Lista podwykonawców
NavyFlame angażuje podwykonawców (sub-processors) zgodnie z art. 28 RODO do świadczenia platformy. Aktualizacje tej listy publikujemy z 30-dniowym wyprzedzeniem. Klient ma prawo zgłosić sprzeciw zgodnie z DPA §5.
Infrastruktura / compute
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Contabo GmbH | Hosting VPS tenanta (provider domyślny) | Niemcy (Norymberga) | Wszystkie dane biznesowe tenanta, logi aplikacji | N/D — siedziba w UE |
| Hetzner Online GmbH | Alternatywny hosting VPS (#293, multi-cloud) | Niemcy (Falkenstein / Helsinki) | Jak Contabo, gdy klient wybierze | N/D — siedziba w UE |
| AWS Lightsail (Amazon Web Services) | Alternatywny hosting VPS | Region wybrany przez klienta | Jak powyżej | Standardowe Klauzule Umowne UE (Module 3) + DPF dla regionów USA |
Płatności
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Stripe Payments Europe Limited | Płatności subskrypcyjne (NavyFlame ↔ klient) | Irlandia (główny) + USA (backup) | Dane kontaktowe rozliczeniowe, Stripe customer ID, tokeny metod płatności | Stripe SCCs + DPF |
Edge / CDN / DNS
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Cloudflare, Inc. | DNS (navyflame.com), CDN, WAF, edge Workers (Stripe webhook + tenant routing), KV, R2 (image registry mirror) | Globalny edge — najbliższy POP | Adresy IP (transport), tenant slugi (KV), payloady webhooków (transport) | SCCs UE + DPF |
Source control + container registry
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| GitHub, Inc. (Microsoft) | Hosting kodu źródłowego, container registry (GHCR), CI/CD | USA | Wyłącznie kod źródłowy — bez danych osobowych klientów | SCCs UE + DPF |
Storage + archive
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| AWS S3 | Przechowywanie backupów (30 dni hot, 90 dni Glacier) | UE (Irlandia — eu-west-1) | Backupy danych biznesowych tenanta (szyfrowane at-rest, per-tenant) | N/D — region UE |
Observability
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Sentry (Functional Software Inc.) | Error tracking (backend + frontend) | Niemcy (Frankfurt — sentry.io/eu) | User ID, stack traces, IP (PII scrubbed) | N/D — region UE |
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Resend / Mailgun / SendGrid / SMTP (wybór klienta) | Wysyłka emaili do klientów końcowych | Zależne od dostawcy | Adresy email odbiorców, treść maili | Zależne od dostawcy — klient odpowiada za zgodność wybranego dostawcy |
PKI
| Subprocesor | Cel | Lokalizacja | Kategorie danych | Mechanizm transferu |
|---|---|---|---|---|
| Smallstep Inc. (Step CA — self-hosted) | mTLS PKI dla Node Agent ↔ backend | Infrastruktura NavyFlame (UE) | Identyfikatory nodów (bez danych osobowych) | N/D — self-hosted |
Mechanizm transferu
Dla podwykonawców spoza EOG NavyFlame stosuje:
- Standardowe Klauzule Umowne UE (Module 3 — Processor to Sub-processor).
- Data Privacy Framework dla subprocesorów certyfikowanych (Cloudflare, Stripe, GitHub, AWS).
- Transfer Impact Assessment dostępne na życzenie klienta.
Ostatnia aktualizacja: 2026-05-11. Historia zmian dostępna na życzenie (kontakt: legal@navyflame.com).