Polityka Bezpieczeństwa
Ostatnia aktualizacja: 27 kwietnia 2025
Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne stosowane przez dusk-threads w celu ochrony danych, systemów oraz infrastruktury przed nieuprawnionym dostępem, utratą, ujawnieniem lub zniszczeniem. Bezpieczeństwo informacji jest dla nas priorytetem i stanowi integralną część naszych codziennych operacji.
1. Zakres stosowania
Niniejsza polityka ma zastosowanie do wszystkich systemów informatycznych, aplikacji, zasobów sieciowych oraz danych przetwarzanych przez dusk-threads, a także do wszystkich pracowników, współpracowników i podmiotów przetwarzających dane w naszym imieniu.
2. Odpowiedzialność za bezpieczeństwo
Odpowiedzialność za wdrożenie i egzekwowanie niniejszej polityki spoczywa na kierownictwie organizacji. Wszyscy pracownicy oraz podmioty zewnętrzne mające dostęp do zasobów dusk-threads są zobowiązani do przestrzegania zasad określonych w niniejszym dokumencie.
W przypadku wykrycia incydentu bezpieczeństwa lub podejrzenia naruszenia należy niezwłocznie skontaktować się pod adresem: [email protected].
3. Ochrona danych i poufność
3.1. Klasyfikacja danych
Dane przetwarzane w ramach naszych usług są klasyfikowane według poziomu wrażliwości. Wyróżniamy następujące kategorie:
- Dane publiczne — informacje dostępne publicznie, niewymagające szczególnej ochrony.
- Dane wewnętrzne — informacje przeznaczone wyłącznie do użytku wewnętrznego.
- Dane poufne — dane wymagające ograniczonego dostępu, w tym dane osobowe klientów.
- Dane krytyczne — dane o najwyższym poziomie wrażliwości, wymagające maksymalnej ochrony.
3.2. Kontrola dostępu
Dostęp do danych i systemów jest przyznawany zgodnie z zasadą minimalnych uprawnień. Oznacza to, że każda osoba otrzymuje dostęp wyłącznie do zasobów niezbędnych do wykonywania jej obowiązków. Uprawnienia są regularnie przeglądane i aktualizowane.
3.3. Szyfrowanie danych
Dane przesyłane za pośrednictwem naszych systemów są chronione przy użyciu szyfrowania TLS. Dane przechowywane na serwerach są szyfrowane w spoczynku przy użyciu uznanych standardów kryptograficznych. Klucze szyfrujące są zarządzane w bezpieczny sposób i regularnie rotowane.
4. Bezpieczeństwo infrastruktury
4.1. Zabezpieczenia sieciowe
Infrastruktura sieciowa jest chroniona przez:
- zapory sieciowe (firewall) filtrujące ruch przychodzący i wychodzący,
- systemy wykrywania i zapobiegania włamaniom (IDS/IPS),
- segmentację sieci w celu ograniczenia rozprzestrzeniania się zagrożeń,
- regularne skanowanie podatności i testy penetracyjne.
4.2. Bezpieczeństwo serwerów
Serwery są konfigurowane zgodnie z zasadami bezpiecznej konfiguracji bazowej. Systemy operacyjne i oprogramowanie są regularnie aktualizowane w celu eliminacji znanych podatności. Nieużywane usługi i porty są wyłączane.
4.3. Środowiska chmurowe
W przypadku korzystania z usług chmurowych stosujemy konfiguracje zgodne z najlepszymi praktykami branżowymi. Zasoby chmurowe są monitorowane pod kątem nieautoryzowanych zmian i dostępów.
5. Zarządzanie dostępem i uwierzytelnianie
W celu ochrony kont użytkowników stosujemy następujące środki:
- silne hasła — minimalna długość i złożoność są egzekwowane przez system,
- uwierzytelnianie wieloskładnikowe (MFA) dla dostępu do krytycznych systemów,
- automatyczne blokowanie kont po wielokrotnych nieudanych próbach logowania,
- rejestrowanie i monitorowanie wszystkich prób dostępu,
- natychmiastowe unieważnianie dostępu w przypadku zakończenia współpracy.
