Podwykonawcy
CRA Evidence korzysta z następujących podwykonawców zewnętrznych do świadczenia naszych usług. Lista ta jest utrzymywana zgodnie z art. 28 RODO i naszą Umową o Przetwarzanie Danych.
Powiadomienie o Zmianach
Poinformujemy klientów co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy. Można subskrybować aktualizacje kontaktując się z privacy@craevidence.com.
W przypadku sprzeciwu wobec nowego podwykonawcy, można go zgłosić w ciągu 30 dni od otrzymania powiadomienia kontaktując się z privacy@craevidence.com.
Podwykonawcy Infrastrukturalni
| Podwykonawca | Cel | Przetwarzane Dane | Lokalizacja |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting w chmurze, obliczenia i przechowywanie | Wszystkie dane klientów | eu-west-1 (Dublin, Irlandia) |
| Amazon RDS | Zarządzana baza danych PostgreSQL | Wszystkie dane strukturalne (konta, produkty, podatności) | eu-west-1 (Dublin, Irlandia) |
| Amazon S3 | Przechowywanie obiektów | SBOM, dokumenty techniczne, obrazy firmware | eu-west-1 (Dublin, Irlandia) |
| Amazon CloudFront | Dostarczanie treści i bezpieczeństwo brzegowe | Zasoby statyczne, routing żądań | Lokalizacje brzegowe UE |
| Amazon SES | Wysyłka transakcyjnych wiadomości e-mail | Adresy e-mail, treść powiadomień | eu-west-1 (Dublin, Irlandia) |
Podwykonawcy Aplikacyjni
| Podwykonawca | Cel | Przetwarzane Dane | Lokalizacja |
|---|---|---|---|
| Google Workspace | Przekaźnik SMTP do dostarczania wiadomości e-mail | Adresy e-mail, treść wiadomości | Globalna infrastruktura Google (SCCs UE zawarte) |
| Stripe | Przetwarzanie płatności | Nazwa rozliczeniowa, e-mail, metoda płatności | Stany Zjednoczone (SCCs UE / DPF) |
| Cloudflare Turnstile | Ochrona przed botami podczas rejestracji i logowania | Adres IP, odcisk przeglądarki | Przetwarzanie brzegowe (brak przechowywanych PII) |
| Tailscale | VPN zero-trust do administracyjnego dostępu do infrastruktury | Metadane urządzeń pracowników, dzienniki dostępu do sieci (brak treści klientów) | Serwer koordynacyjny: Kanada/USA; ruch danych: WireGuard peer-to-peer w ramach AWS UE |
| PostHog | Analityka produktowa (tryb bez ciasteczek na stronach publicznych, pełna analityka dla uwierzytelnionych użytkowników za zgodą) | Odsłony stron, wykorzystanie funkcji, zanonimizowane dane interakcji | UE (eu.posthog.com, Frankfurt, Niemcy) |
Komponenty Samodzielnie Hostowane
| Komponent | Cel | Przetwarzane Dane | Lokalizacja |
|---|---|---|---|
| Trivy (Aqua Security) | Skanowanie podatności SBOM | Zawartość SBOM, metadane pakietów | Samodzielnie hostowane w naszej infrastrukturze AWS (eu-west-1) |
Uwagi
- Wszystkie dane klientów są przechowywane wyłącznie w UE (AWS eu-west-1, Dublin, Irlandia).
- Stripe przetwarza dane płatnicze w Stanach Zjednoczonych na podstawie Standardowych Klauzul Umownych (SCCs) i Ramy Ochrony Danych UE-USA (DPF).
- Google Workspace jest objęty Cloud Data Processing Addendum (CDPA), który zawiera Standardowe Klauzule Umowne dla transferów międzynarodowych.
- Cloudflare Turnstile przetwarza dane na brzegu wyłącznie w celu ochrony przed botami. Żadne dane osobowe nie są przechowywane.
- Trivy działa w pełni w ramach naszej własnej infrastruktury i nie wysyła danych do zewnętrznych usług.
- Serwer koordynacyjny Tailscale zarządza wyłącznie tożsamością urządzeń i wymianą kluczy. Cały ruch danych odbywa się peer-to-peer z szyfrowaniem WireGuard w ramach naszej infrastruktury AWS. Żadne dane klientów nie przechodzą przez serwery Tailscale.
- PostHog działa w trybie bez ciasteczek na stronach publicznych, zbierając jedynie zanonimizowane dane o odsłonach stron bez ustawiania ciasteczek czy korzystania z lokalnego magazynu. Dla uwierzytelnionych użytkowników, którzy wyrażą zgodę na analitykę, PostHog dostarcza informacje o wykorzystaniu funkcji. Wszystkie dane są przetwarzane w UE (Frankfurt, Niemcy).
Kontakt
W przypadku pytań dotyczących naszych podwykonawców prosimy o kontakt pod adresem privacy@craevidence.com.
Ostatnia aktualizacja: Luty 2026.