🔒 Security & Trust

Securitate prin design, transparență prin practică.

DIYAdvisor a fost gândit multi-tenant și GDPR-compliant de la primul commit. Nu retrofit. Iată ce garantăm la nivel de standarde.

Ultima actualizare: 19 mai 2026

5 piloni de securitate

Pilon #1

Izolare strictă a datelor între clienți

Datele tale (conversații, produse, configurări, vizitatori) sunt complet izolate de orice alt client al nostru. Sistemul aplică izolarea la fiecare interogare, nu doar la nivelul aplicației. Cross-tenant data leak este blocat tehnic la sursă, nu doar prin reguli de cod.

Pilon #2

Criptare la standarde bancare

  • At rest: toate datele criptate pe infrastructura noastră cloud (standarde industrie)
  • In transit: TLS 1.3 pe toate request-urile (browser → API → AI)
  • BYOK keys: cheile tale de API sunt securizate cu algoritmi simetrici de nivel enterprise, masked în loguri, niciodată în clar la noi
  • Auth tokens: rotare regulată, expirare configurabilă, revocabile
Pilon #3

GDPR compliance complet

  • Export date: orice client poate exporta complet conversațiile + vizitatorii + KB în JSON/CSV oricând
  • Right to be forgotten: ștergem datele clientului la cerere în maxim 30 zile
  • Data subject access requests (DSAR): răspundem în maxim 30 zile la întrebări din partea unui end-user
  • Consent banner: widget-ul respectă Consent Mode v2 — nu loggăm vizitatori fără consimțământ
  • DPA semnabil: Data Processing Addendum disponibil pentru orice client
  • Sub-procesatori: lista publică, notificare 30 zile înainte de modificări
Pilon #4

Rate limiting & abuse prevention

  • Rate limit per IP + per client + per sesiune
  • CAPTCHA la signup și forgot-password
  • Anomaly detection — pattern-uri suspecte detectate
  • Daily AI spending cap per client — protecție anti-abuse
Pilon #5

Audit & monitoring

  • Error tracking în production cu alerte instant
  • Logs centralizate pentru audit trail (90 zile retention default, 1 an pe Pro)
  • Audit log per client: cine s-a logat, ce a modificat, când

Sub-procesatori

Categorii de furnizori utilizați. Numele exacte sunt disponibile la /sub-processors (cum cere GDPR). Notificăm public orice modificare cu 30 zile în avans.

RolLocațieCertificări
Furnizor AIEU + USSOC 2 Type II, ISO 27001
Furnizor databaseEU (Ireland)SOC 2 Type II, HIPAA, ISO 27001
Furnizor hosting + EdgeEU + USSOC 2 Type II
CDN + WAFGlobalSOC 2 Type II, ISO 27001
Email tranzacționalUSSOC 2 Type II
Procesare plățiEU + USPCI DSS Level 1, SOC 2

Status certificări

ItemStatusȚintă
Izolare client-to-clientLive
GDPR DPA semnabilLive
Sub-procesatori publiciLive
BYOK key encryptionLive
ISO 27001 cert propriePlanningQ4 2026
SOC 2 Type IPlanning2027
Penetration test externPlanningQ3 2026
Bug bounty programPlanningQ4 2026

Raportează o vulnerabilitate

Responsible disclosure: 90 zile între raportare și public disclosure. Mulțumim publică la /security/hall-of-fame.

PGP key

Disponibilă la cerere

Securitate prin design, transparență prin practică.