Polityka prywatności

Korzystając z naszych usług, powierzasz nam swoje dane. Rozumiemy, że to wielka odpowiedzialność dlatego robimy wszystko, aby zapewnić ich bezpieczeństwo oraz umożliwić Tobie kontrolę nad nimi.

§1 KTO MA DOSTĘP DO TWOICH DANYCH

  1. Administratorem danych jest firma YetiForce S.A. [al. Jana Pawła II, 00-133 Warszawa, NIP: 118-000-24-25].
  2. W wyjątkowych sytuacjach dostęp do danych mają również zaufani partnerzy:
    • Serwerownia i sprzęt: OVH [https://www.ovh.pl/]
    • Sieć i serwery: FollowYou [ul. Ogrodowa 4B/2, 72-006 Mierzyn, NIP: 5581708765]
    • Księgowość: Credos Accounting Services sp. z o.o. [ul. Domaniewska 47, 02-672 Warszawa, NIP: 5272672650].
  3. Dane mogą być udostępnione właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa. Ilość żądań na chwilę obecną wynosi 0.

Jeżeli masz pytania dotyczące danych które przetwarzamy i dotyczą Ciebie, wyślij maila na adres gdpr@yetiforce.com lub napisz do nas na adres firmy YetiForce S.A., chętnie odpowiemy na wszystkie pytania.

§3 CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH W YETIFORCE S.A.

  1. W każdej sytuacji zbieramy tylko minimalne dane, które są dla nas niezbędne lub istotne.
  2. Strony WWW - zbieramy tylko minimalne informacje o użytkowniku odwiedzającym naszą stronę www tj. identyfikator sesji, adres ip, informacje o przeglądarce a w przypadku użytkowników zalogowany również imię, nazwisko oraz adres mailowy. Dane te są zbierane w celach analitycznych i statystycznych oraz w celu świadczenia usług drogą elektroniczną w zakresie udostępniana Użytkownikom treści gromadzonych w Serwisie.
    • Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
    • Okres przetwarzania danych wynosi 5 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
  3. Formularze WWW - w przypadku skontaktowania się przy wykorzystaniu elektronicznych formularzy kontaktowych wymagane jest podanie danych tj. imie, nazwisko, adres mailowy, numer telefonu, treść zapytania a dodatkowo zbieramy dane tj. adres IP z którego przyszło zapytania, datę i godzinę, unikalny identyfikator sesji oraz podstawowe informacje o przeglądarce. Użytkownik może podać także inne dane, w celu ułatwienia kontaktu lub obsługi zapytania.
    • Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
    • Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
    • Okres przetwarzania danych wynosi 5 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
  4. Kontakt mailowy - w przypadku skontaktowania się przy wykorzystaniu poczty elektronicznej wymagane jest podania danych tj. adres mailowy oraz treść zapytania a dodatkowo zbieramy dane tj. adres IP z którego przyszło zapytania, datę i godzinę, unikalny identyfikator sesji oraz pełen nagłówek i zawartość maila razem z załącznikami. Użytkownik może podać także inne dane, w celu ułatwienia kontaktu lub obsługi zapytania.
    • Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
    • Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
    • Okres przetwarzania danych wynosi 5 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
  5. Newsletter - użytkownik może samodzielnie zapisać się na newsletter, bezpośrednio za pomocą strony WWW lub bezpośrednio z systemu CRM. W obu przypadkach zbieramy dane tj. imię, nazwisko, adres mailowy, adres IP z którego przyszło zapytania, datę i godzinę, unikalny identyfikator sesji oraz podstawowe informacje o przeglądarce. 
    • Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
    • Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
    • Dane są przetwarzane aż do momentu wycofania zgody lub po okresie 24 miesięcy braku aktywności na newsletter. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
  6. Portal społecznościowe - Administrator przetwarza dane osobowe Użytkowników odwiedzających profile Administratora prowadzone w mediach społecznościowych (Linkedin, Facebook,Twitter, GitHub). Dane te są przetwarzane wyłącznie w związku z prowadzeniem profilu, w tym w celu informowania Użytkowników o aktywności Administratora oraz promowaniu różnego rodzaju wydarzeń, usług oraz produktów.
    • Podstawą prawną przetwarzania danych osobowych przez Administratora w tym celu jest jego uzasadniony interes (art. 6 ust. 1 lit. f RODO) polegający na promowaniu własnej marki.
    • Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
    • Okres przetwarzania danych wynosi 5 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane. Należy pamiętać, że w przypadku portali społecznościowych to właściciele tych portal również są administratorami danych i mają własne regulaminy dotyczące przetwarzania danych z którymi należy się zapoznać.
  7. Rejestracja systemu YetiForce oraz rejestracja produktów - administrator przetwarza dane z systemów CRM, które za pomocą API są przesyłane automatycznie z systemu użytkownika do systemu Administratora. W przypadku systemów pracujących offline [bez dostępu do internetu] Administrator przetwarza dane podane poniżej na podstawie korespondencji mailowej pomiędzy użytkownikiem a administratorem. Poniżej lista przetwarzanych danych:
    1. Rejestracja systemu: wersja systemu, app id, crm id, domyślny język, strefa czasowa, wielkość firmy, dostawca, nazwa firmy / osoby, tax id, dane adresowe, firmowa strona www, linki do social media. 
    2. Rejestracja produktu: wersja systemu, app id, crm id, dostawca, wielkość firmy, data wysyłki, czas rejestracji, status rejestracji, klucz systemu, data ostatniego błędu, komunikat ostatniego błędu, lista wykupionych produktów.
    3. Podstawą prawną przetwarzania danych osobowych przez Administratora w tym celu jest mowa zawarta z Użytkownikiem przy instalacji systemu. Dodatkowo w zakresie danych, które nie są niezbędne i nie wynikają bezpośrednio z umowy podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
    4. Okres przetwarzania danych wynosi 10 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
  8. Dzienniki serwerów i aplikacji - [zapytania przychodzące i wychodzące] oraz logi serwerów i aplikacji są przechowywane w celu ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed nimi. Dane gromadzone w dziennikach zawierają: adres IP, datę i godzinę, żadany adres URL, informacje o przeglądarce oraz unikalny identyfikator,
    • Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust.1 lit f RODO) polegający na ochronie jego praw.
    • Okres przetwarzania danych wynosi 7 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane

