Karta samooceny
Ocena VERCOM S.A. jako podmiotu przetwarzającego dane osobowe. Dokument powstał w oparciu o najczęściej zadawane pytania Klientów Vercom S.A. dotyczące bezpieczeństwa informatycznego i przetwarzania powierzonych danych osobowych.
VAT ID
7811765125
REGON
300061423
KRS
535618
LEI
259400P9VT804CUH6G16
EUID
PLKRS.0000535618
Zakres świadczonych usług
Vercom tworzy globalne platformy komunikacyjne w chmurze (CPaaS), które umożliwiają firmom budowanie i rozwijanie trwałych relacji z odbiorcami za pośrednictwem wielu kanałów komunikacji takich jak m.in.: SMS, EMAIL, PUSH, OTT. Nasze rozwiązania pomagają naszym klientom i partnerom przezwyciężyć złożoność komunikacji, automatyzować oraz zwiększać jej skalę, zachowując przy tym wysoką dostarczalność i efektywność. Wszystko to w szybki, bezpieczny i niezawodny sposób.
W ramach świadczonych usług Vercom S.A. działa jako podmiot przetwarzający dane osobowe. Vercom nie decyduje o celach przetwarzania danych osobowych. Vercom w niezbędnym zakresie wspiera Administratorów w wywiązywaniu się obowiązków wynikających z regulacji prawnych.
NAJCZĘŚCIEJ ZADAWANE PYTANIA
Inspektor Ochrony Danych
Czy Procesor wyznaczył Inspektora Ochrony Danych Osobowych
Tak, VERCOM S.A. wyznaczył inspektora Ochrony Danych Osobowych
Prosimy podać Dane kontaktowe Inspektora Ochrony Danych Osobowych
Marika Rybarczyk [email protected]
Czy działania Inspektora Ochrony Danych (osoby odpowiedzialnej za obszar ochrony danych osobowych) są dokumentowane?
Tak, działania IOD są dokumentowane
Administrator Danych Osobowych (ADO)
Czy wdrożono zasady realizacji praw podmiotów danych (do informacji, dostępu do danych oraz ich kopii, do sprostowania lub uzupełnienia danych, do usunięcia danych, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do nie podlegania automatycznemu profilowaniu)?
Tak, w zakresie w jakim obowiązki te spoczywają na Vercom S.A. jako Administratorze danych osobowych.
Zgłoszenia przekazywane są do Administratorów zgodnie z procedurą DO-01 Zał. 10 Procedura obsługi Skarg od Podmiotów Danych
Czy podmiot przetwarzający prowadzi rejestr żądań osób których dotyczą dane?
Jako podmiot przetwarzający nie prowadzimy rejestru żądań osób, których dane dotyczą, gdyż są to kwestie spoczywające po stronie ADO.
Wszystkie żądania od Podmiotów Danych, które do nas wpływają, są niezwłocznie przekazywane do Administratorów zgodnie z umową powierzenia, a podmiot zgłaszający otrzymuje informację, że przekazaliśmy dane do Administratora. Podmiot przetwarzający wspiera Administratorów w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.
Czy są wyznaczone osoby odpowiedzialne za utrzymanie kontaktu z Administratorem powierzającym przetwarzanie?
Tak.
Pierwszą linią wsparcia jest opiekun biznesowy oraz BOK, każdy ADO ma również możliwość kontaktu bezpośrednio z IOD
Powierzenie i dalsze powierzenie przetwarzania danych osobowych
Z ilu podzleceniobiorców i w jakim zakresie korzysta podmiot przetwarzający?
W zależności od świadczonej usługi lista procesorów może się różnić. Szczegóły reguluje zawarta umowa powierzenia przetwarzania danych osobowych.
Lista dostępna w zakładce Przetwarzanie danych osobowych.
Jaki jest przedmiot, charakter i cel przetwarzania danych osobowych?
