Powrót do strony głównej

Polityka Prywatności

Polityka prywatności i plików cookies platformy Lureless

Data ostatniej aktualizacji: 15 grudnia 2025

§1. Kto jest Kim? (RODO w Pigułce)

W celu zapewnienia pełnej przejrzystości działania platformy Lureless ("Platforma"), musimy rozróżnić dwie sytuacje przetwarzania danych osobowych:

Sytuacja A: Jesteś naszym Klientem (B2B)

Zakładasz konto, płacisz za usługę, konfigurujesz kampanie. W tym zakresie Administratorem Twoich danych jest: [PEŁNA NAZWA SPÓŁKI] z siedzibą w [MIASTO], [ADRES], NIP: [NIP] ("Operator").

Sytuacja B: Jesteś Pracownikiem testowanym przez Klienta ("Cel")

Twoje dane (e-mail, imię, nazwisko, wyniki testów) trafiły do Platformy, ponieważ Twój pracodawca prowadzi testy bezpieczeństwa. W tym zakresie Administratorem danych jest Twój Pracodawca (nasz Klient), a Lureless działa wyłącznie jako Podmiot Przetwarzający (Procesor), wykonujący polecenia Pracodawcy na podstawie Umowy Powierzenia Przetwarzania Danych.

§2. Jakie Dane Zbieramy i Po Co?

2.1. Dane Klientów (Administratorów Kont)

Przetwarzamy dane niezbędne do świadczenia usługi SaaS:

  • Dane rejestracyjne: Adres e-mail, hasło (hashowane), nazwa firmy.
  • Dane rozliczeniowe: Historia płatności, dane do faktury (płatności realizowane są przez zewnętrznego operatora Stripe, Lureless nie przechowuje pełnych numerów kart kredytowych).
  • Dane techniczne: Adres IP logowania do panelu admina, logi systemowe.

2.2. Dane Celów (Pracowników) w ramach Symulacji

W imieniu Klienta, Platforma przetwarza:

  • Dane identyfikacyjne: Służbowy adres e-mail, imię, nazwisko, stanowisko.
  • Dane behawioralne (Telemetryczne):
    • Status otwarcia wiadomości e-mail (tracking pixel).
    • Kliknięcie w link symulacyjny (przekierowanie przez domeny Lureless).
    • Informacje o przeglądarce i systemie operacyjnym (User-Agent).
    • Adres IP, z którego nastąpiła interakcja.
  • Zrzuty ekranu (Screenshots): W przypadku niektórych kampanii, system może wykonać zrzut ekranu przeglądarki w momencie otwarcia fałszywej strony, w celach edukacyjnych i dowodowych.
  • Wprowadzone dane (Data Submission): System rejestruje fakt wprowadzenia danych na fałszywej stronie logowania.

Ważne: System NIE ZAPISUJE treści wprowadzonych haseł – rejestrowany jest jedynie fakt wprowadzenia danych.

§3. Mechanizmy Śledzące (Tracking Pixels i Cookies)

Platforma wykorzystuje technologie śledzące niezbędne do realizacji celów edukacyjnych (Security Awareness):

  • Cookies Sesyjne (Admin): Niezbędne do utrzymania sesji zalogowanego Klienta w panelu administracyjnym.
  • Tokeny Kampanii (Symulacja): Każda wiadomość phishingowa wysyłana przez Lureless zawiera unikalny identyfikator (token) w linkach oraz niewidoczny piksel śledzący (1x1 px obrazek). Pozwala to na:
    • Weryfikację, czy użytkownik otworzył wiadomość.
    • Mierzenie czasu reakcji na incydent.
    • Automatyczne przypisanie użytkownika do szkolenia po "złowieniu".

Blokowanie trackingu: Użytkownik może zablokować ładowanie obrazków w swoim kliencie pocztowym, co uniemożliwi wykrycie otwarcia maila, ale nie wpłynie na wykrycie kliknięcia w link.

§4. Odbiorcy Danych (Sub-Procesorzy)

Aby Platforma działała, korzystamy ze sprawdzonych dostawców usług. Twoje dane mogą być przekazywane do:

  • Stripe Inc. (USA) – w celu realizacji płatności cyklicznych.
  • Dostawcy usług chmurowych i hostingowych (np. Vercel, AWS, Google Cloud) – w celu utrzymania infrastruktury serwerowej i baz danych.
  • OpenAI (USA/Irlandia) – wyłącznie w zakresie generowania treści wiadomości przez moduły AI (dane osobowe pracowników nie są wykorzystywane do trenowania modeli AI).
  • Dostawcy infrastruktury SMTP (np. Mailgun, SendGrid, Amazon SES) – niezbędni do technicznego wysłania wiadomości e-mail.

Wszyscy dostawcy spoza EOG (Europejskiego Obszaru Gospodarczego) są weryfikowani pod kątem zgodności z RODO (Standardowe Klauzule Umowne).

§5. Czas Przechowywania Danych (Retencja)

  • Dane Klienta: Przechowywane przez okres trwania umowy oraz po jej zakończeniu przez czas wymagany przepisami podatkowymi (5 lat) lub do czasu przedawnienia roszczeń.
  • Dane z Symulacji (Raporty): Szczegółowe logi z kampanii (kto kliknął, kiedy, IP) są przechowywane przez okres 12 miesięcy od zakończenia kampanii, a następnie są anonimizowane (usuwane dane osobowe, pozostają statystyki ogólne), chyba że Klient w ustawieniach konta zdefiniuje krótszy okres retencji.
  • Zrzuty ekranu: Są usuwane automatycznie po 30 dniach od zakończenia kampanii.

§6. Twoje Prawa

Jeśli jesteś Klientem:

Masz prawo dostępu do swoich danych, ich sprostowania, usunięcia ("prawo do bycia zapomnianym"), ograniczenia przetwarzania oraz przenoszenia danych.

Jeśli jesteś Pracownikiem (Celem):

Twoje żądania dotyczące praw RODO (np. usunięcie z bazy, podgląd danych) powinieneś kierować bezpośrednio do swojego Pracodawcy (Administratora Danych). Lureless nie może samodzielnie usuwać danych pracowników bez dyspozycji Klienta, chyba że wynika to z przepisów prawa.

§7. Bezpieczeństwo

Stosujemy następujące środki bezpieczeństwa:

  • Szyfrowanie połączeń (TLS 1.3)
  • Haszowanie haseł (bcrypt/argon2)
  • Restrykcyjne zasady dostępu do bazy danych

Pamiętaj, że Lureless jest narzędziem do symulacji zagrożeń – jego natura wymaga operowania na elementach przypominających zagrożenia (np. fałszywe domeny).

§8. Kontakt

W sprawach związanych z ochroną danych osobowych prosimy o kontakt:

  • E-mail: privacy@lureless.com
  • Adres korespondencyjny: [ADRES SIEDZIBY OPERATORA]