FAQ DORA

DORA (Digital Operational Resilience Act) to rozporządzenie UE nakładające na podmioty finansowe obowiązek zapewnienia odporności cyfrowej, w tym zarządzania ryzykiem ICT związanym z dostawcami zewnętrznymi.

Vercom S.A. jako dostawca usług ICT podlega wymogom DORA wyłącznie w zakresie współpracy z Podmiotami Finansowymi, pod warunkiem zawarcia stosownego aneksu DORA do umowy z danym Podmiotem. Aneks ten precyzuje m.in. wzajemne zobowiązania w zakresie bezpieczeństwa, ciągłości działania, raportowania incydentów i prawa do audytu. Z pełnym zaangażowaniem wdrażamy standardy DORA. Co to oznacza dla naszych Klientów i Partnerów?

DORA nakłada rygorystyczne normy w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności systemów. Dzięki dostosowaniu naszych procesów do tych wytycznych, zapewniamy:

• Ciągłość świadczenia usług nawet w sytuacjach kryzysowych.

• Najwyższy poziom ochrony danych i stabilność infrastruktury.

• Transparentność w relacjach z dostawcami i podwykonawcami.

Poniżej prezentujemy szczegółowe zestawienie naszych działań

Każdorazowo po wystąpieniu naruszenia. Dodatkowo sporządzamy zbiorczy raport półroczny (raport CERT) obejmujący wszystkie incydenty oraz podjęte działania korygujące.

Tak. Środowisko testowe jest w pełni izolowane od środowiska produkcyjnego. Nowe funkcjonalności i zmiany systemowe są weryfikowane wyłącznie w środowisku testowym, bez wpływu na dane i operacje klientów. Ponadto wykorzystujemy nowoczesne technologie (np. Kubernetes), które izolują poszczególne części infrastruktury.

Tak.

• Zewnętrzne Testy Penetracyjne: Raz w roku poddajemy naszą infrastrukturę rygorystycznym testom przeprowadzanym przez niezależne, akredytowane podmioty zewnętrzne. Pozwala to na obiektywną ocenę skuteczności naszych zabezpieczeń z perspektywy potencjalnego napastnika. Rozumiemy, że kluczowe usługi wymagają najwyższego poziomu transparentności i specyficznych gwarancji. Szczegółowy zakres, metodyka oraz częstotliwość testów dla usług świadczonych znajdują się w Polityce zarządzania podatnościami.

• Regularne Testy Wewnętrzne: Nasz zespół ds. bezpieczeństwa prowadzi cykliczne testy planowe oraz kontrole typu ad hoc. Dzięki temu na bieżąco monitorujemy integralność systemów.

Zgodnie z Polityką zarządzania podatnościami przeprowadzamy:

1. Regularne skanowanie (Nessus Professional, SIEM – tygodniowo/miesięcznie);

2. Testy penetracyjne wewnętrzne i zewnętrzne (min. raz/rok);

3. Klasyfikację podatności wg krytyczności i ustalenie czasu reakcji;

4. Naprawy i retesty;

5. Aktualizowaną na bieżąco dokumentację w formie rejestru podatności.

Wdrożono integrację z systemami CERT oraz systemem Artemis, który cyklicznie skanuje kluczowe domeny i informuje o nowych zagrożeniach oraz potencjalnych wyciekach. Automatyzacja skanowania i orkiestracji z użyciem dedykowanych narzędzi wpływa na redukcję powierzchni ataku na stacjach roboczych i serwerach. Szerokie wdrożenie MFA.

Regularnie i centralnie instalujemy aktualizacje bezpieczeństwa na naszych zasobach, na stacjach roboczych wspomagając się zobowiązaniami, które pozwalają na centralne zarządzanie wersjami aplikacji, dystrybucję poprawek czy automatyczną instalację po weryfikacji Zespołu Bezpieczeństwa. Stan aktualności poprawek jest monitorowany poprzez system SIEM, następuje identyfikacja urządzeń bez wymaganych łatek i przekazanie informacji do Działu Bezpieczeństwa. Systemy Windows Server aktualizowane są po uprzednim przetestowaniu poprawek w środowisku testowym.

Dbamy o wdrożenie każdego komponentu zgodnie z procedurami wewnętrznymi. Odbywa się to etapowo: od złożenia wniosku o zmianę i akceptację, poprzez testy spełnienia wymagań bezpieczeństwa, konfigurację zgodną ze standardami konfiguracyjnymi (CIS Benchmark), instalację oprogramowania ochronnego (XDR, skany Nessus Professional), po ujęcie komponentu w ewidencji.

Dostawcy są przypisywani do jednej z trzech kategorii na podstawie Arkusza Klasyfikacji Dostawcy ICT:

• Krytyczny – zakłócenie znacząco wpływa na operacje, bezpieczeństwo lub zgodność; spełnia kryteria b.