§4 PRAWA WŁAŚCICIELA DANYCH

  1. Użytkownikowi przysługuje prawo: dostępu do treści danych oraz żądania ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo wniesienia sprzeciwu względem przetwarzania danych, a także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych.
  2. W zakresie, w jakim dane Użytkownika przetwarzane są na podstawie zgody, można ją wycofać w dowolnym momencie, kontaktując się z Administratorem, co nie wpływa na zgodność z prawem przetwarzania danych przed jej wycofaniem.
  3. Użytkownik ma prawo zgłoszenia sprzeciwu względem przetwarzania danych dla celów marketingowych, jeśli przetwarzanie odbywa się w związku z uzasadnionym interesem Administratora, a także – z przyczyn związanych ze szczególną sytuacją Użytkownika – w innych przypadkach, gdy podstawą prawną przetwarzania danych jest uzasadniony interes Administratora (np. w związku z realizacją celów analitycznych i statystycznych).

Jeżeli chcesz skorzystać ze swoich praw wyślij maila na adres gdpr@yetiforce.com lub napisz do nas na adres firmy YetiForce S.A., chętnie odpowiemy na wszystkie pytania.

§5 BEZPIECZEŃSTWO DANYCH OSOBOWYCH

  1. Administrator na bieżąco prowadzi analizę ryzyka w celu zapewnienia, że dane osobowe przetwarzane są przez niego w sposób bezpieczny – zapewniający przede wszystkim, że dostęp do danych mają jedynie osoby upoważnione i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator dba o to, by wszystkie operacje na danych osobowych były rejestrowane i dokonywane jedynie przez uprawnionych pracowników i współpracowników.
  2. Administrator podejmuje wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.