Przetwarzanie następuje w celu świadczenia Usługi na rzecz Klienta w oparciu o Umowę Główną oraz w celu wypełnienia zobowiązań Vercom wynikających z niniejszej Umowy powierzenia odnoszących się, w szczególności, do zabezpieczenia danych, w tym zapewnienia ich integralności i dostępności.
Jaki jest czas trwania przetwarzania?
Okres przetwarzania danych będzie taki sam jak okres świadczenia Usług na podstawie Umowy Głównej, z zastrzeżeniem, że umowa powierzenia obowiązuje do momentu usunięcia danych zgodnie z jej postanowieniami.
Jakie kategorie osób fizycznych obejmuje umowa?
Przetwarzane dane osobowe dotyczą następujących kategorii osób fizycznych: Użytkownicy końcowi – osoby fizyczne będące odbiorcami komunikacji elektronicznej wysyłanej przez Klienta na podstawie Umowy Głównej.
Jakie rodzaje szczególnych kategorii danych osobowych są objęte umową?
Przetwarzane szczególne kategorie danych osobowych obejmują następujące kategorie: Nie Dotyczy
Czy są ustalone mechanizmy przechowywania, usuwania, w tym anonimizacji danych osobowych?
Tak.
PBI - 01 Zał. 07 Procedura Retencji Danych VERCOM. Kwestie uregulowane są dodatkowo w Umowie powierzenia przetwarzania danych Dane usuwane są w terminie 3 dni roboczych od rozwiązania lub wygaśnięcia Umowy Głównej. Dane Osobowe ulegają automatycznemu usunięciu, chyba że obowiązek ich zachowania wynikać będzie z przepisów prawa obowiązujących Vercom. Dane z backupu usuwane są po dwóch latach.
Czy wszyscy wykorzystywani w trakcie świadczenia usług podwykonawcy, zostali sprawdzeni pod kątem zapewnienia odpowiedniego poziomu ochrony danych osobowych?
Tak, podwykonawcy podlegają corocznej ocenie.
Czy prowadzona jest ewidencja dostawców, którym powierzacie lub wtórnie powierzacie Państwo przetwarzanie danych osobowych?
Tak, prowadzona jest szczegółowa lista dalszych podmiotów przetwarzających Vercom S.A., ostatnia aktualizacja 12_08_2025 oraz Rejestr Czynności Przetwarzania w VERCOM S.A.
Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?
Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności.
Styczeń 2026 audyt wewnętrzny i zewnętrzny ISO 22301.
Wrzesień 2025 audyt wewnętrzny i zewnętrzny ISO 27001 i 27018.
Audyty wewnętrzne zakończone powstaniem raportu z audytu i przeglądem funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji
Nastąpiła weryfikacja zgodności z normą ISO 22301, ISO 27001 oraz 27018.
Audyty zewnętrzne zakończone uzyskaniem certyfikatu zgodności.
Audyty obejmowały zakresem całą organizację i wszystkie wymagane normy oraz pomiar skuteczności zabezpieczeń."
Gdzie są przechowywane dane powierzone do przetwarzania?
Wszystkie operacje wykonywane na danych osobowych odbywają się w systemie informatycznym. Dane powierzone do przetwarzania nie są przechowywane na komputerach pracowników. Vercom nie przetwarza, w ramach świadczonych usług, danych osobowych w wersji papierowej. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu.
W jaki sposób podmiot zapewnia oddzielenie powierzonych mu danych przez Administratora od danych innych podmiotów w tym danych własnych?
W systemach Vercom udostępnianych w ramach świadczonych usług zastosowana jest separacja logiczna danych.
Czy Przetwarzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO?
Nie.
Nie podlegamy pod wymóg stosowania zatwierdzonych kodeksów postępowania.
Czy przechowywanie i przetwarzanie danych odbywa się tylko na terenach EOG?
Tak.
Główne środowisko serwerowe w ramach CPaaS VERCOM znajduje się w EOG. Wszystkie dalsze podmioty przetwarzające dane osobowe świadczą usługi objęte regionalizacją na terenie PL, UE lub EOG. Nie przetwarzamy poza EOG.
