Applied FuSa
← Wróć do strony głównej Bezpieczeństwo & prywatność

Przejrzyste. Techniczne. Weryfikowalne.

Nasze narzędzia często przetwarzają wrażliwe dane inżynieryjne. Spisaliśmy dokładnie, gdzie te dane żyją, jak długo pozostają i co technicznie robimy, by nie wpadły w niewłaściwe ręce. Ta strona dostarcza informacji o przejrzystości przetwarzania, zorientowanych na RODO i EU AI Act — nie zastępuje formalnego oświadczenia o ochronie danych, lecz uzupełnia je o techniczny kontekst przepływu danych.

Aktualizacja: 20 maja 2026

Nasza własna infrastruktura serwerowa w Niemczech

Nasza własna infrastruktura serwerowa (strona landing, MCSA, wkrótce riskforge) działa na serwerze Hetzner Cloud w centrum danych w Gunzenhausen w Bawarii — niemiecka jurysdykcja, brak hyperscalera. Niektórzy sub-procesorzy (np. Anthropic dla przyszłego chatbota, Resend dla wysyłki maili) znajdują się w USA i są przejrzyście ujawnieni w blokach per tool poniżej.

Szczegóły techniczne infrastruktury
  • Hetzner Online GmbH, centrum danych Gunzenhausen (DE).
  • MCSA działa jako własny stos Docker-Compose z własną siecią (`mcsa-web_default`).
  • Dedykowana instancja Postgres dla każdego narzędzia. Brak współdzielonych woluminów, brak współdzielonych sekretów.
  • Reverse-proxy Nginx terminuje TLS per subdomena (Let's Encrypt, automatyczne odnawianie).
  • Kontenery bindują się tylko do 127.0.0.1 — z internetu osiągalne wyłącznie przez Nginx.

Co dzieje się z Twoimi danymi — dla każdego narzędzia

Każde narzędzie ma własne przepływy danych. Opisujemy je osobno, ponieważ ogólne stwierdzenia szybko stają się tutaj nieprecyzyjne.

MCSA — Minimal Cut-Set Analyzer

Live

MCSA przyjmuje pliki tekstowe FtaDSL (do 10 MB) i oblicza z nich drzewa błędów oraz minimalne cut-sety. Cała ścieżka przetwarzania działa w pamięci RAM serwera — w żadnym momencie Twoje dane nie są zapisywane na dysku.

  1. 1. Przeglądarka wysyła upload przez HTTPS do `mcsa.appliedfusa.de`.
  2. 2. Nginx buforuje request w RAM (bufor 12 MB, brak disk-spill).
  3. 3. FastAPI zapisuje plik do katalogu tymczasowego — ten leży w container tmpfs (RAM disk, 512 MB).
  4. 4. Natywne binarium C++17 `mcsa` parsuje i analizuje architekturę.
  5. 5. Wynikowy ZIP jest budowany w pamięci i strumieniowany bezpośrednio do Twojej przeglądarki.
  6. 6. Katalog tymczasowy znajduje się na tmpfs (RAM). Po zakończeniu odpowiedzi blok `finally` aktywnie go sprząta w normalnym przypadku; w razie twardego przerwania kontenera (np. OOM kill) jądro i tak odrzuca zawartość tmpfs przy zakończeniu kontenera — żaden spill na dysk nie jest możliwy.
Persystencja
Brak. Baza audytu przechowuje wyłącznie metadane: Twój email logowania, IP klienta i timestamp. Ani nazwy plików, ani treść, ani wyniki analizy nie opuszczają RAM w stronę dysku.
Retention
IP + timestamp są automatycznie usuwane z bazy najpóźniej po 7 dniach (cleanup-job co godzinę). Ten sam okres dotyczy wygasłych tokenów magic-link.
Użycie AI
Brak. Wszystkie obliczenia odbywają się w natywnym binarium C++ na naszym serwerze. Brak zewnętrznych modeli, brak API LLM, brak analiz podmiotów trzecich.

