Nazaj na Konta
Varnost GDPR skladno

Varnost na Konti

Vaši finančni podatki so zaupne narave. Povemo vam, kako jih varujemo — pošteno in brez pretiravanja.

Šifriranje podatkov Varna povezava GDPR skladno Podatki v EU Ločitev podatkov Dnevne varnostne kopije

Konta je namenjena slovenskim računovodjem, ki obdelujejo zaupne finančne podatke svojih strank. Na tej strani pošteno opišemo, kako varujemo vaše podatke. Kjer nekaj še ni na voljo, to označimo kot »načrtovano«.

1. Infrastruktura in gostovanje

Konta teče izključno na evropskih strežnikih. Ne uporabljamo lastne infrastrukture, ampak gradimo na neodvisno certificiranih evropskih ponudnikih z uveljavljenimi varnostnimi standardi.

  • Vsi vaši podatki — dokumenti, transakcije in podatki o strankah — ostajajo v Evropski uniji.
  • Aplikacija, baza podatkov in shramba dokumentov gostujejo pri ločenih, medsebojno neodvisnih ponudnikih v EU.
  • Edini prenosi podatkov izven EU se zgodijo pri obdelavi z umetno inteligenco in pri plačilih; oba sta pokrita s standardnimi pogodbenimi določili (SCC) in pogodbami o obdelavi podatkov (DPA).

2. Šifriranje podatkov

Podatki v mirovanju

  • Baza podatkov in shramba dokumentov sta zaščiteni s šifriranjem na ravni industrijskega standarda.
  • Gesla so shranjena izključno v neobnovljivi (hash) obliki. Konta nikoli ne vidi in ne hrani vašega gesla v berljivi obliki.
  • Plačilnih kartic Konta nikoli ne obdeluje niti ne hrani. Vse plačilne podatke neposredno obdeluje certificiran plačilni ponudnik.

Podatki med prenosom

  • Ves promet med vašim brskalnikom in Konta je šifriran z varno povezavo na ravni industrijskega standarda.
  • Brskalnik je prisiljen uporabljati izključno šifrirano povezavo — nešifriran dostop ni mogoč.
  • Uporabljamo stroge varnostne nastavitve, ki omejujejo morebitne napade prek spletne strani.

3. Nadzor dostopa in ločitev podatkov

Vsak uporabnik vidi izključno podatke svoje organizacije. Ločitev med strankami in organizacijami je uveljavljena na ravni baze podatkov, ne zgolj v aplikacijski kodi. To pomeni, da tudi v primeru napake v aplikaciji sistem zavrne dostop do tujih podatkov.

  • Nobena zahteva ne more vrniti podatkov, do katerih uporabnik nima pravice.
  • Večorganizacijska ločitev je del arhitekture, ne dodatna plast v kodi.
  • Vsak sodelavec v organizaciji ima ločen uporabniški račun z dodeljenimi pravicami.

Prijava

  • Prijava z e-pošto in geslom ali prek zunanjega računa pri ponudniku identitete.
  • Ob spremembi gesla ali sumljivi prijavi dobite e-poštno obvestilo.
  • Zapisovalne operacije imajo omejevanje hitrosti, da preprečimo zlorabo.

Opomba: večfaktorska avtentikacija (MFA) trenutno ni na voljo, a je načrtovana. Do takrat priporočamo močno, edinstveno geslo ali zunanjo prijavo pri ponudniku, ki podpira dvofaktorsko avtentikacijo.

4. Varnostne kopije in obnovljivost

  • Dnevne avtomatske varnostne kopije celotne baze podatkov, hranjene v EU.
  • Dokumenti v shrambi so replicirani znotraj iste evropske regije.
  • V primeru incidenta lahko podatke obnovimo iz zadnje dobre varnostne kopije.
  • Objavljenega uradnega SLA zaenkrat ne ponujamo.

5. Revizijski dnevnik in spremljanje

Nespremenljiv revizijski dnevnik

Privilegirane akcije — spremembe članstev v organizaciji, brisanja, ustvarjanje dostopnih povezav — se beležijo v nespremenljivem revizijskem dnevniku. Zapisi v dnevniku ni mogoče spremeniti ali izbrisati; ostanejo trajni dokler obstaja račun.

Spremljanje in razvoj

  • Produkcijsko okolje spremljamo 24 ur na dan z avtomatskim alarmiranjem ob napakah.
  • Vse spremembe kode gredo skozi verzijski sistem in avtomatizirane preverbe pred objavo v produkcijo.
  • Odvisnosti projekta redno preverjamo za znane varnostne ranljivosti.