§6 WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH

Poniższy wykaz środków technicznych i organizacyjnych może się odnosić albo do części organizacji albo do całości, w zależności od zapotrzebowania oraz danych które są przetwarzane i chronione. Dla przykładu: "Wdrożono procedury zarządzania ryzykiem [ISO 27005]" odnosi się tylko do serwerowni w której są przetwarzane dane. Poniżej pełen wykaz:

  • Wdrożono system zarządzania bezpieczeństwem
  • Wdrożono regularne audyty bezpieczeństwa
    • Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów)
    • Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów)
    • Audyty wewnętrzne, przeprowadzane przez wewnętrznych lub zewnętrznych audytorów
    • Audyty techniczne (testy penetracyjne, skany podatności, przeglądy kodu) przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;Audyty aktywności osób trzecich, przeprowadzane przez osobę odpowiedzialną za zarządzanie osobami trzecimi
    • Audyty centrów danych, przeprowadzane przez audytorów wewnętrznych
    • Audyty bezpieczeństwa weryfikujące infrastrukturę i sieć wykonywane przez Administratora danych
  • Wdrożono procedury zarządzania ryzykiem [ISO 27005]
  • Wdrożono procedury zarządzania zmianami
    • Role i zakresy odpowiedzialności są jasno zdefiniowane;
    • Określone zostały kryteria klasyfikacji służące identyfikacji etapów, jakie należy realizować podczas wprowadzania zmiany;
    • Stosowane są zasady zarządzania priorytetami; realizowana jest analiza ryzyka związanego ze zmianami (jeśli ryzyko zostaje zidentyfikowane, Security Manager oraz Risk Manager biorą udział w zatwierdzaniu zmiany);
    • Przeprowadzane są ewentualnie testy penetracyjne (jeśli dotyczy); zmiana jest planowana i programowana z klientami (jeśli dotyczy);
    • Wdrożenie jest realizowane stopniowo (1/10/100/1000) a, w przypadku ryzyka, przewidziana jest procedura powrotu do poprzedniego stanu;
    • Realizowany jest przegląd a posteriori poszczególnych zasobów, których dotyczy zmiana;
    • Wszystkie etapy są dokumentowane w narzędziu do zarządzania zmianami.
  • Wdrożono wewnętrzne procedury dla programistów: wprowadzono stosowne, udokumentowane procedury. Opisują one zasady bezpiecznego rozwoju, środki „privacy by design” oraz politykę przeglądu kodu (wykrywanie podatności, obsługa błędów, zarządzanie dostępem i rekordami, bezpieczeństwo przechowywania i komunikacji).
  • Monitorowanie usług oraz infrastruktury;
    • Wykrywanie awarii związanych z produkcją i bezpieczeństwem;
    • Kontrola funkcji krytycznych i wysyłanie komunikatów ostrzegawczych do systemu nadzoru;
    • Powiadomienie osób odpowiedzialnych i wszczęcie odpowiednich procedur;
    • Zagwarantowanie ciągłości działania usługi w odniesieniu do działań zautomatyzowanych;
    • Zapewnienie integralności monitorowanych zasobów.
  • Wdrożony został proces zarządzania awariami pozwalający zapobiegać, wykrywać i radzić sobie z awariami mającymi miejsce w infrastrukturach zarządzania usługą, jak i w ramach samej usługi.
    • Dokumentację kwalifikacji zdarzeń z zakresu bezpieczeństwa;
    • Obsługę zdarzeń z zakresu bezpieczeństwa;
    • Ćwiczenia symulacyjne dla komórki kryzysowej;
    • Testy planu reakcji na awarie;
    • Komunikację z klientami realizowaną przez komórkę kryzysową.
  • Wdrożono proces zarządzania podatnościami:
    • Informacyjnym stronom WWW;
    • Ostrzeżeniom twórców i producentów wdrożonych rozwiązań;
    • Incydentom oraz obserwacjom przekazywanym przez zespoły eksploatacyjne, osoby trzecie lub klientów;
    • Regularnie przeprowadzanym wewnętrznym i zewnętrznym skanom podatności;