Safety-Case Generator

Beta — po stronie klienta

Ustrukturyzowany wywiad prowadzi przez kluczowe wymagania ISO 26262. Obecna beta działa wyłącznie w Twojej przeglądarce — Twoje dane wejściowe nigdy nie opuszczają urządzenia. Eksport Markdown jest dostarczany bezpośrednio jako plik do pobrania. Wywiad obecnie po niemiecku.

Dziś (Beta)
Wizard vanilla HTML/CSS/JS w przeglądarce. Brak request'ów do serwera, brak zapisu, brak ciasteczek, brak analytics. Zamknięcie zakładki kasuje cały stan.
Przepływ danych dziś
Twoje dane wejściowe pozostają w pamięci przeglądarki (RAM). Raport Markdown jest składany po stronie klienta i pobierany jako Blob — nigdy do nas nie dociera.
Użycie AI dziś
Brak. Struktura Markdown jest składana deterministycznie z Twoich danych wejściowych.
Planowane (pełna wersja)
Natywne binarium na naszym VPS, architektonicznie według tego samego wzorca co MCSA. Persistowalne projekty, eksporty wielojęzyczne, integracja wyjść analizy MCSA (cut-sety, KPI) jako referencji evidence.
Struktura (pełna wersja)
Zgodna z Goal Structuring Notation (GSN). Biblioteka szablonów per standard (ISO 26262, IEC 61508, IEC 62304).
Opcjonalne w przyszłości
Opcjonalna funkcja wygładzania tekstu (np. polish stylistyczny) mogłaby w przyszłej wersji używać usługi LLM. Jeśli się pojawi, ściśle opt-in per request — i nigdy do argumentacji safety-relevant.

fmea — Wsparcie narzędziowe dla FMEA

Beta w przygotowaniu

fmea to wsparcie narzędziowe dla tworzenia FMEA: z modelu architektury z adnotacjami trybów awarii tabela FMEA jest wyprowadzana mechanicznie. Profil przepływu danych jest bardzo zbliżony do MCSA (ten sam domyślny stack, ten sam VPS, ta sama logika tmpfs) — ze specyfiką fmea.

Co jest przesyłane
Pliki modelu — tekstowa architektura systemu (funkcje, wejścia/wyjścia, połączenia) plus adnotacje trybów awarii na port i na funkcję (mapowania OIM i IOM). Brak danych binarnych, brak załączników modeli w v0.1/v0.2.
Podczas wykonania
Przesłane pliki i pośrednie artefakty na tmpfs w kontenerze (RAM, max 512 MiB), bez trwałego zapisu.
Po wykonaniu
Finally-cleanup dla każdego żądania — wszystkie pliki tymczasowe są usuwane wraz z zakończeniem odpowiedzi.
Trwałe w Postgres
Tylko metadane — dane konta użytkownika (e-mail, status planu), tokeny uwierzytelnienia, log uploadu (znacznik czasu, hash pliku, identyfikator użytkownika). Treść przesłanego pliku nie jest utrwalana.
Treść modelu
Nie jest zapisywana. Przesłanie tego samego pliku dwa razy daje dwa świeże, niezależne przebiegi przetwarzania.
Sub-procesorzy
Hetzner Online GmbH (Falkenstein, DE) dla hostingu VPS · Resend (USA, DPA) dla wysyłki magic-link, aktywne dopiero od v0.2 · Let's Encrypt / ISRG dla certyfikatów TLS.
Planowane (v0.3+)
Jeśli kiedyś modele Simulink będą wspierane bezpośrednio, ekstrakcja odbędzie się lokalnie u użytkownika — serwer zobaczy wyłącznie wynikowy plik modelu, nigdy oryginalny model.
Użycie AI
Brak. Substancja deterministyczna, brak sub-procesorów LLM/AI.

csa26 — pre-audytowa kontrola MISRA-C:2012

Live · v1.0.1

csa26 jest dystrybuowany jako GitHub Action i działa na CI runnerze Twojego repo na GitHubie. Twój kod źródłowy nie opuszcza Twojego repozytorium — analiza odbywa się w kontenerze, który GitHub uruchamia w Twoim koncie przy każdym pushu. Applied FuSa nie ma dostępu do Twojego kodu, brak telemetrii Twoich findings, brak logów Twoich buildów.

