Twoje dane sprzedaży, zabezpieczone na poziomie bankowym
Twoje przychody z bol.com, stan magazynu i dane klientów to wrażliwe dane firmy. Na tej stronie dowiesz się, jak Boloo je zabezpiecza — bez marketingowego języka, tylko rzeczywiste środki techniczne, które możesz sprawdzić.
Autentykacja odporna na phishing
Passkeys (FIDO2), dwuetapowa weryfikacja i logowanie za pomocą konta Google — najnowocześniejsze metody logowania bez konieczności użycia hasła
Szyfrowanie na wszystkich poziomach
Szyfrowanie AES-256 dla danych przechowywanych, TLS 1.2+ dla ruchu danych i szyfrowanie branżowe dla haseł i tajemnic 2FA
Hosting w Unii Europejskiej
Centra danych certyfikowane ISO 27001 w UE — monitorowanie 24/7 i ścisła kontrola dostępu
Autentykacja odpowiednia
Najslabszym ogniwem w większości kont internetowych jest hasło. Dlatego zaimplementowaliśmy trzy nowocześniejsze alternatywy — wybierasz, którą użyjesz.
Passkeys (FIDO2 / WebAuthn)
Zaloguj się za pomocą odcisku palca, twarzy lub klucza sprzętowego, takiego jak YubiKey. Passkey jest kryptograficznie powiązany z boloo.co — nawet idealnie spreparowana strona phishingowa nie może go wyłudzić. Od 2024 roku zalecany przez przemysł standard Apple, Google i Microsoft.
Dwuetapowa weryfikacja (2FA)
Poza hasłem prosimy o 6-cyfrowy kod z Twojej aplikacji autentykacyjnej (1Password, Google Authenticator, Authy). Działa offline, jest niezależny od SMS (który można ominąć za pomocą ataków SIM-swap) i klucz tajny jest zaszyfrowany na naszych serwerach.
Logowanie za pomocą konta Google
Użyj swojego istniejącego konta Google, aby się zalogować — Google zajmuje się weryfikacją tożsamości. Możesz również aktywować 2FA na górze Google dla dodatkowej warstwy.
Zabezpieczenie logowania na poziomie API
Nasze punkty końcowe logowania są aktywnie ograniczane przed atakami brute-force i zachowują się identycznie dla istniejących i nieistniejących kont — atakujący nie może odczytać, czy adres e-mail jest znany nam, na podstawie czasu odpowiedzi.
Szyfrowanie danych na każdym poziomie
Szyfrowanie jest wartościowe tylko wtedy, gdy jest konsekwentnie stosowane na wszystkich poziomach. Dlatego pokrywamy każdy poziom:
W spoczynku — AES-256
Pliki w naszym magazynie są zaszyfrowane za pomocą AES-256, tego samego algorytmu, który jest używany przez rząd Stanów Zjednoczonych do dokumentów najwyższej tajności.
W transporcie — TLS 1.2+
Wszystkie dane przesyłane między Twoją przeglądarką a naszymi serwerami są przesyłane za pomocą HTTPS z nowoczesnymi suitami szyfrowania. Brak obsługi przestarzałego TLS 1.0/1.1, brak niezaszyfrowanych fallbacków.
Hasła są przechowywane w sposób nieodczytywalny
Hasła są nigdy nieprzechowywane jako tekst jawny. Używamy potoku hashowania branżowego, który jest celowo wolny, aby ataki brute-force na skradzione hasze były niewykonalne. Nawet nasi inżynierowie nie mogą odczytać Twojego hasła.
Tajemnice 2FA są zaszyfrowane w spoczynku
Klucz tajny używany przez Twoją aplikację autentykacyjną jest przechowywany w naszej bazie danych w sposób zaszyfrowany za pomocą walidowanej kombinacji szyfrowania symetrycznego i autentykacji. Zrzut bazy danych nie dostarcza więc działających kodów 2FA.
Kody odzyskiwania są widoczne tylko raz
10 kodów odzyskiwania, które otrzymujesz podczas aktywacji 2FA, jest natychmiast po wyświetleniu zaszyfrowanych i zapisanych. My widzimy kody tylko raz — potem tylko wersję zaszyfrowaną.
Infrastruktura, na którą możesz liczyć
Nie budujemy własnych centrów danych. Używamy najlepszych — i dbamy o to, aby nasza konfiguracja nie osłabiała ich profilu bezpieczeństwa.
Hosting w Unii Europejskiej
Nasze serwery działają w centrach danych w Niemczech. Dzięki temu Twoje dane sprzedaży pozostają pod prawem europejskim — w tym RODO/GDPR, niemieckim BDSG i surowymi wymogami, jakie UE stawia dla przetwarzania danych. Nie podlegają one amerykańskiej ustawie Cloud Act ani podobnym przepisom.
Certyfikowany ISO 27001
Nasz partner hostingowy jest certyfikowany zgodnie z ISO 27001 (bezpieczeństwo informacji), ISO 27017 (kontrole specyficzne dla chmury) i ISO 27018 (ochrona danych osobowych). Niezależni audytorzy weryfikują te certyfikaty co roku.
Ścisła kontrola dostępu
Tylko ograniczona grupa zweryfikowanych członków zespołu ma dostęp do systemów produkcyjnych i tylko wtedy, gdy jest to konieczne do wsparcia lub konserwacji. Brak udostępniania kont, brak arkuszy haseł.
Monitorowanie błędów 24/7
Platforma monitorowania branżowego monitoruje każde żądanie i każde tło. Odchylenie, błąd lub podejrzany wzorzec wyzwala w ciągu kilku sekund alert — my widzimy problemy często zanim Ty je doświadczysz.
Prywatność i zgodność
Bezpieczeństwo dotyczy nie tylko utrzymania hakerów na zewnątrz. Dotyczy również tego, co my robimy i nie robimy z Twoimi danymi. Pełne wyjaśnienie znajdziesz w naszym oświadczeniu o prywatności.
Zgodność z RODO/GDPR
Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych. Masz prawo do dostępu, sprostowania, usunięcia, ograniczenia i przenoszenia danych — uregulowane w naszych procesach i wyjaśnione w naszym oświadczeniu o prywatności.
Dane należą do Ciebie
Nigdy nie sprzedajemy Twoich danych osobom trzecim w celach reklamowych, profilowania lub jakichkolwiek innych. Twoje dane sprzedaży są używane tylko do świadczenia funkcjonalności Boloo.
Minimalne przetwarzanie danych
Zapisujemy tylko to, co potrzebne do pomocy w Twoich sprzedażach na bol.com. Brak ukrytego śledzenia, brak nieżądanej profilacji.
Usunięcie na żądanie
Chcesz anulować konto? Twoje dane zostaną ostatecznie usunięte w ramach obowiązujących terminów — nie "zarchiwizowane" ani "zaanonimizowane" z identyfikatorem, który można odzyskać.