Czy posiadamy procedury dotyczące kopii zapasowych przetwarzanych przez nas danych?
Tak.
Zgodnie z udokumentowaną i wdrożoną polityką, częstotliwość tworzenia kopii zapasowych odbywa się raz dziennie, kopie zapasowe w backupach są przechowywane 2 lata i są szyfrowane, backup tylko na terenie EOG w zewnętrznych serwerowniach o najwyższych standardach bezpieczeństwa, podlegają wielopoziomowemu zabezpieczeniu.
Implementacja Systemu Zarządzania Bezpieczeństwa Informacji
Czy została wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące przetwarzania i ochrony danych osobowych?
Tak.
Wdrożone i potwierdzone certyfikatem ISO 27001, ISO 22301 oraz ISO 27018 PBI - 01 Księga Procesu Bezpieczeństwa Informacji DO-01 Polityka Bezpieczeństwa Danych Osobowych.
Czy została wdrożona instrukcja zarządzania systemami IT służącymi do przetwarzania danych osobowych lub inne regulacje wewnętrzne dot. zasad zarządzania infrastrukturą IT?
Tak.
Wdrożona i udokumentowana procedura DO-02 Instrukcja zarządzania systemem informatycznym
Czy Wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są zaakceptowana przez kadrę zarządzającą?
Tak
Czy zapewniamy zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania?
Tak
Czy Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są opublikowane i dostępne dla Personelu (pracownicy/zleceniobiorcy)?
Tak
Czy podmiot przetwarzający realizuje zasadę ochrony danych w fazie projektowania?
Tak.
Działamy zgodnie z zasadą Privacy by design oraz Privacy by default.
Czy podmiot przetwarzający realizuje zasadę domyślnej ochrony danych?
Tak.
Działamy zgodnie z zasadą Privacy by design oraz Privacy by default.
Szacowanie Ryzyka
Czy jest wdrożona metodologia szacowania ryzyka naruszenia praw lub wolności osób fizycznych
Tak.
Wdrożona procedura DO-03 Metodyka Szacowania Ryzyka Danych Osobowych
Czy jest wdrożona metodologia oceny skutków dla ochrony danych osobowych
Tak.
Wdrożona procedura DO-03 Metodyka Szacowania Ryzyka Danych Osobowych
Czy szacowanie ryzyka jest wykonywane okresowo? Proszę podać datę ostatniego szacowania ryzyka.
Tak, 08.08.2025.
Zgodnie z wdrożoną i udokumentowaną procedurą Szacowania Ryzyka prowadzony jest Arkusz Szacowania Ryzyka w formie elektronicznej. Szacowanie odbywa się raz do roku, oraz w razie zaistnienia konieczności wynikającej z planowanych działań, każdorazowo dodatkowo.
Ciągłość działania
Czy są stosowane mechanizmy monitorowania i wykrywania działań mogących mieć wpływ na bezpieczeństwo informacji oraz ciągłość działania?
Tak, wdrożony jest szereg rozwiązań monitorujących darzenia w systemie i alertujących o wykrytych nieprawidłowościach. Dodatkowo firma posiada wewnętrzny zespół ds. cyberbezpieczeństwa prowadzący regularne testy wdrożonych rozwiązań.
Czy wdrożono Plan Ciągłości Działania BCP lub/i DRP?
Tak.
Jest opracowany i wdrożony Plan ciągłości działania, który jest regularnie testowany (nie rzadziej niż raz na rok) PBI - 01 Zał. 03 Schemat ciągłości działania (BCP); Vercom posiada również plan DRP.
Czy stosowane jest regularne testowanie i ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych mających zapewnić odpowiedni poziom bezpieczeństwa przetwarzania?
Tak, w ramach corocznych testów BCP
Zarządzanie incydentami bezpieczeństwa i naruszeniem ochrony danych osobowych
Czy dostawca ustalił procedury dotyczące postępowania na wypadek naruszenia ochrony danych osobowych (incydentu bezpieczeństwa)?