Samodzielność stacku
W pełni samodzielny. csa26 nie zawiera analizatora statycznego firm trzecich. Lexer, preprocessor, parser, system symboli/typów oraz rule engine to IP Apache-2.0 Applied FuSa, w pełni prześledzalne w publicznym repozytorium.
Sub-procesorzy
GitHub (Microsoft) — udostępnia CI runner i hosting container registry dla obrazu akcji csa26. Przetwarzanie danych zgodnie z warunkami Twojej umowy z GitHubem. Brak dalszych sub-procesorów.
Przechowywanie danych
Applied FuSa nie przechowuje danych o przebiegach csa26. Wszystkie wytworzone dane (findings, raporty SARIF, adnotacje) pozostają w całości w Twoim repo na GitHubie pod Twoją kontrolą.
Uwaga pre-audytowa
csa26 to narzędzie pre-audytowe i nie zastępuje formalnej oceny zgodności z MISRA-C:2012. Wskazuje możliwe naruszenia reguł; formalne potwierdzenie zgodności pozostaje w gestii Twojego safety managera.
Podzbiór reguł
csa26 v1 obejmuje świadomie wybrany podzbiór 20 reguł MISRA-C:2012 priorytetowych dla FuSa (zob. README w repo). Pełna weryfikacja zgodności z MISRA nigdy nie była obiecana i nie jest osiągalna dla żadnego narzędzia tej klasy.
Użycie AI
Brak. Lexer, parser i rule engine pracują deterministycznie.

riskforge chatbot — guided DSL interview

Live

The riskforge chatbot is the first platform pillar that uses an LLM. A Claude Sonnet 4.6 model runs a structured interview that builds up an FtaDSL file step by step (raw architecture → +OIM/TLE → +IOM/S/O/D). Important separation: the LLM is the interview leader and notation translator — the actual FTA/FMEA analysis substance is then computed by the deterministic engines mcsa and fmea. This separation is an architecture decision for audit-fitness.

Sent to Anthropic
Full system prompt (~1500 tokens of methodology context, FtaDSL syntax reference, phase workflow); the complete running conversation history; the current DSL state as a code block in bot answers; validator output as a tag in the following user turn.
Not sent to Anthropic
User email address, IP address, cookie values, quota counters, logout events.
Sub-processors (Art. 28 GDPR)
Anthropic PBC (USA) — LLM provider, DPA · Hetzner Online GmbH (Falkenstein, DE) · Resend (USA) — magic-link mail, DPA · Let's Encrypt / ISRG.
Third-country transfer (Chapter V GDPR)
Anthropic (USA) and Resend (USA) process data outside the EU. Legal basis: EU Standard Contractual Clauses under Art. 46(2)(c) GDPR (2021/914), with Transfer Impact Assessment per EDPB Recommendation 01/2020.
Inference region (beta)
API routing uses inference_geo: "global". No guaranteed EU region during beta. Migration to AWS Bedrock eu-central-1 (Frankfurt) is planned for the commercial launch (phase 3).
Data retention at Anthropic
Anthropic stores API inputs/outputs for up to 30 days for abuse monitoring (see Anthropic retention policy). Model training on user data is disabled (opt-out by default).
Data retention at Applied FuSa
Email addresses are persisted in a SQLite database (beta marketing list). Conversation history stays in browser state; the chatbot server is stateless. Magic-link tokens expire after 15 minutes.
Model and caching
Default model is Claude Sonnet 4.6, switchable via configuration. Prompt caching is enabled for the system prompt.
AI use and audit separation
The LLM only produces the DSL file. The FTA and FMEA analysis is computed by the deterministic engines mcsa and fmea.
Status
Code-complete, live activation pending.

Przejrzystość AI (EU AI Act)

EU AI Act zobowiązuje nas do jasnej komunikacji, gdzie i jak AI jest zaangażowana. Oto uczciwy stan.

