Bezpieczeństwo danych w ClubDesk

Ochrona danych klubów sportowych i ich zawodników traktujemy jako obowiązek, nie opcję. Poniżej opisujemy konkretne warstwy zabezpieczeń, które stosujemy na co dzień.

RODO2FAIzolacja danychSzyfrowanie transmisjiAudyt aktywnościKopie zapasowe
Warstwa 1

Ochrona kont i dostępu

Dostęp do systemu jest pierwszą linią obrony. Każdy mechanizm logowania i zarządzania kontami został zaprojektowany z myślą o odporności na nieautoryzowane włamanie.

Weryfikacja dwuetapowa (2FA)

Każde konto w ClubDesk można zabezpieczyć dodatkowym krokiem weryfikacji tożsamości przy logowaniu. Nawet jeśli hasło zostanie w jakikolwiek sposób skompromitowane, dostęp do systemu pozostaje zablokowany bez drugiego składnika potwierdzenia.

  • Weryfikacja dostępna dla każdego konta
  • Działa przez dedykowaną aplikację na telefonie
  • Administrator może wymusić 2FA dla całego klubu

Bezpieczeństwo haseł

Hasła użytkowników nigdy nie są przechowywane w oryginalnej formie. System stosuje sprawdzoną technikę jednokierunkowego przekształcania, która sprawia, że hasła są niemożliwe do odczytania nawet przez administratorów systemu.

  • Hasła nigdy nie są widoczne w żadnej formie
  • Wymagana minimalna siła hasła
  • Możliwość wymuszenia cyklicznej zmiany hasła

Granularne role i uprawnienia

System rozróżnia role użytkowników z precyzyjnie określonymi zakresami dostępu. Trener widzi tylko swoją sekcję, lekarz — tylko dokumentację medyczną, zawodnik — wyłącznie swoje dane.

  • Role: Super Admin, Admin klubu, Trener, Lekarz, Zawodnik, Rodzic
  • Możliwość tworzenia własnych ról w planie Premium
  • Uprawnienia są weryfikowane przy każdym żądaniu

Zarządzanie sesjami

Każda sesja użytkownika jest śledzona i może być zakończona zdalnie. Po określonym czasie bezczynności system automatycznie wylogowuje użytkownika, minimalizując ryzyko nieautoryzowanego dostępu.

  • Automatyczne wylogowanie po bezczynności
  • Lista aktywnych sesji widoczna dla użytkownika
  • Możliwość zdalnego zakończenia wszystkich sesji
Warstwa 2

Izolacja i ochrona danych

Dane Twojego klubu są odłączone od innych organizacji na poziomie architektury systemu. Szyfrujemy komunikację i dbamy o ochronę danych w każdym miejscu ich przechowywania.

Pełna izolacja między klubami

Architektura multi-tenant ClubDesk zapewnia, że dane każdego klubu są całkowicie oddzielone od innych organizacji. Nie istnieje żadna ścieżka dostępu, która pozwoliłaby jednemu klubowi zobaczyć dane innego.

  • Fizyczna separacja danych na poziomie bazy
  • Osobna subdomena dla każdego klubu
  • Brak współdzielonych zasobów między klubami

Szyfrowanie transmisji

Cała komunikacja między Twoim urządzeniem a serwerami ClubDesk odbywa się przez szyfrowane połączenie. żadne dane przesyłane przez sieć — dane logowania, informacje o zawodnikach, dokumenty — nie mogą zostać przechwycone.

  • Szyfrowanie obowiązkowe dla wszystkich połączeń
  • Nowoczesne protokoły bezpieczeństwa sieciowego
  • Certyfikat SSL/TLS dla każdej subdomeny klubu

Ochrona danych w spoczynku

Dane przechowywane na serwerach ClubDesk są zabezpieczone przed nieautoryzowanym odczytem nawet w przypadku fizycznego dostępu do nośników. Wrażliwe informacje — dane medyczne, finansowe — są chronione dodatkową warstwą ochrony.

  • Dane wrażliwe chronione osobno od pozostałych
  • Serwery w certyfikowanych centrach danych w UE
  • Kontrola fizycznego dostępu do infrastruktury

Monitoring i wykrywanie anomalii

System jest nieprzerwanie obserwowany pod kątem podejrzanych wzorce działania — nieudanych prób logowania, niezwykłej aktywności kont czy prób dostępu spoza znanych lokalizacji. Reagujemy zanim dojdzie do incydentu.

  • Automatyczne blokowanie po wielokrotnych nieudanych logowaniach
  • Alerty przy podejrzanej aktywności konta
  • Czas reakcji na incydenty bezpieczeństwa < 4h
Warstwa 3

Ciągłość działania

Nawet w razie awarii Twoje dane są bezpieczne. Regularnie archiwizujemy dane i testujemy procedury odtwarzania.