Tak, istnieje i został wdrożony formalny proces obsługi wszelkich naruszeń ochrony danych osobowych i incydentów bezpieczeństwa, wszystkie naruszenia ochrony danych osobowych i incydenty bezpieczeństwa są raportowane do kadry zarządzającej, są rejestrowane oraz obsługiwane przez wyznaczone osoby.
Posiadamy udokumentowaną i wdrożoną PBI - 03 Zarządzanie incydentami bezpieczeństwa, posiadamy pełną dokumentację, w tym dokumentację nadzorczą, w ramach której prowadzony jest PBI-03 Zał. 1 Rejestr naruszeń oraz incydentów ochrony danych osobowych w VERCOM S.A.
Czy prowadzona jest ewidencja naruszeń?
Tak, prowadzimy Rejestr Incydentów bezpieczeństwa i ochrony danych osobowych
Czy kiedykolwiek stwierdzono prawomocną decyzją organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez dostawcę?
Nie
Klasyfikacja Informacji
Czy regulacje w odniesieniu do przetwarzanych informacji obejmują: bezpieczne przetwarzanie, przechowywanie, transmisję, transport, niszczenie oraz zmianę klasyfikacji informacji?
Tak
Czy pracownicy są poinformowani o sposobach klasyfikacji i sposobach przetwarzania informacji obowiązujących w organizacji?
Tak
Pracownicy
Czy pracownicy/współpracownicy zostali zobowiązani do zachowania danych osobowych w poufności?
Tak. Każdy pracownik i współpracownik po zatrudnieniu podpisuje oświadczenie o zachowaniu poufności.
Czy wydawane są upoważnienia dla pracowników zaangażowanych w proces przetwarzania danych osobowych?
Tak. Dostęp do danych mają jedynie pracownicy odpowiednio upoważnieni. Dostępu udziela się na zasadzie ograniczonego dostępu (zasada "need to know") - w zakresie niezbędnym do wykonywania pracy na danym, zajmowanym stanowisku.
Jest prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych, aktualizowana na bieżąco.
Czy pracownicy otrzymują identyfikatory oraz czy są zobowiązani do ich noszenia?
Każdy pracownik posiada kartę kontroli dostępu i jest zobowiązany do posiadania jej przy sobie. Każdy identyfikator jest przypisany do konkretnego użytkownika i służy do uzyskania dostępu do pomieszczeń biurowych. Każdorazowe użycie identyfikatora jest logowane w systemie.
Przydzielane identyfikatory nie posiadają oznaczenia firmy ani pracownika ze względów bezpieczeństwa, aby w razie zagubienia nie zachęcały potencjalnego znalazcy do jego użycia.
Czy organizowane jest szkolenia dla nowo zatrudnionych przed podjęciem czynności przetwarzania danych osobowych?
Tak, pełnomocnik ds. ISO przeprowadza z nowo zatrudnionym Pracownikiem szkolenie podstawowe z zakresu przetwarzania danych osobowych w spółce oraz z zakresu zasad na stanowisku pracy (Instrukcja Stanowiskowa) i zapoznawany jest z Polityką Bezpieczeństwa Informacji.
Organizacja dba bieżące doskonalenie wiedzy swoich pracowników/współpracowników poprzez cykliczne szkolenia oraz inne działania mające na celu uświadamianie pracowników w zakresie zagadnień dotyczących ochrony danych osobowych
Przynajmniej raz w roku Pełnomocnik ds. ZSZ organizuje obowiązkowe szkolenia dla Pracowników z zakresu przetwarzania danych osobowych w Spółce oraz z zakresu zasad na stanowisku pracy. Pracownicy uczestniczą w szkoleniach zgodnie z procedurami PBI 04 Załącznik 1 Instrukcja zarządzania dostępami i zasobami. Ostatnie szkolenie 29_12_2025
Oprócz corocznych, obowiązkowych szkoleń, zarówno z zakresu RODO jak i ISO, pracownicy i współpracownicy biorą udział w dodatkowych szkoleniach prowadzonych przez CISO z Cyberbezpieczeństwa, w ramach dobrych praktyk funkcjonuje w organizacji cykl szkoleń Cyber Wtorki. Umożliwiamy też udział w dodatkowych szkoleniach związanych z tematyką dotyczącą cyfrowych zagrożeń i do tego każdy pracownik niezwłocznie po zatrudnieniu zapoznaje się ze szczegółową Instrukcją Stanowiskową. Cykliczne i obowiązkowe są też specjalistyczne szkolenia działu IT, a także cykle szkoleń dedykowane pracownikom BOK. Regularnie dbamy o ciągłe doskonalenie i podnoszenie kwalifikacji pracowników i współpracowników zapewniając im dostęp do dedykowanych względem działu zatrudnienia, odpowiednich szkoleń.
