Masz pytania? Zadzwoń (61) 666 19 77

Zaloguj się Utwórz konto

Standardy i regulacje

Bezpieczeństwo i zgodność

Projektujemy platformę twojeID.pl z myślą o najwyższych standardach branżowych i wymogach regulacyjnych. Poniżej opisujemy kluczowe ramy: ISO 27001, DORA, eIDAS i RODO.

ISO 27001

ISO/IEC 27001 to międzynarodowy standard zarządzania bezpieczeństwem informacji (ISMS). Wdrożenie i certyfikacja potwierdzają, że organizacja systematycznie identyfikuje ryzyka, wdraża zabezpieczenia i ciągle doskonali procesy ochrony danych.

W twojeID.pl standard ten obejmuje m.in. zarządzanie dostępem, szyfrowanie danych, ciągłość działania, zarządzanie incydentami oraz regularne audyty wewnętrzne i przeglądy. Certyfikat ISO 27001 stanowi zewnętrzne potwierdzenie, że nasze procesy spełniają uznane na świecie wymagania.

Certyfikat ISO 27001
Certyfikat ISO 27001 (wersja 2023)

DORA

Rozporządzenie DORA (Digital Operational Resilience Act) dotyczy odporności operacyjnej sektora finansowego w Unii Europejskiej. Obowiązuje m.in. instytucje finansowe, ale także dostawców usług ICT, którzy wspierają ten sektor.

Jako platforma tożsamości mogąca integrować się z systemami finansowymi (np. MojeID, banki) traktujemy wymagania DORA jako punkt odniesienia: zarządzanie ryzykiem ICT, testy odporności, zarządzanie incydentami i wymiana informacji z podmiotami nadzorowanymi. Dążymy do tego, by nasza infrastruktura i procesy były zgodne z duchem DORA tam, gdzie ma to zastosowanie.

eIDAS

Rozporządzenie eIDAS (electronic IDentification, Authentication and trust Services) ustanawia ramy prawne dla identyfikacji elektronicznej i usług zaufania w UE. Dotyczy m.in. dowodów tożsamości, podpisów elektronicznych, pieczęci i usług powiązanych.

twojeID.pl działa w ekosystemie eIDAS: integrujemy się z krajowymi środkami identyfikacji (Profil Zaufany, e-dowód, MojeID) oraz z usługami zaufania. Dążymy do zapewnienia odpowiedniego poziomu pewności (LoA) w zależności od kontekstu – od podstawowej weryfikacji po kwalifikowane środki identyfikacji i uwierzytelniania wymagane np. przy głosowaniach czy WZA.

RODO

Rozporządzenie RODO (ochrona danych osobowych w UE) określa zasady przetwarzania danych osobowych, prawa osób fizycznych oraz obowiązki administratorów i podmiotów przetwarzających.

W twojeID.pl przetwarzamy dane tożsamościowe wyłącznie w niezbędnym zakresie, na podstawie zgody lub innych przesłanek prawnych. Stosujemy szyfrowanie, pseudonimizację gdzie to możliwe, separację danych tożsamościowych i operacyjnych oraz moduły HSM do ochrony kluczy. Użytkownicy mają dostęp do historii autoryzacji, mogą cofać zgody i pobierać potwierdzenia. Prowadzimy logi audytowe i zapewniamy niezmienialność zapisów tam, gdzie wymagają tego przepisy. Polityka prywatności i procedury realizacji praw (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw) są spójne z RODO.

Praktyki techniczne

  • Szyfrowanie danych i wykorzystanie HSM do kluczy kryptograficznych
  • Separacja danych tożsamościowych i operacyjnych
  • Logi audytowe, eksport raportów, niezmienialność zapisów (compliance)
  • Warstwa Identity Core: hashowanie haseł, uwierzytelnianie wieloskładnikowe (MFA)

FAQ

Najczęściej zadawane pytania o bezpieczeństwo, dane i działanie twojeID.pl.

