Bezpieczeństwo

Bezpieczeństwo wbudowane w architekturę — nie przyklejone później

Fliko projektuje z redukcją zakresu PCI-DSS przez tokenizację, TLS 1.3 w tranzycie i RODO jako standard. Nie twierdzimy, że jesteśmy certyfikowani tam, gdzie nie jesteśmy — mówimy dokładnie co robimy i jak.

Tokenizacja kart

Brak przechowywania danych karty

Aktywna

Bot detection

3 warstwy detekcji

Aktywna

TLS 1.3 w tranzycie

Szyfrowanie end-to-end

Aktywna

Ochrona przed odsprzedażą

Trzy warstwy detekcji botów

Velocity Checks

Maksymalna liczba transakcji z jednego adresu IP / device fingerprint / konta w oknie czasowym konfigurowalnym per event. Domyślnie: 3 bilety na 15 minut dla standardowych eventów, 1 bilet na 60 sekund przy premierowej sprzedaży.

Device Fingerprinting

Unikalna sygnatura urządzenia budowana z 40+ sygnałów przeglądarki i systemu — bez invasive tracking, wyłącznie dane behawioralne dostępne przez standardowe Web API. Jeden device kupujący na wielu kontach? Flaga. Jeden user identyfikowany na wielu urządzeniach w krótkim oknie? Zwiększona obserwacja.

Cross-event Behavioral Analysis

Zachowania zakupowe analizowane w poprzek eventów. Konto, które kupiło bilety na event #1 i oferuje je powyżej nominalnej przed eventem #2 — zostaje zablokowane przed otwarciem sprzedaży eventu #3.

Wykrywanie automatyzacji

Analiza timing patterns checkout — człowiek wypełnia formularz inaczej niż skrypt. Headless browser detection. CAPTCHA challenge dla podejrzanych sesji, bez spowalniania zwykłych użytkowników.

Ochrona danych

Bezpieczeństwo danych płatniczych i osobowych

RODO (GDPR)

Jako firma zarejestrowana w Polsce i przetwarzająca dane obywateli UE działamy zgodnie z RODO. Dane osobowe kupujących przechowywane wyłącznie przez czas niezbędny do rozliczeń i ewentualnych reklamacji. Prawo do usunięcia danych honorowane w 30 dni od żądania.

Zakres PCI-DSS zredukowany przez tokenizację

Dane karty nigdy nie trafiają na serwery Fliko — PSP obsługuje wrażliwe dane po swojej stronie, Fliko otrzymuje i przechowuje wyłącznie tokeny płatnicze. Architektura zaprojektowana z myślą o minimalizacji zakresu PCI-DSS. Fliko nie jest certyfikowanym procesorem kart — pełną odpowiedzialność za dane karty nosi certyfikowany PSP.

Szyfrowanie i dostęp

Dane w spoczynku szyfrowane AES-256. TLS 1.3 w tranzycie. Dostęp do baz danych na zasadzie najmniejszych uprawnień. Logi audytowe dla wszystkich akcji administratora.

Przenoszenie biletów

Face-value transfer: odsprzedaż po cenie nominalnej

Gdy fan chce przekazać bilet, Fliko umożliwia transfer wyłącznie po cenie nominalnej — bez możliwości zarobku na odsprzedaży.

Transfer tylko do zidentyfikowanego odbiorcy (email weryfikacja)
Cena transferu = cena zakupu (brak możliwości podniesienia)
Ograniczona liczba transferów per bilet konfigurowana przez promotora
Pełny audit trail — promotor widzi kto trzyma bilet w danym momencie

Pytania techniczne o architekturę bezpieczeństwa? Odpiszemy konkretnie.

Kontakt