Czy prowadzony jest PRE-Employment screening?
Tak. Wdrożono i stosuje się system procedur weryfikacji zatrudniania Pracowników.
Weryfikacja obejmuje m.in. wgląd w referencje pracownika, analizę kwalifikacji, a także następujące aspekty:
potwierdzenie tożsamości na podstawie odpowiedniego dokumentu (dowód osobisty lub paszport)
potwierdzenie posiadania odpowiednich kwalifikacji naukowych (na podstawie certyfikatów/dyplomów/świadectw ukończenia)
potwierdzenie deklarowanego doświadczenia zawodowego (w CV i w referencjach).
Czy firma zbiera od pracowników oświadczenia o niekaralności?
Tak, pracownicy podpisują stosowne oświadczenia i zobowiązani są do poinformowania pracodawcy w razie jakiejkolwiek zmiany.
Kontrola dostępu i zarządzanie dostępem
Czy firma posiada uregulowaną politykę haseł?
Tak, została wdrożona spójna polityka haseł.
Ustalone są ścisłe zasady tworzenia haseł, ich przekazywania, dostępu i przechowywania, rotacji, historii haseł w zależności od systemu i rodzaju konta. Każdy pracownik oraz współpracownik przechowuje hasła w managerze haseł (KeePassXC).
Czy istnieje procedura zarządzająca dostępem i tożsamością?
Tak, zgodnie z PBI - 04 Zał. 01 Instrukcja Zarządzania dostępami w Vercom S.A.
Nadawanie dostępu jest wyłącznie na podstawie akceptacji przez kadrę zarządzającą, pracownicy muszą posiadać unikalne identyfikatory, mają zakaz dzielenia się indywidualnymi hasłami z innymi. Jest wdrożona procedura związana z uwierzytelnianiem użytkownika w systemie informatycznym – Instrukcja Zarządzania Systemem Informatycznym. Indywidualne konta, loginy, hasła dla każdego pracownika.
Czy zapewniamy rozliczalność osób wykorzystujących zasoby informatyczne i dane poprzez zarządzanie tożsamościami cyfrowymi i rejestrowanie aktywności osób przepisanych do tych tożsamości?
Tak
Czy w ramach procedury są zabezpieczone, blokowane, usuwane domyślne konta takie jak konta generyczne (generic accounts, konta wbudowane), konta niespersonalizowane i konta gościa?
System nie zezwala na tworzenie kont generycznych, niespersonalizowanych, ani kont gościa.
Zdalny dostęp
Czy zdalny dostęp do zasobów organizacji uregulowany jest wewnętrznymi procedurami?
Tak, zgodnie z udokumentowaną i wdrożoną Procedurą Korzystanie z zasobów informatycznych przez użytkowników.
Czy zdalny dostęp jest autoryzowany przez kadrę zarządzającą dla każdego z poszczególnych pracowników lub grup pracowników?
Tak
Czy przy zdalnym dostępie pod uwagę brane są wymagania bezpieczeństwa obowiązujące w organizacji?
Tak
Czy pracownicy są poinformowani o zagrożeniach w pracy z wykorzystaniem zdalnego dostępu
Tak. Każdy nowo przyjęty pracownik i współpracownik przechodzi obowiązkowe szkolenia w tym zakresie
Czy wymagane jest szyfrowane połączenie "end-to-end" pomiędzy organizacją a użytkownikiem końcowym?