Dziś deterministycznie

Nasze produkcyjne narzędzia (MCSA live, csa26 live, Safety-Case Generator Beta) działają bez AI. Wizard Safety-Case działa po stronie klienta w przeglądarce; MCSA i csa26 to natywne programy — powtarzalne i auditable. Chatbot riskforge (w przygotowaniu) to pierwsze narzędzie z udziałem LLM.

Rola w ramach EU AI Act (Art. 3)

Dla naszych własnych deterministycznych narzędzi (MCSA, csa26, fmea, Safety-Case) Applied FuSa jest dostawcą (Art. 3(3)). Dla chatbota riskforge łączą się dwie role: dostawca produktu chatbota i operator (Art. 3(4)) LLM dostarczanego przez Anthropic, który integrujemy w naszym systemie.

Klasyfikacja ryzyka

Wszystkie obecnie działające narzędzia mają minimalne ryzyko. Według obecnego przeznaczenia chatbot riskforge wchodzi w zakres ograniczonego ryzyka (Art. 50 AI Act). Według obecnej klasyfikacji żadne z naszych narzędzi nie kwalifikuje się jako wysokie ryzyko w rozumieniu Załącznika III lub Art. 6 — patrz analiza wyłączenia. Dla każdego planowanego narzędzia przeprowadzana jest re-klasyfikacja przed uruchomieniem.

Analiza wyłączenia (Załącznik III)

Załącznik III wymienia jako AI wysokiego ryzyka m.in. identyfikację biometryczną, zarządzanie infrastrukturą krytyczną, decyzje w zakresie edukacji/zatrudnienia, egzekwowanie prawa, migrację. Nasze narzędzia są narzędziami inżynierskimi dla ludzkich deweloperów; samo narzędzie nie podejmuje decyzji istotnych dla bezpieczeństwa i nie jest komponentem bezpieczeństwa w rozumieniu Załącznika I.

Obowiązek przejrzystości Art. 50 (chatbot)

Chatbot riskforge wyraźnie oznacza interakcję AI przy pierwszym kontakcie: strona logowania wymienia „chatbot" w tytule, UI czatu używa wizualnie oddzielonego awatara bota, przepływ danych do API Anthropic jest udokumentowany przejrzyście w bloku per tool powyżej.

Kompetencje AI (Art. 4, od 02.02.2025)

Applied FuSa to jednoosobowa działalność. Odpowiedzialny deweloper posiada kompetencje w zakresie metodologii (FTA/FMEA), używanych API LLM (Anthropic), ochrony danych (RODO Art. 28, Art. 46, Zalecenie EDPB 01/2020) i EU AI Act; udokumentowane wewnętrznie poprzez projekty, dokumentację metodologiczną i publikacje. Użytkownicy zewnętrzni korzystają z narzędzi na własną odpowiedzialność.

Logowanie i nadzór ludzki

Dla chatbota logujemy tylko liczniki quoty i loginy magic-link — cała treść konwersacji pozostaje w stanie przeglądarki, nie na naszych serwerach. Użytkownik decyduje, jaką DSL produkuje i udostępnia; silniki analizy (mcsa, fmea) są deterministyczne i weryfikowalne.

Matryca RODO per tool

Kompaktowy przegląd przetwarzania danych per tool według standardowych pól RODO. Szczegółowy opis w blokach per tool powyżej.

ToolCelPodstawa prawnaDane osoboweOdbiorcyPaństwo trzecieRetencjaStatus
Strona landing Dostarczanie statycznych treści Art. 6(1)(f) Tylko log serwera Hetzner DE 14 dni log Live
MCSA Obliczenia FTA z FtaDSL Art. 6(1)(b) Email, IP, znacznik czasu Hetzner DE · Resend USA USA (SCC Art. 46) 7 dni audit Live
Safety-Case Generator Wizard Safety-Case Art. 6(1)(b) + (f) Brak danych treści; techniczny log serwera (IP, UA, URL) Hetzner DE Log serwera 14 dni; brak przetwarzania treści Beta
csa26 Pre-audit MISRA-C w CI Art. 6(1)(b) Brak GitHub USA (umowa użytkownika) nd. Live
fmea (w przygotowaniu) Derywacja FMEA z DSL Art. 6(1)(b) jak MCSA jak MCSA jak MCSA jak MCSA Beta w przygotowaniu
riskforge chatbot (w przygotowaniu) Prowadzona DSL przez wywiad LLM Art. 6(1)(b) Email, opcjonalna notatka use-case Hetzner DE · Anthropic USA · Resend USA USA (SCC Art. 46 + TIA) Baza email bezterminowo · Anthropic 30d abuse log Beta w przygotowaniu

