narratic.
§ Zaufanie

Bezpieczeństwo

Ostatnia aktualizacja: June 2026

Redakcje pracują z przeciekami, sygnalistami i źródłami, które im zaufały. Poniżej — co robimy, żeby chronić to zaufanie na warstwie aplikacji i platformy.

Izolacja workspace'ów

Każdy zespół ma własny workspace. Sprawdzenia uprawnień idą na każdym żądaniu API — nie ma współdzielonego cache'a ani odpytania między workspace'ami, które mogłoby przeciekać dane między organizacjami.

Granularne uprawnienia

15 presetów ról (reporter, redaktor, naczelny, fotoedytor, gość, podgląd, …) × ~50 granularnych uprawnień, z zasięgiem ALL/OWN. Reporter nie widzi materiałów redaktora naczelnego, dopóki nie zostaną mu jawnie udostępnione.

Polityka danych AI

Funkcje AI wywołują OpenAI i Anthropic na warunkach enterprise — Twoje materiały nigdy nie są używane do trenowania modeli. Każda sesja czatu jest logowana wraz z załącznikami i kosztem każdego wywołania, żeby można było zaudytować, kto i o co pytał.

Odpowiedzi AI do audytu

Każda odpowiedź AI jest osadzona w konkretnych materiałach, które dołączyłeś. Interfejs czatu pokazuje, które źródła zobaczył model — fact-check sprowadza się do czytania chipów cytatów, a nie całego pipeline'u.

Szyfrowanie

  • W tranzycie — wyłącznie HTTPS (HSTS preload), TLS 1.3 tam, gdzie klient to obsługuje.
  • W spoczynku — PostgreSQL na zarządzanych dyskach Digital Ocean (szyfrowanie na warstwie wolumenu); backupy szyfrowane rotowanymi kluczami.
  • Autoryzacja — krótkotrwały JWT (15 min) z rotacją refresh tokena w ciasteczku httpOnly, same-origin.

Mniejsza powierzchnia ataku

Praca w terenie jest z założenia offline-first. Zmiany kolejkują się w przeglądarkowym IndexedDB i synchronizują, kiedy sieć wraca — mniej danych w tranzycie oznacza mniej danych narażonych podczas lotu, w kawiarni czy na nieprzyjaznym wi-fi.

Hosting

Aplikacja i baza w Digital Ocean Frankfurt (UE). Bez centrów danych w USA, bez replik transatlantyckich.

Odpowiedzialne ujawnianie podatności

Znalazłeś coś? Napisz na security@narratic.app. Potwierdzimy w ciągu 72 godzin i będziemy z Tobą współpracować w dobrej wierze. Nie mamy jeszcze programu bug bounty, ale wymieniamy zgłaszających w notatkach o poprawkach, jeśli sobie tego życzą.