Tak
Urządzenia przenośnie i mobilne
Czy reguły używania urządzeń przenośnych są opisane, udokumentowane i wdrożone?
Tak, w procedurze Korzystanie z zasobów informatycznych przez użytkowników.
Czy użycie prywatnych urządzeń przenośnych jest uregulowane w wewnętrznych instrukcjach?
Tak Użycie prywatnych urządzeń przenośnych jest uregulowane, opisane, udokumentowane i wdrożone w wewnętrznych instrukcjach PBI - 04 Korzystanie z zasobów informatycznych przez użytkowników.
W organizacji występuje całkowity zakaz korzystania z prywatnych urządzeń przenośnych
Czy urządzenia przenośne są chronione oprogramowaniem wykrywającym wirusy / malware. Oprogramowanie to i jego aktualizacje są centralnie zarządzane?
Tak, zgodnie z wdrożonymi procedurami w zakresie urządzeń mobilnych wykorzystywanych przez pracowników. Urządzenia mobilne mają skonfigurowaną kontrolę dostępu, urządzenia mobilne są chronione oprogramowaniem anty malware i anty wirusowym oprogramowanie to i jego aktualizacje są centralnie zarządzane.
Czy wszystkie urządzenia przenośne używane w organizacji są zarejestrowane w centralnym rejestrze?
Tak, prowadzony jest rejestr sprzętu.
Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym i nie są przesyłane poza nim.
Czy wobec urządzeń mobilnych stosuje się techniki kryptograficzne?
Tak, mamy udokumentowaną i wdrożoną Procedurę Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi związaną także z bezpieczeństwem użytkowania urządzeń mobilnych.
Czy tylko autoryzowane przez administratorów nośniki przenośne są zezwolone do użytku w organizacji?
Zgodnie z naszą Procedurą Korzystania z Zasobów Informatycznych przez użytkowników jest całkowity zakaz korzystania zewnętrznych nośników informacji. Z dysków zewnętrznych mogą korzystać jedynie wybrani pracownicy działu IT oraz Administratorzy systemu, po uprzedniej zgodzie IOD oraz Pełnomocnika ds. ZSZ. Podlegają one szczegółowym wytycznym, liczba jest ściśle określona, są ewidencjonowane, szyfrowane i podlegają corocznym przeglądom. Nie można na nich przechowywać żadnych danych osobowych.
Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym i nie są przesyłane poza nim.
Czy reguły niszczenia przenośnych nośników danych, a także danych przechowywanych na tych nośnikach, są uregulowane w wewnętrznych instrukcjach?
Tak. Wszystko odbywa się zgodnie z udokumentowaną i wdrożoną Procedurą Retencji Danych VERCOM oraz Instrukcją Zarządzania Systemem Informatycznym, w sposób dostosowany do kategorii danych
Niszczenie dokumentów
Czy w organizacji w odpowiedni sposób zarządza się wydrukami oraz istnieje procedura zarządzania nimi?
Tak. Postępowanie z wydrukami opisane we wdrożonej i udokumentowanej procedurze DO - 02 Instrukcja Zarządzania Systemem Informatycznym. Dokumenty niepotrzebne są niszczone w sposób uniemożliwiający ich odczytanie, np. przy użyciu niszczarek z odpowiednim stopniem bezpieczeństwa - rekomendowane są do niszczenia dokumentów zawierających dane osobowe takie jak np. imię, nazwisko, adres mailowy itp. oraz specjalnej firmy zewnętrznej specjalizującej się w niszczeniu dokumentów.
Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym. Vercom nie przetwarza danych Klienta w formie papierowej.
Czy pracownicy zostali zobowiązani do niezwłocznego odbierania z drukarek wydruków zawierających dane osobowe lub inne poufne informacje?
Tak. Zgodnie z wdrożoną i udokumentowaną procedurą DO - 02 Instrukcja Zarządzania Systemem Informatycznym
Vercom nie przetwarza danych Klienta w formie papierowej.
