Înapoi la homepage

Securitate & plăți

Ultima actualizare: 29.03.2026 • Versiune: v1.2

0. Rezumat (necontractual)

  • Tratăm securitatea ca proces continuu, nu ca promisiune absolută.
  • Plățile sunt procesate prin furnizori specializați; nu proiectăm produsul ca depozit local de date complete de card.
  • Aplicăm controale tehnice și comerciale pentru autentificare, billing, anti-abuz, logging și protecția suprafeței publice.
  • Pentru Voice/AI, controalele pot include validarea webhook-urilor, retenție scurtă, limitare de cost și ștergere/expirare controlată, unde funcțiile sunt activate.
  • Și tu ai responsabilități de securitate: cont, acces intern, device-uri, surse de date, legalitatea folosirii și configurarea corectă a fluxurilor.

Pentru cadrul complet vezi și Termeni, Confidențialitate, AUP și Abonamente & plăți.

1. Cum abordăm securitatea

Abordarea noastră urmărește principii de bază precum minimizarea accesului, separarea responsabilităților, protecția secretelor, validarea input-urilor, hardening la nivel de aplicație și infrastructură, logging și audit pentru acțiuni relevante, precum și controale proporționale cu riscul fiecărei funcții.

Nu publicăm aici toate detaliile tehnice interne, pragurile de detecție, topologia completă, regulile antifraudă, furnizorii operaționali sau procedurile de răspuns la incident în detaliu, deoarece o astfel de dezvăluire ar putea reduce eficiența controalelor defensive.

2. Securitatea contului și autentificării

  • Solicităm utilizarea unor parole puternice și unice și recomandăm evitarea reutilizării parolelor între servicii.
  • Aplicăm controale de autentificare, sesiune și hardening în mediile operaționale, inclusiv verificări de configurare critică în producție.
  • Putem folosi rate limiting, lockouts temporare, controale anti-abuz și jurnalizare a evenimentelor relevante de autentificare.
  • Accesul la funcții administrative este separat de accesul normal de utilizator și este protejat prin mecanisme server-side.
  • Ești responsabil să păstrezi confidențialitatea credențialelor și să ne notifici rapid dacă suspectezi compromiterea contului.

3. Securitatea aplicației și a browserului

Putem aplica controale precum TLS pentru transport, headere de securitate pentru browser, politici de origine, control al metodelor permise, limitarea expunerii erorilor și alte măsuri rezonabile de protecție la nivel de aplicație și răspuns HTTP.

  • Nu proiectăm experiența publică să expună stack trace-uri, secrete sau detalii inutile despre infrastructura internă.
  • Putem folosi politici de browser pentru a reduce riscuri de tip XSS, clickjacking, sniffing și embedding neautorizat.
  • În mediile de producție, anumite setări de runtime și cookie security pot fi tratate în regim fail-closed.
  • Putem corela cererile și incidentele prin identificatori tehnici de request, fără a transforma logurile publice în sursă de date sensibile.

4. Logging, audit și minimizarea expunerii

  • Folosim logging operațional, tehnic și de audit pentru stabilitate, investigații, securitate și suport.
  • Nu urmărim să transformăm logurile în depozit de conținut sensibil; acolo unde este posibil, reducem sau mascăm detaliile sensibile.
  • Putem păstra loguri și audit trail pentru acțiuni relevante ale utilizatorilor, ale administratorilor și ale sistemului.
  • Accesul la datele de audit și la instrumentele administrative este restricționat.

5. Plăți și securitatea procesării comerciale

Plățile pot fi procesate prin Stripe sau prin alți furnizori specializați activați de noi. Nu proiectăm produsul să stocheze local date complete de card.

  • Datele și fluxurile de plată pot fi supuse controalelor antifraudă, autentificării suplimentare, verificărilor comerciale și regulilor furnizorului de plăți.
  • Statusul final al unei plăți, al unui trial, al unei reînnoiri sau al unei dispute poate depinde de confirmări comerciale și tehnice ale furnizorului de plăți.
  • Webhook-urile, reconcilierea și facturarea pot fi folosite ca surse operaționale de adevăr pentru starea comercială a contului.
  • În caz de neplată, eșec de debitare, dispute, chargeback sau fraudă suspectată, accesul poate fi restricționat sau suspendat.

