Case Study: FellScan – Bezpieczne ankiety QR z szyfrowaniem end-to-end

Problem: Zbieranie opinii bez kompromisu na bezpieczeństwie

Firmy w branżach wrażliwych na bezpieczeństwo – medycyna, finanse, HR, prawo – stoją przed dylematem: jak zbierać opinie i feedback od klientów, pracowników czy pacjentów, jeśli standardowe narzędzia do ankiet nie gwarantują pełnej ochrony danych?

Dostępne rozwiązania mają fundamentalne problemy:

• Pracownicy firmy mogą przeglądać wszystkie odpowiedzi – nie ma izolacji dostępu
• Administratorzy serwisu mają pełen wgląd w dane – nawet jeśli umowa to zakazuje
• Dane przechowywane na zwykłych serverach bez szyfrowania – podatne na włamania
• RODO i compliance są zagrożone – niewystarczające gwarancje bezpieczeństwa

Dla firm z branż regulowanych to oznacza: nie mogą używać standardowych narzędzi do ankiet. Potrzebują czegoś zaawansowanego technicznie – systemu, gdzie dane są szyfrowane w taki sposób, że nawet my (administratorzy) nie możemy ich odczytać.

Rozwiązanie: FellScan z end-to-end szyfrowaniem

Stworzyłem, a raczej jeszcze tworzę FellScan – nowoczesną aplikację SaaS do tworzenia ankiet i generowania kodów QR, z opcjonalnym end-to-end szyfrowaniem dla maksymalnej prywatności.

Jak to działa:

1. Użytkownik tworzy ankietę w panelu FellScana i wybiera opcję szyfrowania E2EE
2. System automatycznie generuje parę kluczy: publiczny (udostępniony) i prywatny (tylko dla użytkownika)
3. Kod QR lub link do ankiety jest publicznie dostępny – respondenci mogą go skanować
4. Odpowiedzi respondentów są automatycznie szyfrowane kluczem publicznym zaraz po wysłaniu
5. Dane trafiają do bazy, ale są całkowicie nieczytelne – nawet ja nie mam dostępu
6. Tylko użytkownik z kluczem prywatnym może odszyfrować dane – wystarczy go wkleić w panelu

Wynik: Zero-knowledge architecture – ja nie wiem, co respondenci wpisali. Ty też nie wiesz, dopóki się nie zalogujesz i nie podasz klucza prywatnego.

Technologia: Military-grade encryption

Szyfrowanie asymetryczne (RSA-4096)

Do szyfrowania samych odpowiedzi używam RSA-4096 – algorytm asymetryczny zatwierdzony na szyfrowanie wrażliwych danych rządowych i militarnych. Jest praktycznie niemożliwe do złamania współczesnymi metodami.

Szyfrowanie symetryczne (AES-256)

Dla wydajności oraz dodatkowej warstwy bezpieczeństwa, odpowiedzi najpierw szyfrowane są AES-256 (standard NIST), a następnie klucz szyfrujący szyfruje RSA-4096. To podwójna warstwa ochrony.

Secure Key Management

Klucze prywatne użytkowników:

• Nigdy nie trafiają na nasze serwery
• Są generowane lokalnie w przeglądarce użytkownika
• Użytkownik odpowiada za ich bezpieczeństwo i przechowywanie – zgubisz klucz, stracisz dane
• Nawet w przypadku włamania naszej bazy – dane pozostają bezpieczne (szyfrowane)

Przypadki użycia i branże docelowe

Medycyna i opieka zdrowotna

Szpitale i kliniki mogą zbierać feedback pacjentów bez narażenia ich danych osobowych. HIPAA-compliant.

Finanse i bankowość

Banki mogą pytać klientów o wrażliwości finansowe, inwestycje i plany, z pełną gwarancją poufności. PSD2-compatible.

HR i rozwój pracowników

Firmy mogą przeprowadzać ankiety zarobkowe, ewaluacje przełożonych i badania zaangażowania pracowników. Respondenci wiedzą, że ich odpowiedzi są całkowicie prywatne – nie ma ryzyka represji.

Kancelarie prawne

Advokaci mogą zbierać opinie i informacje od klientów ze 100% gwarancją tajemnicy zawodowej.

Edukacja

Uniwersytety mogą anonimowo zbierać feedback od studentów bez możliwości identyfikacji.

Architektura techniczna

PHP, Laravel

Funkcjonalności produktu

Podstawowe (darmowe)

• Tworzenie ankiet bez limitu
• Generowanie kodów QR
• Podstawowe statystyki
• Możliwość osadzenia ankiety na zewnętrznych stronach
• Wielojęzyczność (PL, EN, DE, FR, ES, LT, UA, IT, PT)

Pro (płatne) – z szyfrowaniem E2EE w przyszłości, a na razie darmowe wszystko

• End-to-end encryption (RSA-4096 + AES-256)
• Bez limitu respondentów
• Zaawansowane analytics i raporty
• Integracje API
• Wsparcie techniczne
• Export danych w różnych formatach

Rezultaty biznesowe

Dla użytkowników:

• ✓ RODO-compliant – pełna zgodność z prawem ochrony danych
• ✓ HIPAA-ready – dla sektora medycznego
• ✓ PSD2-compatible – dla sektora finansowego
• ✓ Bezpieczeństwo military-grade – RSA-4096 + AES-256
• ✓ Pełna kontrola nad danymi – tylko ty masz dostęp

Dla biznesu:

• Nowy segment rynku – branże regulowane z wysokim budżetem na bezpieczeństwo
• Model SaaS ze subskrypcjami – recurring revenue
• Potencjał na ekspansję międzynarodową – produkt już obsługuje 9 języków
• Competitive advantage – praktycznie żadne inne polskie narzędzie nie oferuje E2EE dla ankiet

Co zrobiłem jako developer

Full-stack development:

• Architektura aplikacji i projekt bazy danych
• Frontend i Backend

Bezpieczeństwo:

• Projekt zero-knowledge architecture
• Implementacja RSA-4096 i AES-256
• Secure key management – klucze prywatne nigdy nie opuszczają przeglądarki użytkownika
• HTTPS/TLS 1.3 everywhere
• Protection przeciwko CSRF, XSS, SQL injection

Wnioski i lekcje

FellScan pokazuje, że bezpieczeństwo danych może być prostą funkcją produktu – nie musi być komplikowane dla użytkownika. Klientowi wystarczy znać dwa kroki: (1) wygeneruj ankietę, (2) udostępnij kod QR. Resztą zajmuje się szyfrowanie w tle.

To także przykład na to, że specjalizacja się opłaca. Zamiast tworzyć kolejne generyczne narzędzie do ankiet, zbudowaliśmy rozwiązanie dla niszowego, ale lukratywnego segmentu – firm z branż regulowanych, które są gotowe płacić za bezpieczeństwo.

Dostęp i następne kroki

FellScan jest w fazie zamkniętych testów (closed beta). Jeśli jesteś zainteresowany tym narzędziem lub potrzebujesz czegoś podobnego dla swojej branży, zapraszam do kontaktu.

Mogę dla Ciebie stworzyć:

• Dedykowaną aplikację z E2EE encryption
• Integracje z istniejącymi systemami (CRM, ERP, bazy danych)
• Compliance dla Twojej branży (RODO, HIPAA, PSD2)
• Custom szyfrowanie i key management

Skontaktuj się ze mną – opowiem więcej o tym, jak mogę Ci pomóc.