Bezpieczeństwo i zgodność strony

Strona działa jako aplikacja Next.js uruchomiona lokalnie na serwerze, za reverse proxy Nginx. Publiczny ruch przechodzi przez HTTPS na Nginx, a aplikacja nasłuchuje wyłącznie lokalnie za warstwą proxy.

Certyfikat TLS obsługuje Let's Encrypt. Serwer utrzymuje krótkie logi techniczne i nie zapisuje treści formularza w lokalnej bazie danych.

Formularz wykorzystuje podstawowe mechanizmy ograniczające automatyczny spam i nadużycia, walidację danych, limit rozmiaru treści oraz ograniczenie częstotliwości wysyłki.

Pierwszy kontakt jest celowo krótki. W sprawach wymagających większej poufności dalsze materiały są przekazywane po ustaleniu kanału, zakresu, osób kontaktowych i ewentualnego NDA.

Konfiguracja produkcyjna korzysta z nagłówków bezpieczeństwa: HSTS, Content Security Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Cross-Origin-Opener-Policy i Permissions-Policy.

CSP ogranicza źródła treści, skryptów, stylów, obrazów i połączeń. W obecnym modelu statycznej strony Next.js dopuszczone są wybrane elementy inline wymagane przez framework i style, a publiczna warstwa Nginx pilnuje spójnej polityki dla wszystkich odpowiedzi.

Strona została przygotowana z podejściem opartym na ograniczeniu powierzchni ataku, minimalizacji danych, szyfrowanej transmisji, krótkiej retencji logów i kontroli dostępu administracyjnego.

Opis nie oznacza certyfikacji, audytu zewnętrznego ani deklaracji statusu podmiotu kluczowego lub ważnego w rozumieniu NIS2 albo krajowego systemu cyberbezpieczeństwa. Jest to publiczne wyjaśnienie przyjętych zabezpieczeń strony kontaktowej.

Formularz i zwykła poczta e-mail służą do pierwszego rozpoznania sprawy. To dobre miejsce na temat, termin, ogólny kontekst i sposób odpowiedzi zgodny z podanym kontaktem.

Dane dostępowe, dokumenty tożsamości, pełne plany obiektów, szczegółowe informacje o trasach, członkach rodziny, systemach alarmowych albo incydentach przekazuje się dopiero po ustaleniu kanału właściwego dla danej sprawy.