    • Audytom technicznym, jak również przeglądom kodu i konfiguracji.
  • Wdrożono proces i procedury zapewniające ciągłość działania infrastruktury (dostępność sprzętu, aplikacji i procesów eksploatacyjnych):
  • Wprowadzone zostały środki mające na celu przeciwdziałanie zagrożeniom naturalnym i środowiskowym:
    • Instalacja piorunochronów mających ograniczyć działanie fal elektromagnetycznych;
    • Lokalizacja pomieszczeń w strefach niezagrożonych powodzią i bez ryzyka sejsmicznego;
    • Instalacja zasilaczy awaryjnych (UPS) o stosownej pojemności oraz transformatorów zapasowych z automatycznym przełącznikiem zasilania;
      Automatyczne przełączanie obciążenia na agregaty prądotwórcze o 24-godzinnej wytrzymałości;
    • Instalacja systemu chłodzenia serwerów za pomocą cieczy (98% sal serwerowych pozbawionych jest klimatyzatorów);
    • Instalacja jednostek do ogrzewania, wentylacji i klimatyzacji (system HVAC) w celu utrzymania stałej temperatury i poziomu wilgotności;
    • Zarządzanie systemem wykrywania pożarów (w centrach danych przeprowadzane są co 6 miesięcy ćwiczenia przeciwpożarowe).
  • Fizyczny dostęp do obiektów opiera się na ścisłej ochronie obwodowej, aktywnej już od strefy wejścia na teren. Każde pomieszczenie jest odpowiednio sklasyfikowane:
    • Strefy prywatne;
    • Biura dostępne dla wszystkich pracowników i dla zarejestrowanych odwiedzających;
    • Biura pod ścisłym nadzorem, do których dostęp mają tylko określone osoby;
    • Strefy, w których mieści się sprzęt centrów danych;
    • Strefy pod ścisłym nadzorem w centrach danych;
    • Strefy centrów danych, w których zlokalizowane są krytyczne usługi.
  • Wprowadzone zostały środki umożliwiające kontrolowanie dostępu do fizycznych obiektów
    • Polityka dotycząca praw dostępu;
    • Ściany (lub ich funkcjonalny ekwiwalent) pomiędzy poszczególnymi strefami;
    • Kamery zainstalowane w punktach wejścia i wyjścia z obiektu, a także w salach serwerowych;
    • Wejścia chronione, kontrolowane za pomocą czytników kart dostępu;
    • Bariery z wiązkami laserowymi na parkingach;
    • Czujniki ruchu;
    • Mechanizmy antywłamaniowe zainstalowane w punktach wejścia i wyjścia z centrów danych;
    • Mechanizmy wykrywania obecności (całodobowa ochrona fizyczna oraz monitoring);
    • Stałe centrum nadzoru, kontrolujące otwieranie i zamykanie drzwi.
  • Kontrola fizycznego dostępu opiera się na systemie kart dostępu. Każda karta połączona jest z konkretnym kontem, które z kolei powiązane jest z daną osobą. W ten sposób można zidentyfikować każdą osobę w pomieszczeniach i uwierzytelnić mechanizmy kontroli:
    • Każda osoba wchodząca do obiektów musi mieć kartę dostępu z zakodowanymi na niej danymi identyfikacyjnymi;
    • Tożsamość osoby musi być za każdym razem sprawdzona przed wydaniem karty dostępu;
    • W obiektach każda osoba musi nosić kartę w taki sposób, aby była ona widoczna;
    • Na kartach dostępu nie może figurować nazwisko jej posiadacza ani nazwa firmy;
    • Karta dostępu musi umożliwiać natychmiastową identyfikację kategorii osoby przebywającej na terenie (pracownik, osoba trzecia, dostęp tymczasowy, gość);
    • Karta dostępu jest dezaktywowana natychmiast po tym, gdy jej posiadacz traci prawo dostępu do obiektów;
    • Karta dostępu pracownika jest aktywowana na czas trwania umowy o pracę; w przypadku innych kategorii jest automatycznie dezaktywowana po określonym czasie;
    • Karta dostępu nieużywana przez okres trzech tygodni jest automatycznie dezaktywowana.
  • Zarządzenie dostępem do poszczególnych stref
    • Drzwi podłączone są do centralnego systemu zarządzania prawami dostępu;
