← Powrót

Jak to działa

Pełna anonimowość przez kryptografię, nie przez obietnice. Nawet jeśli policja zażąda od nas Twoich zgłoszeń, dostarczymy zaszyfrowany blob którego nie możemy odczytać.

Setup (5 minut, jednorazowo)

  1. 1

    Rejestracja firmy

    Email służbowy + nazwa firmy + NIP + liczba pracowników. 14-day trial Pro tier startuje od razu.

  2. 2

    Generowanie keypair RSA-OAEP-2048

    Twoja przeglądarka generuje keypair lokalnie (Web Crypto API, brak transmisji do nas). Klucz publiczny wysyłamy do bazy. Klucz prywatny zaszyfrowany hasłem (PBKDF2 600k iteracji + AES-GCM-256) pobierasz jako plik JSON i robisz backup.

  3. 3

    Generujemy procedurę PDF

    Wzór compliance z Twoim logo i danymi firmy. Edytuj w Word jeśli chcesz, ale zwykle wystarczy podpis zarządu.

  4. 4

    Konfiguracja kanału

    Otrzymujesz publiczny URL formularza /zgloszenie/<id-firmy>. Możesz go embed-ować w intranet lub przekazać sygnalistom. Powiadomienia mailowe dla administratorów aktywne od dnia 1.

  5. 5

    Pierwsze zgłoszenie

    Przekaż link sygnalistom. Pierwsze zgłoszenie zwykle wpływa w ciągu tygodnia.

Cykl życia zgłoszenia

  1. 1. Sygnalista wypełnia formularz na yourcompany.sygnalista24.com. Może być całkowicie anonim (zalecane) lub identyfikowalny.
  2. 2. Treść jest szyfrowana w przeglądarce z Twoim publicznym kluczem RSA. Wynik to bezsensowny ciąg bajtów.
  3. 3. Wysyłamy do bazy zaszyfrowany blob + tracking_id. My nie znamy treści, jedynie metadata (kategoria, timestamp).
  4. 4. Powiadamiamy admina emailem (bez treści — tylko tracking_id i terminy ack/decision). Plus dashboard z licznikiem deadline.
  5. 5. Admin wczytuje klucz prywatny w przeglądarce (lokalnie) → odszyfrowuje blob → widzi treść.
  6. 6. 7-day ack + 3-month decision auto-tracked. System pilnuje terminów.
  7. 7. Sygnalista sprawdza status przez tracking_id (anonymous lookup).
  8. 8. Po 3 latach (art. 8 ust. 8 + art. 29 ust. 5) auto-purge zgłoszenia + decyzji.

Dlaczego my nie możemy odszyfrować?

Klucz prywatny RSA-OAEP-2048 nigdy nie opuszcza Twojej przeglądarki. My przechowujemy tylko klucz publiczny (do encryption) i zaszyfrowany blob (do storage). Bez Twojego klucza prywatnego nie ma technicznej możliwości odczytania treści zgłoszenia.

To jest zero-knowledge architecture. Standardowy w bankowości + E2E messengers (Signal). Po raz pierwszy w polskim whistleblowing SaaS.

FAQ techniczne

Co jeśli stracę klucz prywatny admina?

Brak recovery — to konsekwencja prawdziwej anonimowości. Polecamy backup w 2 miejscach: szyfrowany USB w sejfie + chmura osobista (1Password, Bitwarden). Plus drugi admin z osobnym keypair (Pro tier).

Czy Web Crypto API jest bezpieczne?

Tak. Web Crypto API jest natywnym standardem przeglądarek (Chrome/Firefox/Safari/Edge), używanym przez banki i Signal. RSA-OAEP-4096 + AES-GCM-256 to rekomendacja NIST + ENISA.

Co jeśli przeglądarka kompromituje klucz (malware)?

Możliwe ryzyko, ale ograniczone. Klucz jest w pamięci przeglądarki tylko podczas decryption (kilka sekund). Po decrypt, klucz jest wyczyszczony. Plus rekomendujemy używać dedicated browser profile dla Sygnalista24 (Firefox container, Chrome separate profile).

Czy spełniacie wymóg sądowy (subpoena)?

Tak — dostarczamy zaszyfrowany blob który nie możemy odczytać + metadata (timestamp, kategoria). Sąd musi zażądać klucza prywatnego od admina firmy. To jest exact pożądane behavior dla anonymous reporting per ustawa 2024/928 + RODO.

Zacznij setup teraz (5 min)