Regulamin Świadczenia Usług

1.1. Niniejszy Regulamin określa zasady świadczenia usług drogą elektroniczną przez platformę Wirtualna Tarcza, dostępną pod adresem wirtualnatarcza.pl (dalej: “Platforma” lub “Usługa”).

1.2. Właścicielem i operatorem Platformy jest podmiot prowadzący działalność pod marką “Wirtualna Tarcza” (dalej: “Usługodawca”).

1.3. Korzystanie z Platformy jest równoznaczne z akceptacją niniejszego Regulaminu w całości.

2.1. Platforma świadczy zautomatyzowane usługi audytu cyberbezpieczeństwa stron internetowych, polegające m.in. na:

• skanowaniu portów TCP wskazanego hosta (21 portów: bazy danych, SSH, Docker, Redis, MongoDB, RDP i inne),
• weryfikacji dostępności wrażliwych zasobów i plików (32 ścieżki: .env, .git, phpmyadmin, Swagger UI, panele administracyjne i inne),
• analizie nagłówków bezpieczeństwa HTTP (12 nagłówków: HSTS, CSP, X-Frame-Options, CORS, cookies, Referrer-Policy i inne),
• weryfikacji rekordów DNS domeny (SPF, DMARC, DKIM, CAA) oraz wykrywaniu potencjalnych przejęć subdomen (subdomain takeover),
• analizie bundle JavaScript w poszukiwaniu wycieków kluczy API i sekretów (Stripe, AWS, OpenAI, Anthropic, Supabase, SendGrid, Resend, GitHub i inne),
• audycie uwierzytelnienia i konfiguracji Supabase (Row Level Security, Edge Functions, open signup) oraz Firebase (Security Rules, Realtime Database),
• sprawdzaniu ekspozycji GraphQL introspection i niezabezpieczonych endpointów API zwracających dane bez uwierzytelnienia,
• analizie formularzy POST pod kątem brakujących tokenów CSRF,
• wykrywaniu ekspozycji adresów e-mail w kodzie strony stwarzających ryzyko harvestingu,
• weryfikacji ważności i wersji certyfikatu SSL/TLS (TLS 1.0/1.1, wygaśnięcie),
• audycie zgodności z RODO/UODO: polityka prywatności, regulamin, skrypty śledzące bez zgody cookie (GA, Meta Pixel, TikTok Pixel, Hotjar), brak security.txt.

2.2. Wyniki skanowania mają charakter informacyjny i nie stanowią certyfikacji bezpieczeństwa. Zakres sprawdzanych kategorii może się rozszerzać wraz z rozwojem Platformy.

3.1. Usługa jest dostarczana w stanie “tak jak jest” (As Is) i “w miarę dostępności” (As Available). Usługodawca nie udziela żadnych gwarancji — wyraźnych ani dorozumianych — co do kompletności, dokładności lub przydatności wyników audytu.

3.2. Usługodawca nie gwarantuje wykrycia 100% podatności bezpieczeństwa. Skaner może nie wykryć podatności wymagających uwierzytelnienia, podatności warstwy aplikacji (np. logika biznesowa), ani zagrożeń wymagających aktywnej eksploatacji.

3.3. Wyniki audytu powinny być traktowane jako wskazówka do dalszej analizy przez wykwalifikowanego specjalistę ds. bezpieczeństwa, nie zaś jako wyczerpujący raport bezpieczeństwa.

4.1. Korzystając z Platformy, Użytkownik oświadcza pod rygorem odpowiedzialności karnej i cywilnej, że:

• jest właścicielem domeny wskazanej do skanowania lub posiada wyraźne, pisemne upoważnienie od właściciela domeny do przeprowadzenia audytu bezpieczeństwa,
• rozumie, że nieautoryzowane skanowanie systemów informatycznych może stanowić przestępstwo w rozumieniu art. 267 Kodeksu karnego (nieautoryzowany dostęp do systemu informatycznego).

4.2. Umieszczenie tagu weryfikacyjnego (<meta name="security-scan">) na wskazanej domenie i jego potwierdzenie przez skaner stanowi techniczną formę potwierdzenia uprawnień do przeprowadzenia audytu.

4.3. Użytkownik zobowiązuje się do niezłośliwego i zgodnego z prawem korzystania z Platformy, w szczególności zakazuje się używania Platformy do ataków na systemy informatyczne.

5.1. Usługodawca nie ponosi żadnej odpowiedzialności za:

• ewentualne przerwy w działaniu skanowanych stron internetowych wynikłe z obciążenia skanowaniem,
• awarie serwisów zewnętrznych wynikłe bezpośrednio lub pośrednio z procesu skanowania,
• decyzje biznesowe, techniczne lub prawne podjęte przez Użytkownika na podstawie wyników audytu,
• szkody wynikłe z niepoprawnej interpretacji wyników skanowania,
• nieuprawnione użycie Platformy przez Użytkownika lub osoby trzecie.

5.2. W zakresie dopuszczalnym przez obowiązujące prawo, całkowita odpowiedzialność Usługodawcy wobec Użytkownika z tytułu korzystania z Platformy jest ograniczona do kwoty faktycznie uiszczonych przez Użytkownika opłat za korzystanie z Platformy.

6.1. Zasady przetwarzania danych osobowych Użytkowników określone są w Polityce Prywatności stanowiącej integralną część niniejszego Regulaminu.

7.1. Regulamin może ulec zmianie. O istotnych zmianach Usługodawca poinformuje Użytkowników z co najmniej 14-dniowym wyprzedzeniem.

7.2. W sprawach nieuregulowanych niniejszym Regulaminem zastosowanie mają przepisy prawa polskiego, w szczególności Kodeksu cywilnego oraz ustawy o świadczeniu usług drogą elektroniczną.

7.3. Wszelkie spory wynikłe z korzystania z Platformy rozstrzygane będą przez właściwy sąd powszechny w Polsce.