Matryca EU AI Act per tool

Przegląd użycia AI, roli i klasyfikacji per tool w rozumieniu EU AI Act.

ToolAIRolaKlasa ryzykaArt. 50Nadzór ludzkiLogowanieStatus
MCSA Nie Dostawca nd. nd. Użytkownik sprawdza wynik Audit log 7 dni Live
Safety-Case Generator Nie Dostawca nd. nd. Użytkownik edytuje output Tylko techniczny log serwera (14 dni) Beta
csa26 Nie Dostawca nd. nd. Użytkownik sprawdza findings Brak logowania Live
fmea Nie Dostawca nd. nd. Użytkownik sprawdza tabelę jak MCSA Beta w przygotowaniu
riskforge chatbot Tak (Claude Sonnet 4.6) Dostawca + operator Ograniczone ryzyko (Art. 50) Spełnione (oznaczenie UI) Użytkownik decyduje o publikacji DSL Tylko quota + magic-link Beta w przygotowaniu

Co robimy technicznie

Środki techniczne na poziomie infrastruktury — niespektakularne, ale ważne.

TLS 1.2+

Certyfikaty Let's Encrypt, automatyczne odnawianie, HSTS aktywne.

Brak swap

VPS nie ma swap — RAM nie może zostać przepisany na dysk.

Core dumps wyłączone

Wyłączone systemowo (`kernel.core_pattern=|/bin/false`). Brak wycieku RAM-na-dysk przy crashach.

tmpfs w kontenerach

Katalogi tymczasowe narzędzi żyją w RAM diskach (`noexec`), brak plików persystentnych.

Cookies sesyjne

`httpOnly` + `Secure` + `SameSite=Lax`, podpisane `itsdangerous` (sekret 32-bajtowy).

Rate limity

Na endpointach uwierzytelnienia (5 żądań na IP na godzinę w MCSA).

Rotacja logów

Logi Docker: 10 MB × 3 pliki. Logi dostępu Nginx: 14 dni, potem usuwane.

Backupy automatyczne

Codzienne snapshoty serwera przez Hetzner Cloud, retention 7 dni. Ręczne snapshoty golden-state dla disaster recovery poza tym oknem.

Brak APM

Brak Sentry, brak Datadog, brak zewnętrznych stack trace'ów. Błędy zostają na naszym serwerze.

Auth via magic-link

Brak magazynu haseł. Tokeny ważne 15 minut, jednorazowe.

Wersjonowane

Konfiguracje Nginx i pliki Compose żyją w repo git — auditable, reprodukowalne.

Twoje prawa

Masz pełen zestaw praw zgodnie z Ogólnym Rozporządzeniem UE o Ochronie Danych — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw. Pełna prawna wersja: nasza polityka prywatności (po niemiecku).

  • Art. 15 Prawo dostępu
  • Art. 16 Prawo do sprostowania
  • Art. 17 Prawo do usunięcia
  • Art. 18 Prawo do ograniczenia
  • Art. 20 Prawo do przenoszenia danych
  • Art. 21 Prawo do sprzeciwu

Pytania? Znaleziona luka?

Pisz bezpośrednio. Za zgłoszenia związane z bezpieczeństwem (np. podejrzenia luk, skargi prywatności) jesteśmy wdzięczni za krótki email — zwykle odpowiadamy w ciągu jednego dnia roboczego.

info@appliedfusa.de

Ta strona jest aktualizowana, gdy zmieniają się fakty (nowe narzędzia, zmiany infrastruktury, integracja AI). Timestamp ostatniej zmiany jest u góry.