• Istotny – wspiera ważne procesy, ale zakłócenie nie zagraża całości działania; istnieje plan awaryjny.

• Pozostały – niski wpływ operacyjny, usługi pomocnicze, łatwo zastępowalne (<6 mies.).

Ocena przebiega zgodnie z procedurami wewnętrznymi zapewniającymi monitorowanie dostawców, dokonywanie analizy i oceny przez Zespół Bezpieczeństwa przed dokonaniem wyboru nowego dostawcy, odpowiednią klasyfikację dostawcy i prowadzenie Rejestru Dostawców.

Zasady mamy jasno określone w politykach wewnętrznych. Regulacja zabezpieczeń kryptograficznych obejmuje: szyfrowanie kopii zapasowych algorytmem AES-256, szyfrowanie dysków z wykorzystaniem mechanizmu BitLocker, szyfrowanie ruchu do aplikacji webowej, stosowanie mechanizmów SSH i VPN, a także zabezpieczanie danych przesyłanych w ruchu za pomocą protokołu TLS i szyfrowanie długoterminowych danych w formie backupów.

Logi bezpieczeństwa obejmujące serwery, aplikacje, urządzenia sieciowe i stacje robocze agregowane są w rozwiązaniu typu SIEM. SIEM dodatkowo analizuje w czasie rzeczywistym, wykrywa anomalie i potencjalne ataki, klasyfikując alerty wg krytyczności oraz automatycznie eskaluje zdarzenia krytyczne do odpowiednich zespołów poprzez firmowy komunikator.

Dostęp administratorów wymaga:

1. Uwierzytelniania dwuskładnikowego MFA (Cisco Duo);

2. Połączenia wyłącznie przez VPN z szyfrowaną komunikacją.

Dostęp do zasobów jest zawsze ograniczony wyłącznie do autoryzowanych użytkowników.

W naszej organizacji ochrona danych i ciągłość operacyjna opierają się na fundamencie bezkompromisowego bezpieczeństwa. Stosujemy rygorystyczne środki ochrony fizycznej oraz technicznej, aby zapewnić integralność i dostępność zasobów w każdym momencie.

1. Wielopoziomowa Kontrola Dostępu i Nadzór Dostęp do kluczowej infrastruktury jest ściśle limitowany i monitorowany przez całą dobę:

   • System Autoryzacji: Karty pracownicze z przypisanymi uprawnieniami, co gwarantuje dostęp do zasobów wyłącznie osobom upoważnionym.

   • Ochrona Fizyczna i Monitoring: Obiekty są chronione przez całodobową ochronę fizyczną oraz system monitoringu wizyjnego CCTV 24/7.

   • Systemy Alarmowe: Infrastruktura jest zabezpieczona zaawansowanym systemem przeciwwłamaniowym, zintegrowanym z procedurami natychmiastowego reagowania.

2. Gwarancja Ciągłości Zasilania

   Nasze systemy są odporne na zakłócenia w dostawach energii dzięki wielostopniowej architekturze zasilania gwarantowanego:

   • Zasilanie Awaryjne: W przypadku awarii sieci zewnętrznej, ciągłość pracy zapewniają systemy zasilaczy awaryjnych (UPS) oraz wysokowydajne generatory prądu, przejmujące obciążenie w trybie natychmiastowym.

3. Ochrona Przeciwpożarowa Bezpieczeństwo infrastruktury technicznej wspierają certyfikowane systemy przeciwpożarowe, zaprojektowane do ochrony urządzeń elektronicznych, oraz strategicznie rozmieszczone jednostki gaśnicze, umożliwiające szybką reakcję w sytuacjach kryzysowych.

4. Bezpieczeństwo Danych i Nośników Chronimy dane nie tylko na poziomie sieciowym, ale i sprzętowym.

5. Segregacja i segmentacja sieci Wdrożono separację sieciową i ograniczenie ruchu pomiędzy podsieciami z wykorzystaniem mechanizmów VRF i list kontroli dostępu (ACL). Sieć lokalna (biurowa) udostępniania jest w oparciu o sieć bezprzewodową, która zabezpieczona jest protokołem WPA3. Funkcjonuje odrębna, izolowana sieć gościnna, całkiem odseparowana od sieci produkcyjnej. Środowisko testowe wydzielone jest z restrykcyjnymi uprawnieniami i zasadą ACL "blokuj wszystko" oraz z wykorzystaniem danych testowych.

6. Przechowywanie Danych Wykorzystujemy zaawansowane macierze dyskowe o wysokiej redundancji, co chroni przed skutkami awarii pojedynczych podzespołów.

7. Pełne Szyfrowanie Wszystkie nośniki danych, w tym dyski w komputerach przenośnych, podlegają obowiązkowemu szyfrowaniu. Dzięki temu nawet w przypadku fizycznej utraty sprzętu, dostęp do danych przez osoby niepowołane pozostaje niemożliwy. Ponadto zapewnienie ciągłości działania biznesu opieramy na fundamentach najwyższego bezpieczeństwa fizycznego.

