Infrastruktura i podmioty przetwarzające
share.env działa na niewielkiej, nazwanej liczbie dostawców, każdy na podstawie umowy powierzenia przetwarzania:
- Supabase baza danych Postgres, uwierzytelnianie i szyfrowane przechowywanie plików. Polityki Row Level Security działają wewnątrz samej bazy danych, więc autoryzacja obowiązuje nawet, gdy w kodzie aplikacji jest błąd.
- Vercel hosting aplikacji i sieć edge dla aplikacji webowej i endpointów API.
- Dostawca poczty transakcyjnej wykorzystywany wyłącznie do e-maili z zaproszeniami i powiadomień o koncie.
Jak egzekwowany jest dostęp
- Row Level Security jest włączone na każdej tabeli bez wyjątków; domyślnie jest to deny-all, a każda operacja wymaga jawnej polityki.
- Role w workspace'ie (owner, editor, viewer) są egzekwowane przez te polityki bazodanowe, a nie tylko ukrywane w interfejsie brak przycisku w UI to UX, nie zabezpieczenie.
- Linki udostępniania używają kryptograficznie generowanych tokenów o wysokiej entropii, zawsze mają datę wygaśnięcia i można je natychmiast odwołać.
- Środowiska chronione hasłem łączą hash hasła (scrypt) z TOTP lub kluczem dostępu (passkey), a opcjonalnie także z Kluczem Zabezpieczeń wydanym przez workspace, zanim jakakolwiek zawartość zostanie zwrócona.
Ochrona danych
Zawartość plików jest szyfrowana w spoczynku w Supabase Storage. Nie logujemy zawartości plików .env ani tokenów dostępu w logach aplikacji, error trackerach czy analityce.
Status zgodności
share.env jest produktem na wczesnym etapie. Nie przeszliśmy jeszcze certyfikacji SOC 2 ani ISO 27001 i nie twierdzimy inaczej. To, co faktycznie mamy, egzekwowane od pierwszego dnia: RLS na poziomie bazy danych, szyfrowanie w spoczynku oraz zasadę najmniejszych uprawnień dla poświadczeń service-role. Zaktualizujemy tę stronę, jeśli to się zmieni.
Zgłaszanie podatności
Jeśli znajdziesz problem z bezpieczeństwem, napisz na kpzsproductionscontact@gmail.com ze szczegółami i, jeśli to możliwe, krokami do odtworzenia. Nie prowadzimy jeszcze płatnego programu bug bounty, ale potwierdzimy zgłoszenie, szybko naprawimy potwierdzone problemy i uznamy autora zgłoszenia, jeśli sobie tego zażyczy.
Prosimy nie testować na danych ani workspace'ach innych użytkowników używaj własnego konta i środowisk.