POLEGIS
POLEGIS

Polityka prywatności i bezpieczeństwa - POLEGIS System Wsparcia Zarządzania

Data obowiązywania: 10 czerwca 2026 r.

Niniejsza polityka wyjaśnia, jak POLEGIS Sp. z o.o. przetwarza dane w aplikacji POLEGIS na iPhone i iPad oraz w połączonym systemie POLEGIS CMS/CRM.

Administrator i kontakt

  • Administratorem danych jest POLEGIS Sp. z o.o., adres siedziby: Milenijna 43 / 2, 03-130 Warszawa, Polska.
  • Identyfikatory spółki: KRS 0001225297, NIP 9512641899, REGON 54404427500000.
  • Kontakt: biuro@polegis.pl; kontakt w sprawach ochrony danych: iod@polegis.pl.

Dane przetwarzane przez aplikację

  • Identyfikatory konta, login, adres e-mail, rola, dane sesji oraz zdarzenia uwierzytelniania.
  • Nagłówki poczty, wybrana treść wiadomości, załączniki oraz dane odpowiedzi i nowych wiadomości, gdy użytkownik korzysta z poczty.
  • Wiadomości czatu, metadane grup, załączniki, liczniki nieprzeczytanych i dane parowania zaufanych urządzeń.
  • Notatki, dane udostępnień notatek, odpowiedzi ankiet KSC, elementy wiedzy operacyjnej, diagnostyka i logi bezpieczeństwa.
  • Metadane urządzenia potrzebne do logowania natywnego, powiadomień, statusu sejfu i monitorowania bezpieczeństwa.

Cele i podstawy przetwarzania

  • Udostępnianie konta POLEGIS, mobilnego obszaru pracy, poczty, notatek, czatu, ankiet KSC i funkcji wsparcia użytkownika.
  • Zabezpieczenie systemu, wykrywanie podejrzanych logowań, prowadzenie audytu oraz wysyłka alertów administracyjnych.
  • Realizacja obowiązków prawnych, księgowych i organizacyjnych POLEGIS oraz uprawnionych użytkowników systemu.

Bezpieczeństwo i szyfrowanie

  • Komunikacja z backendem odbywa się przez HTTPS/TLS.
  • Aplikacja iOS przechowuje tokeny dostępu i metadane lokalnego sejfu w iOS Keychain.
  • Secure Messaging może używać szyfrowania end-to-end i parowania zaufanych urządzeń. Odczyt zaszyfrowanych wiadomości może wymagać sparowanego urządzenia lub procedury recovery.
  • Aplikacja nie udostępnia samodzielnego narzędzia kryptograficznego, VPN, sieci anonimizującej ani funkcji kryptowalutowych.

Model szyfrowania i algorytmy

  • Secure Messaging wykorzystuje model recoverable multi-device Threema-inspired / MLS-inspired E2EE: oddzielnie traktowane są live room transport, lokalny sejf urządzenia, archiwum użytkownika, backup użytkownika i odtwarzanie usługi po awarii. Nie jest to oficjalny produkt Threema, implementacja protokołu Threema ani integracja z infrastrukturą Threema.
  • Operacje kryptograficzne po stronie klienta webowego wykorzystują bibliotekę libsodium, czyli prymitywy kryptograficzne z rodziny NaCl. Backend przechowuje klucze publiczne, metadane routingu, stan urządzeń i ciphertexty; klucze prywatne pozostają w lokalnym sejfie albo w backupie recovery kontrolowanym przez użytkownika.
  • Sejf lokalny i backup użytkownika: wyprowadzenie klucza z PIN-u/hasła przez Argon2id13 z losową solą oraz szyfrowanie uwierzytelnione XChaCha20-Poly1305-IETF dla poufności i integralności zaszyfrowanego sejfu/backupów.
  • Koperty wiadomości, archiwum i parowania: libsodium crypto_box_seal, czyli sealed boxes tworzone dla klucza publicznego odbiorcy i możliwe do otwarcia wyłącznie odpowiadającym kluczem prywatnym.
  • Klucze i podpisy: klucze podpisujące Ed25519 służą do podpisów detached danych urządzeń; pary kluczy Curve25519/X25519 crypto_box są używane dla wymiany kluczy, kluczy archiwum i kopert sealed-box.
  • Transport i zapis na urządzeniu: HTTPS/TLS zabezpiecza komunikację sieciową; iOS przechowuje tokeny i metadane lokalnego sejfu w iOS Keychain; klient webowy szyfruje sejf przed zapisem w IndexedDB.
  • Odnośnik do firmy, której model bezpiecznej komunikacji stanowił inspirację projektową: Threema.

Informacja prywatności Apple

  • Dane nie są używane do śledzenia reklamowego ani do sieci reklamowych stron trzecich.
  • Kategorie danych mogą obejmować dane kontaktowe, treści użytkownika, identyfikatory, dane użycia i diagnostykę, powiązane z użytkownikiem dla funkcji aplikacji, bezpieczeństwa i zarządzania kontem.
  • Tokeny powiadomień push, jeśli są aktywne, służą wyłącznie do powiadomień systemowych, np. o poczcie, czacie albo bezpieczeństwie.

Retencja, odbiorcy i prawa

  • Dane są przechowywane przez okres wymagany do świadczenia usługi, rozliczalności audytu i wykonania obowiązków prawnych.
  • Dane mogą być przetwarzane przez dostawców hostingu, poczty, SMS, analityki, bezpieczeństwa oraz platformy Apple na podstawie właściwych uzgodnień.
  • Użytkownik może żądać dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu lub przenoszenia danych w zakresie wynikającym z RODO.

Apple App Store: Ta strona jest publiczną informacją o prywatności, bezpieczeństwie i szyfrowaniu dla aplikacji POLEGIS z App Store na iPhone i iPad.