HIGI · raport dla zespołu

Gabinety, maile, NIP i weryfikacja kont — co przygotowaliśmy

Stan na 23 czerwca 2026 · gałąź robocza be/gabinet-org-login

✓ gotowe i na wersji testowej ↻ gotowe w kodzie, jeszcze nie na testowej ⏳ czeka na decyzję/konfigurację

1. Co dodajemy — w skrócie

Do tej pory HIGI miało logowanie i pojedyncze konta. Ta paczka dodaje gabinety z zespołem, maile od HIGI oraz zabezpieczenia przed zakładaniem wielu kont po to, żeby mieć usługę za darmo bez końca.

2. Gabinety — konto dla całego zespołu

Założenie gabinetu na dev

Właściciel podaje nazwę gabinetu, liczbę higienistek (miejsc) i NIP. System tworzy konto gabinetu z bezpłatnym okresem próbnym i wpuszcza właściciela do aplikacji. Dostęp obejmuje cały zespół. Adres: /zaloz-gabinet.

Zapraszanie higienistek i zarządzanie zespołem na dev

zaproszenie higienistki mailem (dostaje link, klika, dołącza),
lista zespołu i oczekujących zaproszeń,
usunięcie członka lub cofnięcie zaproszenia.

Tylko właściciel zarządza zespołem — nie da się podszyć pod cudzy gabinet (sprawdzane po stronie serwera). Adresy: /gabinet, /akceptuj-zaproszenie.

Panel super-admina: darmowe miesiące na dev

Ustawiasz, ile darmowych miesięcy dostaje gabinet — globalnie oraz indywidualnie dla konkretnego gabinetu (przedłużenie lub zakończenie). Adres: /admin/gabinety.

3. Maile od HIGI

Silnik wysyłki + przypomnienia o końcu okresu w kodzie

HIGI potrafi wysyłać maile przez usługę Resend. Codziennie rano sprawdza, komu darmowy okres kończy się za 7, 3 i 1 dzień i wysyła przypomnienie.

Bezpiecznie domyślnie: dopóki nie wgramy klucza do Resend, nic nie wychodzi na zewnątrz — system tylko zapisuje „wysłałbym to".
Maile nigdy nie zawierają danych pacjenta — tylko dane konta/gabinetu.

Panel super-admina: treść maili na dev

Edytujesz treść maili (temat, HTML, tekst) i oglądasz podgląd — bez programisty. Adres: /admin/maile.

Żeby maile realnie wychodziły, potrzebne będzie konto Resend + domena wysyłkowa (np. mail.higi.com.pl) — osobny krok, jeszcze nierobiony.

4. Zabezpieczenie przed nadużyciem darmowego okresu

Problem: ktoś mógłby zakładać konto za kontem na kolejne adresy e-mail, żeby ciągle mieć HIGI za darmo. Rozwiązanie zależy od rodzaju konta.

Gabinet → NIP na dev

Jeden NIP = jeden darmowy okres. Drugie konto na ten sam NIP dostaje „na ten NIP istnieje już konto".
Sprawdzamy format NIP (suma kontrolna) — odrzucamy zmyślone numery.
Przechowujemy tylko sam NIP + nazwę gabinetu (żadnego odpisu z rejestru).

Z researchu: „biała lista VAT" odpadła jako weryfikacja — gabinety stomatologiczne (usługi medyczne) są zwolnione z VAT i tam nie figurują.

Higienistka solo → numer telefonu w kodzie czeka na Clerk

Jeden potwierdzony numer = jeden darmowy okres (kod SMS, wbudowane w Clerk).
Decyzja: wariant twardy — bez potwierdzonego numeru nie ma darmowego dostępu.
Nigdy nie zbieramy PESEL, numeru wpisu do rejestru ani dyplomu.
Kod napisany i sprawdzony, ale jeszcze niewłączony — czeka, aż w panelu Clerk włączysz logowanie telefonem i dodasz Polskę do krajów SMS. Całość pod wyłącznikiem (domyślnie wyłączona).

