🔒 Security & Trust
Securitate prin design, transparență prin practică.
DIYAdvisor a fost gândit multi-tenant și GDPR-compliant de la primul commit. Nu retrofit. Iată ce garantăm la nivel de standarde.
Ultima actualizare: 19 mai 2026
5 piloni de securitate
Pilon #1
Izolare strictă a datelor între clienți
Datele tale (conversații, produse, configurări, vizitatori) sunt complet izolate de orice alt client al nostru. Sistemul aplică izolarea la fiecare interogare, nu doar la nivelul aplicației. Cross-tenant data leak este blocat tehnic la sursă, nu doar prin reguli de cod.
Pilon #2
Criptare la standarde bancare
- At rest: toate datele criptate pe infrastructura noastră cloud (standarde industrie)
- In transit: TLS 1.3 pe toate request-urile (browser → API → AI)
- BYOK keys: cheile tale de API sunt securizate cu algoritmi simetrici de nivel enterprise, masked în loguri, niciodată în clar la noi
- Auth tokens: rotare regulată, expirare configurabilă, revocabile
Pilon #3
GDPR compliance complet
- Export date: orice client poate exporta complet conversațiile + vizitatorii + KB în JSON/CSV oricând
- Right to be forgotten: ștergem datele clientului la cerere în maxim 30 zile
- Data subject access requests (DSAR): răspundem în maxim 30 zile la întrebări din partea unui end-user
- Consent banner: widget-ul respectă Consent Mode v2 — nu loggăm vizitatori fără consimțământ
- DPA semnabil: Data Processing Addendum disponibil pentru orice client
- Sub-procesatori: lista publică, notificare 30 zile înainte de modificări
Pilon #4
Rate limiting & abuse prevention
- Rate limit per IP + per client + per sesiune
- CAPTCHA la signup și forgot-password
- Anomaly detection — pattern-uri suspecte detectate
- Daily AI spending cap per client — protecție anti-abuse
Pilon #5
Audit & monitoring
- Error tracking în production cu alerte instant
- Logs centralizate pentru audit trail (90 zile retention default, 1 an pe Pro)
- Audit log per client: cine s-a logat, ce a modificat, când
Sub-procesatori
Categorii de furnizori utilizați. Numele exacte sunt disponibile la /sub-processors (cum cere GDPR). Notificăm public orice modificare cu 30 zile în avans.
| Rol | Locație | Certificări |
|---|---|---|
| Furnizor AI | EU + US | SOC 2 Type II, ISO 27001 |
| Furnizor database | EU (Ireland) | SOC 2 Type II, HIPAA, ISO 27001 |
| Furnizor hosting + Edge | EU + US | SOC 2 Type II |
| CDN + WAF | Global | SOC 2 Type II, ISO 27001 |
| Email tranzacțional | US | SOC 2 Type II |
| Procesare plăți | EU + US | PCI DSS Level 1, SOC 2 |
Status certificări
| Item | Status | Țintă |
|---|---|---|
| Izolare client-to-client | Live | — |
| GDPR DPA semnabil | Live | — |
| Sub-procesatori publici | Live | — |
| BYOK key encryption | Live | — |
| ISO 27001 cert proprie | Planning | Q4 2026 |
| SOC 2 Type I | Planning | 2027 |
| Penetration test extern | Planning | Q3 2026 |
| Bug bounty program | Planning | Q4 2026 |
Raportează o vulnerabilitate
Responsible disclosure: 90 zile între raportare și public disclosure. Mulțumim publică la /security/hall-of-fame.
Email security
security@diyadvisor.roPGP key
Disponibilă la cerere