    • Należy zbliżyć kartę do czytnika, aby drzwi zostały odblokowane;
      Prawo dostępu danej osoby jest weryfikowane w momencie odczytu karty przez czytnik;
    • W przypadku awarii centralnego systemu zarządzania prawami dostępu uprawnienia skonfigurowane w momencie incydentu są ważne przez cały czas trwania zdarzenia;
    • Zamki drzwi są zabezpieczone przed przerwami w dostawie prądu i w takich sytuacjach pozostają zamknięte.
    • Klucze są przechowywane w scentralizowanych, osobnych dla każdego obiektu miejscach z ograniczonym dostępem, wyposażonych w depozytor;
    • Każdy klucz jest zidentyfikowany przy pomocy etykietki; prowadzony jest inwentarz kluczy;
    • Użycie każdego z kluczy jest śledzone i identyfikowalne za pomocą specjalnego mechanizmu lub papierowego dziennika;
    • Depozytor kluczy jest codziennie sprawdzany według inwentarza.
    • Każda śluza wyposażona jest w dwoje drzwi oraz ograniczony obszar pomiędzy punktami kontroli, co gwarantuje przejście tylko jednej osoby na raz;
    • Jedne drzwi otwierają się wyłącznie w momencie, gdy drugie są zamknięte (ang. mantrap);
    • Śluzy wykorzystują ten sam system kart dostępu, co pozostałe drzwi i działają na tych samych zasadach;
    • Mechanizmy wykrywające obecność sprawdzają, czy wewnątrz śluzy przebywa tylko jedna osoba (ang. anti-piggybacking);
    • System skonfigurowany jest w taki sposób, aby uniemożliwić użycie karty do kilkukrotnego wejścia lub wyjścia (ang. anti-passback);
    • Umieszczona w pobliżu śluzy kamera monitoruje wchodzące osoby.
    • Towary mogą być wprowadzane do centrów danych wyłącznie z wykorzystaniem przeznaczonych w tym celu stref:
    • Strefa dostaw jest skonfigurowana w taki sam sposób, jak śluza osobowa, różni się jedynie większą powierzchnią, brakiem kontroli objętości i ciężaru oraz faktem, że czytniki kart dostępu zainstalowane są tylko na zewnątrz;
    • Tylko towar przechodzi przez strefę dostaw, osoby muszą przejść przez śluzę osobową;
    • W strefie dostawy umieszczona jest kamera bez martwych kątów.
  • Zarządzanie fizycznym dostępem osób trzecich
    • Każda wizyta musi być zgłoszona z wyprzedzeniem;
    • Za osoby trzecie odpowiedzialny jest pracownik, który zawsze im towarzyszy;
    • Tożsamość każdej osoby sprawdzana jest przed wejściem na teren obiektu;
    • Każdej osobie trzeciej przydzielona zostaje na jeden dzień osobista karta dostępu, którą osoba ta musi zwrócić przed opuszczeniem obiektu;
    • Wszystkie osoby muszą nosić karty dostępu w taki sposób, aby były one widoczne;
    • Karty dostępu są automatycznie dezaktywowane po zakończeniu wizyty.
  • Podnoszenie świadomości i szkolenie pracowników
    • Zespoły pracownicze, których te kwestie dotyczą, zostają co roku odpowiednio przeszkolone;
    • Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące przeprowadzania audytów;
    • Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące usług technicznych;
    • W momencie zatrudnienia nowych pracowników organizowane jest szkolenie uwrażliwiające na kwestie związane z bezpieczeństwem systemu informacyjnego (SI);
    • Komunikaty związane z bezpieczeństwem są regularnie adresowane do wszystkich pracowników;
    • Organizowane są kampanie testowe w celu upewnienia się, że wszyscy pracownicy reagują w sposób adekwatny w sytuacji zagrożenia.
  • Kontrola logicznego dostępu do systemów informacyjnych
    • Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
    • Wszystkie uprawnienia są w miarę możliwości przypisywane do pełnionych ról, a nie indywidualnych osób;