Automatyczne kopie zapasowe

Dane są automatycznie archiwizowane według ustalonego harmonogramu. Kopie są przechowywane w oddzielnej lokalizacji geograficznej, co chroni przed utratą danych nawet w przypadku awarii centrum danych.

  • Kopie wykonywane automatycznie, bez przerw w działaniu
  • Przechowywanie kopii w osobnej lokalizacji geograficznej
  • Możliwość odtworzenia danych z wybranego punktu w czasie

Procedury odtwarzania po awarii

Posiadamy udokumentowane i regularnie testowane procedury przywracania systemu po awarii. Wiemy dokładnie, jak i w jakim czasie przywrócić pełną funkcjonalność oraz daną ić historii.

  • Dokumentacja procedur odtwarzania
  • Regularne ćwiczenia symulacyjne awarii
  • Określony czas odtworzenia (RTO) i punkt odtworzenia (RPO)
Warstwa 4

RODO i zgodność prawna

ClubDesk spełnia wymagania Rozporządzenia o Ochronie Danych Osobowych. Przetwarzamy dane na podstawie umowy powierzenia i zapewniamy pełną realizację praw osób, których dane dotyczą.

Prawa osób, których dane dotyczą

Każdy zawodnik, rodzic i członek klubu ma prawo do dostępu do swoich danych, ich sprostowania, usunięcia lub przeniesienia. ClubDesk umożliwia realizację tych praw bezpośrednio z poziomu systemu.

  • Eksport danych osobowych na żądanie (format CSV/PDF)
  • Anonimizacja konta bez utraty historii klubu
  • Rejestr wniosków i odpowiedzi na prawa RODO

Umowa powierzenia przetwarzania

Jako podmiot przetwarzający działamy na podstawie umowy powierzenia (DPA) zgodnej z art. 28 RODO. Każdy klub zawiera z nami taką umowę, co jest warunkiem prawidłowego korzystania z systemu.

  • DPA dostępna do podpisania przy rejestracji
  • Przetwarzanie danych wyłącznie na udokumentowane polecenie administratora
  • Rejestry czynności przetwarzania prowadzone po obu stronach

Zarządzanie zgodami

ClubDesk pozwala zbierać i rejestrować zgody marketingowe i przetwarzania danych bezpośrednio w systemie. Każda zgoda jest opatrzona datą i treścią, co umożliwia pełne udokumentowanie podstawy przetwarzania.

  • Formularz zgody z wersjonowaną treścią
  • Historia zmian i wycofań zgody
  • Eksport rejestru zgod na potrzeby kontroli UODO

Dziennik aktywności i audyt

Każda operacja na danych osobowych jest rejestrowana w dzienniku audytu. W razie kontroli lub incydentu można dokładnie odtworzyć historię działań na danych — kto, co zmienił i kiedy.

  • Nieusuwalne logi operacji na danych osobowych
  • Filtrowanie i eksport dziennika na potrzeby audytu
  • Retencja logów zgodna z wymogami prawnymi
FAQ

Pytania o bezpieczeństwo

Gdzie fizycznie przechowywane są nasze dane?
Dane są przechowywane na serwerach zlokalizowanych w Unii Europejskiej, w certyfikowanych centrach danych spełniających najwyższe standardy bezpieczeństwa fizycznego. Żadne dane nie opuszczają obszaru EOG bez Twojej zgody.
Co się dzieje z danymi po zakończeniu współpracy?
Po zakończeniu umowy eksportujemy pełną kopię danych w formacie możliwym do odczytu. Następnie dane są trwale usuwane z naszych serwerów zgodnie z procedurą RODO, a Ty otrzymujesz pisemne potwierdzenie usunięcia.
Czy pracownicy ClubDesk mają dostęp do danych mojego klubu?
Dostęp do danych klientów jest ściśle ograniczony i przyznawany wyłącznie w uzasadnionych przypadkach (np. wsparcie techniczne na Twoje żądanie). Wszystkie takie dostępy są logowane i widoczne w dzienniku aktywności.
Jak szybko reagujecie na incydenty bezpieczeństwa?
Posiadamy udokumentowaną procedurę reagowania na incydenty. W przypadku naruszenia danych osobowych informujemy administratorów klubów w ciągu 24 godzin od wykrycia — zgodnie z art. 33 RODO.
Czy mogę otrzymać raport z audytu bezpieczeństwa?
Tak. Na żądanie udostępniamy dokumentację bezpieczeństwa dostępną w ramach due diligence. Skontaktuj się z nami, aby omówić zakres informacji, które możemy przekazać.

Masz pytania o bezpieczeństwo?

Nasz zespół chętnie omówi szczegóły wdrożenia i odpowie na pytania dotyczące ochrony danych.

Skontaktuj się z nami