5. Zmiany w bazie danych

Cztery nowe „migracje", wszystkie wyłącznie dodające (nic nie kasują):

0005 — tabela ustawień (m.in. domyślna liczba darmowych miesięcy).
0006 — tabele maili (treść szablonów + dziennik wysyłek).
0007 — wymuszenie unikalności NIP.
0008 — tabela „kotwicy" dla weryfikacji solo (telefon / e-mail). Nieaktywna, dopóki nie włączymy weryfikacji telefonem.

6. Prywatność / RODO

Bo zbieramy NIP (a dla jednoosobowej działalności NIP to dana osobowa), przygotowałem szkic dokumentu prawnego: informację dla użytkownika i uzasadnienie podstawy. Wymaga przeglądu przez prawnika/IOD przed wejściem na produkcję (są w nim miejsca do uzupełnienia danymi firmy).

7. Przegląd jakości i bezpieczeństwa — co poprawiłem

Przed wystawieniem paczki do scalenia zrobiłem dokładny przegląd całego kodu (wielu niezależnych recenzentów + osobna weryfikacja każdego znaleziska). Z 36 zgłoszeń realnych było 10. Siedem naprawiłem, jedno zostawiłem świadomie.

Ważniejsze (naprawione)

1Maile mogły wyjść z wersji testowej do prawdziwych higienistek. Bezpiecznik działał odwrotnie niż powinien. Naprawione: na wersji testowej, bez jawnej listy dozwolonych adresów, nic nie wychodzi.

2Dało się obejść „jeden NIP = jeden darmowy okres" przy dwóch zgłoszeniach w tej samej chwili. Naprawione: zakładanie konta jest teraz jedną niepodzielną operacją — przy kolizji NIP konto w ogóle nie powstaje, a nadmiarowy wpis jest sprzątany.

Drobne (naprawione)

Dziura w czyszczeniu treści maila (niezamknięty kawałek kodu na końcu), przerywanie całej wysyłki po jednym błędzie, powtórzony kod, walidacja adresu e-mail, oraz przycisk „Podgląd", który po cichu zapisywał treść maila — teraz podgląd niczego nie zapisuje.

Zostawione (1, świadomie)

Administrator nadany przez panel nie jest jeszcze rozpoznawany jako super-admin w trzech miejscach. To „za mało uprawnień", nie dziura bezpieczeństwa; porządna naprawa to osobny temat (zapisany jako zadanie na potem).

Sprawdzone: typy zgadzają się we wszystkich częściach projektu, testy działania przeszły.

8. Gdzie to jest teraz

PROD

Produkcja (higi.com.pl): nietknięta. Żadna z tych zmian tam nie weszła.

DEV

Wersja testowa: działają gabinety, panele i NIP — w wersji sprzed poprawek z punktu 7 (poprawki dotyczą sytuacji brzegowych, zwykłe klikanie wygląda tak samo).

KOD

Poprawki z przeglądu + weryfikacja solo: gotowe w kodzie, jeszcze nie na dev.

Cała gałąź niezatwierdzona (brak „pull requesta") — scalenie i produkcja na Twoje słowo.

9. Co czeka na decyzję / na Ciebie

Wgranie poprawionej wersji na dev — żebyś klikał już na zahartowanej.
Konfiguracja telefonu w Clerk — odblokowuje weryfikację higienistek solo (~5–10 min).
Prawnik/IOD — zatwierdzenie dokumentu RODO przed produkcją.
Formalne bramki — uruchomię /code-review i /security-review, potem „pull request" → scalenie.
Produkcja — dopiero na wyraźne „promuj".

10. Dokumenty na Google Drive (zasada: repozytorium = Drive)

Dokument	Co to	Do zatwierdzenia
Raport zmian (ten)	podsumowanie paczki	wgląd zespołu
Research NIP / weryfikacja	jak weryfikować — prawno-technicznie	wgląd
Klauzula RODO (NIP)	szkic dokumentu prawnego	przegląd prawnika/IOD
Runbook konfiguracji telefonu (Clerk)	instrukcja krok po kroku	do wykonania przez Ciebie
Dziennik decyzji (wpis D-33)	zapis decyzji NIP + telefon	wgląd

Pliki .md wgrane na wspólny dysk HIGI („nasze miejsce higi").

Przygotował: higi-dev (asystent deweloperski) · 23 czerwca 2026 · gałąź be/gabinet-org-login · nic nie wdrożone na produkcję. Strona wewnętrzna — nie do udostępniania publicznego.