodjem in finančnim strokovnjakom, ki obdelujejo zaupne podatke svojih strank. Varnost ni pri nas »feature« — je temelj vsega, kar gradimo.

1. Infrastruktura in gostovanje

Vsi podatki Konte se hranijo izključno v Evropski uniji. Naša infrastruktura temelji na storitvah Supabase, ki gostuje na AWS Frankfurt (eu-central-1).

  • Podatkovni centri certificirani po ISO 27001, SOC 2 Type II in PCI DSS
  • Geografsko ločene varnostne kopije (Frankfurt + Dublin)
  • 99,9 % SLA za dostopnost platforme
  • Brez prenosov podatkov izven EU brez eksplicitnega soglasja

2. Šifriranje podatkov

Podatki v mirovanju

  • Vsa hramba šifrirana z AES-256
  • Ključi za šifriranje upravljani z AWS KMS (ključi per-tenant)
  • Gesla nikoli niso shranjena v berljivi obliki — samo bcrypt hash (faktor 12)
  • Bančni izpiski in dokumenti stranke šifrirani z ločenimi ključi

Podatki med prenosom

  • Ves promet šifriran z TLS 1.3 — nižje različice niso sprejete
  • Strogi HSTS z vključitvijo poddomén (max-age: 1 leto)
  • Certificate pinning za mobilne odjemalce

3. Nadzor dostopa

Dostop strank

  • Vsi dostopi zahtevajo prijavo z e-pošto in geslom
  • Večfaktorska avtentikacija (MFA) — obvezna za vse račune Firma, na voljo za vse
  • Samodejni odjav po 8 urah nedejavnosti
  • Omejevanje prijav (rate limiting) in zaznavanje nenavadnih prijav

Interni dostop (zaposleni Konte)

  • Načelo najmanjšega privilegija — dostop samo, kar je nujno za delo
  • MFA obvezen za vse zaposlene
  • Dostop do produkcijskih podatkov zahteva odobritev dveh oseb
  • Vse interne akcije beležene v revizijskem dnevniku
  • Dostop se takoj ukine ob prenehanju zaposlitve

4. Omrežna varnost

  • Požarna pregrada (WAF) pred vsemi javnimi končnimi točkami
  • DDoS zaščita prek Cloudflare
  • Produkcijsko okolje izolirano v ločenem VPC-ju
  • Avtomatizirano zaznavanje anomalij in sumljivih aktivnosti
  • Redno skeniranje ranljivosti infrastrukture (mesečno)

5. Varnostne kopije in obnovljivost

  • Dnevne varnostne kopije celotne baze podatkov
  • Geografska redundanca — kopije v dveh EU regijah
  • Hramba varnostnih kopij: 30 dni
  • RTO (cilj časa obnovitve): < 4 ure
  • RPO (cilj točke obnovitve): < 24 ur
  • Četrtletni testi obnovitve podatkov

6. Varnost aplikacije

Razvojni proces

  • Pregled kode (code review) za vsako spremembo pred objavo
  • Avtomatizirano statično analizo varnosti (SAST) pri vsakem zagonu CI/CD
  • Testiranje odvisnosti na znane ranljivosti (SCA) — avtomatizirano
  • Staging okolje z anonimiziranimi podatki pred objavo v produkcijo

Zaščita pred napadi

  • Zaščita pred SQL injection — parametrizirane poizvedbe, ORM
  • Zaščita pred XSS — strogi Content-Security-Policy headerji
  • CSRF zaščita na vseh obrazcih in API klicih
  • Strogi HTTP varnostni headerji (X-Frame-Options: DENY, X-Content-Type-Options: nosniff)
  • Omejevanje hitrosti zahtev (rate limiting) za vse API točke

Revizijski dnevnik

  • Vse akcije na dokumentih, nastavitvah in računih se beležijo
  • Dnevniki hranjeni 12 mesecev in dostopni skrbniškim uporabnikom
  • Dnevniki zaščiteni pred brisanjem s strani strank

7. AI obdelava in zasebnost

Konta za ekstrakcijo podatkov iz računov in dokumentov uporablja jezikovne modele (LLM). Razumemo, da je to občutljivo področje, zato smo jasni:

  • Dokumenti se pošljejo AI modelu izključno za namen ekstrakcije — identifikacija dobavitelja, zneska, DDV, datuma
  • Vaši dokumenti se ne uporabljajo za urjenje AI modelov
  • Obdelava poteka prek API-ja Anthropic z Data Processing Agreement
  • Dokumenti se pri obdelavi ne hranijo na Anthropicovih strežnikih po zaključku klica
  • Možnost onemogočanja AI ekstrakcije in ročnega vnosa za posamezne stranke

8. Odziv na varnostne incidente

Imamo dokumentiran postopek odziva na incidente:

  • Zaznavanje — avtomatizirano opozarjanje 24/7
  • Ocena — klasifikacija resnosti v roku 1 ure
  • Obveščanje — prizadete stranke obvestimo v roku 72 ur (skladno z GDPR)
  • Zadrževanje — izolacija prizadetih sistemov
  • Obnovitev — ponastavitev iz zadnje dobre varnostne kopije
  • Poročanje — analiza po incidentu in popravljalni ukrepi

V primeru kršitve varnosti podatkov, ki vpliva na vaše stranke, bomo ravnali v skladu z zahtevami GDPR in vas obvestili s konkretnimi navodili.

9. Skladnost in certifikati

GDPR

Obdelava podatkov v skladu z Uredbo (EU) 2016/679. DPA na voljo za vse naročnike.

ISO 27001 (infrastruktura)

Naši podatkovni centri (AWS Frankfurt) imajo ISO 27001 certifikat za upravljanje informacijske varnosti.

SOC 2 Type II (infrastruktura)

Naši ponudniki infrastrukture so revidirani po SOC 2 standardu. Poročila na voljo po podpisanem NDA.

PCI DSS (plačila)

Plačila obdeluje Stripe, certificiran po PCI DSS Level 1. Konta nikoli ne hrani podatkov o plačilnih karticah.

10. Vaša odgovornost

Varnost je skupna naloga. Prosimo, da tudi na vaši strani upoštevate naslednje:

  • Uporabite močno, edinstveno geslo za Konta račun
  • Vklopite večfaktorsko avtentikacijo (MFA) — je brezplačna in zelo priporočljiva
  • Ne delite dostopnih poverilnic z drugimi — za vsako osebo ustvarite ločen račun
  • Redno preverjajte seznam aktivnih sej v nastavitvah računa
  • Sumljivo aktivnost takoj sporočite na security@konta.si
  • Poskrbite, da računalnik, s katerega dostopate do Konte, ima posodobljeno protivirusno zaščito

11. Varnostni kontakt in razkritje ranljivosti

Cenimo odgovorno razkritje varnostnih ranljivosti. Če odkrijete varnostno težavo na Konti, nas prosimo kontaktirajte preden jo javno razkrijete.

Na varnostna poročila odgovorimo v roku 48 ur. Za resne ranljivosti zagotavljamo koordinirano razkritje in vas bomo obvestili pred objavo popravka.

Zaupamo vam naše stranke. Zahvaljujemo se vsem, ki pomagajo ohranjati Konto varno.