6. AI obdelava in zasebnost

Za ekstrakcijo podatkov iz računov in dokumentov uporabljamo zunanje ponudnike umetne inteligence. Pomembno je, kaj se z vašimi dokumenti zgodi — in kaj ne.

  • Dokumenti se pošljejo zgolj za namen ekstrakcije: prepoznavanje dobavitelja, zneska, DDV-ja, datuma in razvrstitev.
  • Vsebina dokumentov se ne uporablja za urjenje AI modelov. Naši pogodbeni partnerji so pogodbeno zavezani, da vaših podatkov ne uporabljajo za izboljšavo modelov.
  • Del obdelave poteka zunaj EU; ti prenosi so pokriti s standardnimi pogodbenimi določili in DPA.
  • V nastavitvah organizacije lahko za posamezno stranko izklopite avtomatsko ekstrakcijo in izvajate ročni vnos.

Človek v zanki

AI predlaga podatke iz dokumentov, vendar nič se ne knjiži samodejno. Vsak vnos mora potrditi računovodja — vi imate zadnjo besedo pred tem, ko podatki vstopijo v vašo evidence.

7. Odziv na varnostne incidente

Konta je mlada platforma, ki jo razvijamo v manjši ekipi. Naš postopek odziva na incidente je zato jasen in kratek:

  • Zaznavanje: avtomatsko alarmiranje 24/7 in ročni pregled sistemskih dnevnikov.
  • Ocena: resnost incidenta ocenimo v najkrajšem možnem času.
  • Obveščanje: če bi prišlo do kršitve varnosti osebnih podatkov, vas obvestimo v roku 72 ur, skladno s členom 33 GDPR.
  • Zadrževanje in obnovitev: izolacija prizadetih sistemov in, če je potrebno, obnovitev iz zadnje dobre varnostne kopije.
  • Analiza po incidentu: po vsakem večjem incidentu zabeležimo, kaj se je zgodilo in kaj bomo spremenili, da se ne ponovi.

Pomembno: do javnega izida nismo imeli varnostnih incidentov, ki bi vplivali na uporabniške podatke.

8. Skladnost

Konta je zasnovana skladno z Uredbo (EU) 2016/679 (GDPR). Gradimo na neodvisno certificirani evropski infrastrukturi — certifikati veljajo za ponudnike, ne za Konta samo.

GDPR

Konta je upravljavec (ali obdelovalec) osebnih podatkov v skladu z Uredbo (EU) 2016/679. Pogodba o obdelavi podatkov je na voljo na /dpa.html.

Certificirana infrastruktura

Gradimo na neodvisno certificiranih evropskih ponudnikih z mednarodno priznanimi varnostnimi standardi. Podrobnejša tehnična dokumentacija je na voljo za poslovne stranke pod NDA.

Plačila

Plačila obdeluje certificiran plačilni ponudnik. Konta nikoli ne vidi in ne hrani podatkov o plačilnih karticah.

Mednarodni prenosi

Kjer podatki zapustijo EU (AI obdelava, plačila), veljajo standardna pogodbena določila (SCC) in pogodbe o obdelavi podatkov (DPA).

9. Vaša odgovornost

Varnost je skupna naloga. Prosimo, da tudi na vaši strani upoštevate naslednje:

  • Uporabite močno, edinstveno geslo za vaš Konta račun, idealno prek upravitelja gesel.
  • Ne delite dostopnih poverilnic. Za vsakega sodelavca ustvarite ločen uporabniški račun znotraj svoje organizacije.
  • Ob prenehanju zaposlitve kolega takoj odstranite iz organizacije v nastavitvah.
  • Sumljivo aktivnost takoj sporočite na security@konta.si.
  • Poskrbite, da računalnik, s katerega dostopate do Konte, ima posodobljen operacijski sistem in brskalnik.

10. Varnostni kontakt in razkritje ranljivosti

Cenimo odgovorno razkritje varnostnih ranljivosti. Če odkrijete varnostno težavo na Konti, nas prosimo kontaktirajte preden jo javno razkrijete.

Na varnostna poročila odgovorimo v roku 48 ur. Za resne ranljivosti zagotavljamo koordinirano razkritje in vas bomo obvestili pred objavo popravka.

Zaupate nam podatke svojih strank. Zahvaljujemo se vsem, ki pomagajo ohranjati Konto varno.