    • Zarządzanie prawami dostępu oraz uprawnieniami przypisanymi do użytkownika lub systemu realizowane jest w oparciu o procedurę rejestracji, modyfikacji i anulacji, która to procedura obowiązuje menadżerów, wewnętrzny dział IT oraz dział HR;
    • Wszyscy pracownicy posługują się kontami imiennymi;
    • Sesje połączenia zawsze mają określony czas wygaśnięcia, który zależy od każdej aplikacji;
    • Tożsamość użytkowników jest weryfikowana przed każdą zmianą w metodach uwierzytelnienia;
    • W przypadku utraty hasła przez pracownika, tylko jego przełożony oraz Security Manager są uprawnieni do zresetowania hasła;
    • Konta użytkowników są automatycznie dezaktywowane, jeśli hasło nie zostanie odnowione po 90 dniach;
    • Używanie kont domyślnych, ogólnych i anonimowych jest zabronione;
    • Wdrożona zostaje rygorystyczna polityka dotycząca haseł;
    • Użytkownik nie wybiera sam swojego hasła, służy do tego generator haseł;
    • Minimalna długość hasła to 10 znaków alfanumerycznych;
    • Hasło musi być odnawiane z częstotliwością co 3 miesiące;
    • Przechowywanie haseł w niezaszyfrowanych plikach, przeglądarkach internetowych czy zapisywanie ich na papierze jest zabronione;
    • Obowiązkowe jest używanie lokalnego programu do zarządzania hasłami zatwierdzonego przez zespoły ds. bezpieczeństwa;
    • Każdy zdalny dostęp do systemu informacyjnego realizowany jest poprzez VPN wymagający wprowadzenia hasła znanego tylko użytkownikowi oraz klucza współdzielonego skonfigurowanego w stacji roboczej.
  • Zarządzanie dostępem personelu administracyjnego do platform produkcyjnych
    • Każdy dostęp personelu administracyjnego do systemu produkcyjnego odbywa się za pośrednictwem bastionu;
    • Administratorzy łączą się z bastionami przez SSH, używając pary indywidualnych i imiennych kluczy publicznych i prywatnych;
    • Połączenie z systemem docelowym jest realizowane albo przez współdzielone konto usługi albo przez konto imienne za pośrednictwem bastionów;
    • Korzystanie z kont domyślnych w systemach i urządzeniach jest zabronione;
      Weryfikacja dwuetapowa, wraz z pełnym monitoringiem, obowiązkowa jest w przypadku zdalnych dostępów personelu administracyjnego oraz dostępów pracowników do wrażliwych obwodów;
    • Administratorzy, poza standardowym kontem użytkownika, posiadają konto dedykowane wyłącznie do zadań administracyjnych;
    • Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
    • Klucze SSH są chronione hasłem spełniającym wymagania polityki bezpieczeństwa;
    • We współpracy z odpowiednimi służbami prowadzony jest regularny przegląd uprawnień i dostępów.
  • Kontrola dostępu do Panelu
    • Hasło wybrane przez klienta musi spełniać kryteria złożoności określone w interfejsie użytkownika;
    • Na serwerach przechowywane są jedynie skróty haseł (ang. hash);
    • Serwerownia oferuje możliwość aktywacji w Panelu klienta weryfikacji dwuetapowej z wykorzystaniem systemu jednorazowych haseł (OTP) wysyłanych w wiadomościach SMS, aplikacji mobilnej lub kompatybilnego klucza U2F.
    • Klient może ograniczyć dostęp do swojego Panelu klienta tylko do wcześniej określonych adresów IP;
    • Tokeny dostępu do API mogą być używane przez okres ich ważności bez potrzeby poddawania ich dodatkowym kontrolom;
    • Wszystkie działania klientów w Panelu klienta lub API są rejestrowane;
    • Klient może oddzielić zadania techniczne i administracyjne związane z zarządzaniem usługami.
  • Bezpieczeństwo stanowisk pracy i bezpieczeństwo sprzętu mobilnego
    • Zabezpieczenie standardowych stanowisk roboczych
      • Automatyczne zarządzanie aktualizacjami;
      • Instalacja i aktualizacja programu antywirusowego oraz regularne skanowanie; • instalacja aplikacji pochodzących wyłącznie z zatwierdzonego katalogu;