Czy logując się do innych systemów za pomocą twojeID, będą one otrzymywały moje wrażliwe dane jak PESEL itp.?

Nie. Systemy zewnętrzne (np. obywatelski.pl, sygnali.pl) otrzymują wyłącznie informacje niezbędne do autoryzacji – np. że użytkownik jest zweryfikowany na danym poziomie lub że tożsamość została potwierdzona. Nie przekazujemy PESEL, pełnego imienia i nazwiska ani innych wrażliwych danych, chyba że dany serwis ma wyraźne uprawnienie i użytkownik wyraził na to zgodę.

Gdzie przechowywane są moje dane?

Dane tożsamościowe są przechowywane w infrastrukturze na terytorium UE/EOG, z zachowaniem wymogów RODO. Wykorzystujemy szyfrowanie, moduły HSM do ochrony kluczy oraz separację danych wrażliwych od operacyjnych.

Czy twojeID.pl spełnia wymagania RODO?

Tak. Przetwarzamy dane wyłącznie na podstawie przesłanek prawnych (umowa, zgoda, obowiązek prawny), minimalizujemy zakres danych, zapewniamy prawa osób (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw) i stosujemy środki techniczno-organizacyjne zgodne z RODO. Szczegóły w Polityce prywatności.

Co to jest poziom weryfikacji (LoA) i dlaczego ma znaczenie?

LoA (Level of Assurance) określa, jak pewnie potwierdzona jest Twoja tożsamość – od podstawowego (e-mail, SMS) po wysoki (e-dowód, kwalifikowany podpis). Im wrażliwsza usługa (np. głosowanie, WZA), tym wyższy wymagany LoA. Dzięki temu serwisy wiedzą, że mogą ufać potwierdzeniu, bez konieczności przetwarzania Twoich pełnych danych.

Czy mogę cofnąć zgodę dla systemu?

Tak. W panelu użytkownika możesz w każdej chwili cofnąć zgodę na dostęp danego systemu do Twoich danych. Po cofnięciu system nie będzie mógł korzystać z Twojego konta twojeID do logowania, dopóki nie udzielisz zgody ponownie.

Jak twojeID chroni moje hasło?

Hasła są przechowywane w formie zahashowanej (np. funkcje typu bcrypt/Argon2), nie przechowujemy haseł w postaci jawnej. Zalecamy uwierzytelnianie wieloskładnikowe (MFA), np. SMS lub aplikacja TOTP, co znacząco podnosi bezpieczeństwo konta.

Czy moje logowania są rejestrowane?

Tak, w celach bezpieczeństwa i zgodności prowadzimy logi audytowe (kto, kiedy, z jakiego systemu). Dane te są niezbędne do wykrywania nadużyć, realizacji praw użytkowników i spełnienia wymogów regulacyjnych. Możesz przeglądać historię autoryzacji w swoim panelu i pobierać potwierdzenia logowań.

Co zrobić, gdy podejrzewam nieautoryzowany dostęp?

Zalecamy niezwłoczną zmianę hasła i weryfikację ustawień konta (np. powiązane urządzenia, MFA). Skontaktuj się z nami przez stronę Kontakt – pomożemy zablokować podejrzane sesje i zabezpieczyć konto.

Czy mogę usunąć swoje konto?

Tak. Masz prawo do usunięcia konta (prawo do bycia zapomnianym). Po złożeniu wniosku konto i powiązane dane zostaną usunięte w terminie określonym w Polityce prywatności, z wyjątkiem danych, które musimy przechowywać na podstawie przepisów prawa.

Dlaczego system prosi o dodatkową weryfikację (np. SMS)?

Niektóre operacje (np. pierwsze logowanie do nowego systemu, zmiana ustawień bezpieczeństwa) wymagają wyższego poziomu pewności. Dodatkowa weryfikacja (SMS, powiadomienie w aplikacji) potwierdza, że to Ty dokonujesz działania, co chroni przed przejęciem konta.

Powrót do strony głównej