6. Zarządzanie incydentami bezpieczeństwa
6.1. Wykrywanie i reagowanie
Posiadamy wdrożoną procedurę zarządzania incydentami bezpieczeństwa obejmującą wykrywanie, analizę, ograniczanie skutków, usuwanie przyczyn oraz przywracanie normalnego działania systemów. Incydenty są dokumentowane i analizowane w celu zapobiegania ich ponownemu wystąpieniu.
6.2. Powiadamianie o naruszeniach
W przypadku naruszenia ochrony danych, które może powodować ryzyko dla praw i wolności osób fizycznych, podejmiemy odpowiednie działania powiadamiające zgodnie z obowiązującymi przepisami prawa. Poszkodowane osoby zostaną poinformowane bez zbędnej zwłoki.
6.3. Zgłaszanie incydentów
Wszelkie podejrzenia naruszenia bezpieczeństwa, nieautoryzowanego dostępu lub innego incydentu należy niezwłocznie zgłaszać na adres: [email protected] lub telefonicznie pod numer: +48 32 262 72 71.
7. Kopie zapasowe i ciągłość działania
Dane są regularnie archiwizowane zgodnie z ustaloną polityką tworzenia kopii zapasowych. Kopie zapasowe są przechowywane w bezpiecznych lokalizacjach i testowane pod kątem możliwości przywrócenia. Posiadamy plany ciągłości działania oraz plany odtwarzania po awarii, które są regularnie weryfikowane i aktualizowane.
8. Bezpieczeństwo aplikacji
Proces tworzenia oprogramowania uwzględnia zasady bezpiecznego kodowania. Stosujemy następujące praktyki:
- przeglądy kodu pod kątem bezpieczeństwa,
- automatyczne skanowanie kodu źródłowego w poszukiwaniu podatności,
- testowanie bezpieczeństwa przed wdrożeniem nowych funkcjonalności,
- regularne aktualizacje bibliotek i zależności zewnętrznych,
- ochrona przed typowymi atakami, takimi jak SQL Injection, XSS i CSRF.
9. Zarządzanie podmiotami zewnętrznymi
Podmioty zewnętrzne, w tym dostawcy usług i partnerzy, którym powierzamy przetwarzanie danych lub dostęp do naszych systemów, są zobowiązani do przestrzegania standardów bezpieczeństwa porównywalnych z naszymi. Przed nawiązaniem współpracy przeprowadzamy ocenę bezpieczeństwa potencjalnych partnerów. Umowy z podmiotami zewnętrznymi zawierają odpowiednie klauzule dotyczące ochrony danych i bezpieczeństwa informacji.
10. Szkolenia i świadomość bezpieczeństwa
Wszyscy pracownicy przechodzą szkolenia z zakresu bezpieczeństwa informacji. Szkolenia obejmują rozpoznawanie zagrożeń, takich jak phishing, bezpieczne korzystanie z systemów oraz procedury postępowania w przypadku incydentów. Wiedza pracowników jest regularnie aktualizowana w związku ze zmieniającym się krajobrazem zagrożeń.
11. Monitorowanie i audyty
Systemy i sieci są monitorowane w sposób ciągły w celu wykrywania anomalii i nieautoryzowanych działań. Logi systemowe są przechowywane przez określony czas i chronione przed nieuprawnioną modyfikacją. Regularnie przeprowadzamy wewnętrzne i zewnętrzne audyty bezpieczeństwa w celu weryfikacji skuteczności stosowanych środków ochrony.
12. Fizyczne bezpieczeństwo
Dostęp do pomieszczeń, w których przetwarzane są dane, jest kontrolowany i ograniczony do upoważnionych osób. Urządzenia zawierające dane są chronione przed kradzieżą i nieautoryzowanym dostępem. Nośniki danych są bezpiecznie niszczone przed ich utylizacją.
13. Przegląd i aktualizacja polityki
Niniejsza Polityka Bezpieczeństwa jest przeglądana co najmniej raz w roku lub w przypadku istotnych zmian w środowisku technicznym, organizacyjnym lub prawnym. Wszelkie zmiany są dokumentowane, a zaktualizowana wersja polityki jest publikowana z oznaczeniem daty ostatniej aktualizacji.
14. Kontakt
W sprawach dotyczących bezpieczeństwa informacji prosimy o kontakt:
- Email: [email protected]
- Telefon: +48 32 262 72 71
- Adres: Orzechowa 18, 50-540 Wrocław, Polska