      • Systematyczne szyfrowanie dysków twardych;
      • Brak uprawnień administracyjnych dla pracowników w odniesieniu do ich stanowisk roboczych;
      • Procedura postępowania względem potencjalnie zagrożonego stanowiska roboczego;
      • Standaryzacja sprzętu;
      • Procedura usuwania sesji oraz resetowania stanowisk roboczych po odejściu pracownika z firmy.
    • Zabezpieczanie urządzeń mobilnych
      • Obowiązkowa rejestracja urządzeń w centralnym systemie zarządzania przed łączeniem się z zasobami wewnętrznymi (WiFi, poczta e-mail, kalendarze, książki adresowe, etc.);
      • Weryfikacja polityki bezpieczeństwa zastosowanej w urządzeniu (kod do odblokowywania, czas, po którym następuje blokada, szyfrowanie przechowywanych treści) ;
      • Procedura zdalnego czyszczenia urządzeń w przypadku kradzieży lub zgubienia.
  • Bezpieczeństwo sieci
    • Prowadzenie inwentarza wewnątrz bazy zarządzania konfiguracjami;
      Proces zabezpieczania systemu, zwany utwardzaniem (ang. hardening), z przewodnikami opisującymi parametry, które należy zmodyfikować w celu zapewnienia bezpiecznej konfiguracji;
    • Dostęp do funkcji administratora sprzętu jest ograniczony na podstawie list kontrolnych;
    • Wszystkie urządzenia administrowane są za pośrednictwem bastionu, zgodnie z zasadą najmniejszego uprzywilejowania;
    • Wszystkie ustawienia sprzętu sieciowego są zachowywane w kopiach zapasowych;
    • Logi są nieprzerwanie gromadzone, centralizowane i monitorowane przez zespół operacyjny zarządzający siecią;
    • Wdrażanie konfiguracji jest zautomatyzowane na podstawie zatwierdzonych szablonów.
  • Zarządzanie ciągłością działania
    • Wszystkie systemy oraz dane niezbędne do zapewnienia ciągłości usług, do rekonstrukcji systemu informacyjnego lub do przeprowadzenia analizy po zaistniałej awarii są zapisywane (pliki baz danych technicznych i administracyjnych, dzienniki aktywności, kody źródłowe aplikacji opracowanych wewnętrznie, ustawienia serwerów, aplikacji i sprzętu, itd.);
    • Częstotliwość, czas oraz sposoby przechowywania kopii zapasowych są zdefiniowane zgodnie z potrzebami każdego zapisanego zasobu; • proces tworzenia kopii jest monitorowany i objęty systemem zarządzania ostrzeżeniami i błędami.
  • Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych
    • Kopie zapasowe i scentralizowane przechowywanie dzienników;
    • Wgląd od logów oraz ich analiza przez ograniczoną liczbę upoważnionych osób zgodnie z polityką przyznawania uprawnień i zarządzania dostępami;
    • Podział zadań pomiędzy zespołami odpowiedzialnymi za operacje wykonywane na infrastrukturze monitoringu oraz zespołami odpowiedzialnymi za eksploatację usługi. Poniżej lista działań objętych obowiązkiem prowadzenia rejestrów:
    • Logi serwerów kopii zapasowych, na których hostowane są dane klientów;
    • Logi maszyn zarządzających infrastrukturą klienta;
    • Logi maszyn do monitoringu infrastruktur;
    • Logi programów antywirusowych zainstalowanych na wszystkich maszynach;
    • Kontrola integralności logów i systemów, jeśli dotyczy;
    • Zadania i zdarzenia realizowane przez klienta w jego infrastrukturze;
    • Logi i alerty o wykryciu włamania do sieci, jeśli dotyczy;
    • Logi urządzeń sieciowych;
    • Logi infrastruktury kamer monitorujących;
    • Logi maszyn administratorów;
    • Logi serwerów czasu;
    • Logi czytników kart dostępu;
    • Logi bastionów.

    §7 ZMIANY POLITYKI PRYWATNOŚCI

    1. Polityka prywatności jest na bieżąco weryfikowana i w razie potrzeby aktualizowana. Aktualna wersja została przyjęta i obowiązuje od 2021-12-04.