6. Integrații externe și webhook security

Platforma poate integra furnizori externi pentru SMS, voice, AI, plăți, facturare, email, observability și alte funcții auxiliare. Integrarea cu terți presupune și măsuri de validare a autenticității request-urilor, a configurării și a legăturii dintre evenimentele externe și conturile interne relevante.

  • Putem valida semnături, identificatori de eveniment, idempotency keys, status callbacks și alte elemente tehnice necesare pentru a reduce spoofing-ul și procesarea dublă.
  • Putem refuza request-uri, evenimente sau callback-uri atunci când validarea eșuează, când config-ul este incomplet sau când payload-ul este incompatibil cu politicile active.
  • Nu toate datele furnizate de terți sunt expuse către client; anumite operațiuni sensibile pot fi executate exclusiv server-side.

7. AI Calls, voice, recording și transcription

Dacă funcțiile Voice / AI sunt activate pentru contul tău, securitatea lor poate include controale suplimentare pentru cost, retenție, validarea callback-urilor, limitarea accesului, usage tracking și ștergerea controlată a anumitor date.

  • În funcție de configurare, unele fluxuri Voice/AI pot funcționa în regim fail-closed dacă lipsesc setări critice sau componente obligatorii.
  • Recording-ul și transcriptul nu trebuie privite ca arhivă permanentă; unele date pot avea retenție scurtă și pot fi șterse, redactate sau făcute indisponibile după expirarea ferestrei relevante.
  • În context Voice/AI putem aplica limite comerciale, budget caps, stop policies, credit controls și alte mecanisme de prevenire a consumului necontrolat.
  • Accesul la call details, transcripts, bundle-uri, usage și setări Voice/AI poate fi restricționat pe bază de rol și ownership.

Pentru obligațiile privind legalitatea folosirii, disclosure, recording și date personale vezi AUP și Politica de confidențialitate.

8. Secrete, configurare și hardening operațional

  • Cheile, token-urile, secretele și configurațiile sensibile trebuie tratate separat de codul sursă și de asset-urile publice.
  • Putem impune verificări stricte de config în producție pentru secrete, billing, cookie security, host-uri publice și alte setări critice.
  • Configurațiile parțiale sau inconsistente pot duce la refuzul pornirii anumitor componente sau chiar al aplicației, în funcție de criticitatea lor.
  • Nu publica secrete în ticket-uri, capturi, loguri exportate sau conversații de suport.

9. Ce trebuie să faci și tu

  • Păstrează-ți contul și device-urile sigure, actualizate și protejate adecvat.
  • Nu partaja accesul administrativ fără nevoie reală și fără control intern clar.
  • Nu încărca date, prompts, audio, exporturi sau materiale pe care nu ai dreptul să le folosești.
  • Configurează responsabil trial-uri, bundle-uri, overage, retenții, liste DNC și fluxurile Voice/AI.
  • Raportează rapid orice suspiciune de acces neautorizat, tranzacție suspectă, incident de securitate sau vulnerabilitate relevantă.

10. Limitări importante

  • Nicio platformă online nu poate garanta securitate absolută, disponibilitate perfectă sau lipsa completă a incidentelor.
  • Unele măsuri depind de furnizori terți, de setările contului tău, de mediul de rulare și de utilizarea efectivă a produsului.
  • Această pagină descrie abordarea generală și anumite controale tipice, dar nu reprezintă o garanție exhaustivă sau o listă completă a tuturor mecanismelor interne.

11. Raportarea vulnerabilităților și a incidentelor

Pentru raportarea responsabilă a vulnerabilităților, folosește pagina Raportare vulnerabilități.

Pentru incidente de securitate, suspiciuni de fraudă, chargeback abuse sau întrebări privind această pagină:
Email: office@tech-world.ro

Te rugăm să nu publici vulnerabilități necoordonat și să nu desfășori teste care afectează disponibilitatea, confidențialitatea sau integritatea datelor altor utilizatori.