8. Centra Danych (Data Centers) Korzystamy z centrów danych Beyond.pl oraz NTT, które wyznaczają europejskie standardy w zakresie ochrony infrastruktury krytycznej. Zapewniona jest tam wielopoziomowa kontrola dostępu, stała ochrona, systemy alarmowe, odporność na zdarzenia losowe i środowiskowe, a także gwarancja zgodności i certyfikacje standardów takich jak ISO 27001, EN 50600 Klasa 4, SOC 2 (Type II), Tier III/Tier IV, PCI DSS. Ponadto wykorzystywana przez nas infrastruktura centrów danych (Data Center) dostarczana przez NTT jest zgodna z wymaganiami DORA. Spółka NTT DATA Inc. została wskazana przez Unię Europejską jako wyznaczony krytyczny zewnętrzny dostawca usług ICT zgodnie z art. 31(9) rozporządzenia DORA, co oznacza, że podlega ona odpowiednim mechanizmom nadzorczym UE dotyczącym odporności operacyjnej i bezpieczeństwa usług cyfrowych.

Tak, zgodnie z Polityką Zarządzania Zmianami. Proces obejmuje: klasyfikację zmian (standardowe/normalne/pilne), ocenę ryzyka, testowanie w środowiskach dev/staging/produkcja, code review, kontrolę wersji (GitLab), monitoring i dokumentację (GitLab, Jira). Zapewnione są mechanizmy rollback i procedury zmian awaryjnych.

Przed wdrożeniem zmian przeprowadza się testy penetracyjne (wewnętrzne i zewnętrzne). Przy kluczowych zmianach lub nowych funkcjonalnościach dział Security przeprowadza dedykowane testy bezpieczeństwa w celu identyfikacji i eliminacji podatności.

Określono w procedurach wewnętrznych o Zarządzaniu Incydentami Bezpieczeństwa. Dokumentacja określa mechanizmy służące do monitorowania (SOC, SIEM). Powołany jest również CERT Vercom.

Wyznaczona osoba nadzoruje SLA i przygotowuje raporty. Do monitorowania działania usługi wykorzystywany jest Zabbix, umożliwiający bieżący nadzór nad dostępnością i wydajnością. Raporty SLA obejmują: czas niedostępności, wykresy dostępności API, wyliczenia czasu awarii. Raporty udostępniane na życzenie klienta zgodnie z warunkami umowy. W przypadku Podmiotów Finansowych szczegółowe parametry SLA i zasady raportowania mogą wynikać z aneksu DORA.

Organizacja posiada wdrożone procedury wewnętrzne związane z zapewnieniem utrzymania ciągłości działania oraz wdrożoną normę ISO 22301. Regularnie przeprowadzane są testy zarówno BCP (Business Continuity Plan) jak i DRP (Disaster Recovery Plan).

Posiadamy rozbudowany program szkoleń, który obejmuje coroczne obowiązkowe szkolenia dla Pracowników w zakresie wiedzy z dziedzin ISO/RODO, a także Cyberbezpieczeństwa. Ponadto po szkoleniach głównych następuje weryfikacja wiedzy Pracowników poprzez przeprowadzenie testów wiedzy. Zgodnie z procedurą wewnętrzną realizujemy również szkolenia dla poszczególnych działów; zgodnie z zakresem wykonywanych przez nich obowiązków otrzymują oni dedykowane szkolenia.

Prawa osób, których dane dotyczą, w zakresie żądania zaprzestania przetwarzania danych osobowych realizujemy zgodnie z obowiązującymi przepisami prawa oraz procedurami wewnętrznymi – w zakresie, w jakim obowiązki te spoczywają na naszej spółce jako Administratorze danych osobowych. W sytuacji, gdy nasza spółka nie występuje w roli administratora (ani podmiotu przetwarzającego właściwego do realizacji żądania), przekazujemy osobie zgłaszającej wniosek informacje o podmiocie właściwym do rozpatrzenia żądania oraz dane kontaktowe umożliwiające bezpośrednie skierowanie wniosku do tego podmiotu.

Wymogi DORA mają zastosowanie do Vercom wyłącznie w relacjach z Podmiotami Finansowymi w rozumieniu rozporządzenia DORA. Warunkiem jest zawarcie stosownego aneksu DORA do umowy głównej, który określa m.in.: zakres usług ICT objętych regulacją, obowiązki informacyjne i raportowe, prawo Podmiotu Finansowego i jego organów nadzoru do audytu, wymogi dotyczące podwykonawców ICT, strategię wyjścia (exit plan) oraz lokalizację przetwarzania danych. Bez zawarcia takiego aneksu Vercom nie jest związany dodatkowymi obowiązkami wynikającymi z DORA.