Bezpieczeństwo serwerów
Czy centrum przetwarzania danych posiada odpowiednie zabezpieczenia?
Obiekt spełnia wymogi międzynarodowego standardu Tier III. W centrum przetwarzania danych zainstalowany jest m.in. system klimatyzacji, system podtrzymania zasilania (UPS), system gaszenia, wykorzystywane są systemy redundantnego zasilania (np. w serwerach), systemy klimatyzacji i UPS są regularnie testowane.
Więcej informacji na temat bezpieczeństwa wykorzystywanej serwerowni głównej dostępne bezpośrednio na stronie https://www.beyond.pl/centra-danych/beyond-pl-data-center-1/
Bezpieczeństwo sieci
Czy sieć wewnętrzna oddzielona jest od sieci Internet urządzeniami Firewall/IPS/IDS?
Tak.
PBI - 04 Korzystanie z zasobów informatycznych przez użytkowników 1.2; PBI - 05 Korzystanie z zasobów - administratorzy 1.2
Czy zapewniamy środki filtrowania/blokowania/ przychodzącego i wychodzącego ruchu sieciowego, chroniące dane i zasoby przed celowym lub przypadkowym naruszeniem poufności, integralności lub dostępności informacji?
Tak
Jakie zabezpieczenia są zaimplementowane na styku z siecią publiczną?
Sieć bezprzewodowa jest odseparowana od sieci wewnętrznej LAN za pomocą reguł Firewall, Dostęp do sieci lokalnej oraz sieci zdalnych (np. Internetu) nadawany jest na podstawie zlecenia przełożonego danego pracownika w formie zgłoszenia poprzez utworzenie zgłoszenia mailowego do Administratora systemu z prośbą o nadanie uprawnień do systemów i dostępu do zasobów IT (login, hasło, email), lub bezpośrednio przez Kierownika działu. Zezwalanie na dostęp do stron internetowych i blokowanie go. Organizacja określa, które adresy URL są zablokowane, jak również określa, które z nich są dozwolone.
Logi
W jaki sposób analizowane są logi?
Automatycznie. Logi sieciowe analizowane są automatycznie oraz ręcznie gdy wystąpi potrzeba analizy zdarzenia.
Bezpieczeństwo danych w spoczynku i w ruchu
Czy posiadamy procedurę regulującą szyfrowanie danych w spoczynku i ruchu?
Zgodnie z wdrożoną polityka PBI - 04 Zał. 02 Procedura Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi. Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych.
Czy dostęp do danych oraz czynności skutkujące zmianami w środowiskach produkcyjnych są rejestrowane/logowane (rejestrowane w logach)?
Tak
Zarządzanie zmianą i rozwojem oprogramowania
Czy mamy wdrożone procedury i procesy dotyczące infrastruktury i oprogramowania w zakresie nabywania, testowania, zabezpieczenia, utrzymywania, wycofania i innych, oparte o najlepsze aktualne praktyki z obszaru bezpieczeństwa informacji oraz wymagania regulatorów?
Tak
Czy cykl rozwoju oprogramowania i zarządzania odbywa się zgodnie z udokumentowaną procedurą zaakceptowaną przez kierownictwo i narzucającą z góry ścieżkę promowania systemów i aplikacji (przez kolejne środowiska i fazy podczas ich rozwoju)?
Tak
Czy istnieje segregacja/separacja środowiska produkcyjnego od środowisk rozwojowych, testowych czy akceptacyjnych?
Tak
Czy do testowania bezpieczeństwa oprogramowania wykorzystuje się rozwiązania takie jak: automatyczny (statyczny) przegląd/analiza kodu, dynamiczna analiza kodu, skanowanie podatności, testy penetracyjne, wzajemny przegląd kodu.
Tak
Czy zapewniona jest kontrola kodu źródłowego, który jest rozwijany przez Dostawcę lub dla Dostawcy?
Tak.
Kod rozwijany jest wewnętrznie.
Czy kod źródłowy i powiązane z nim elementy przechowuje się w centralnej bibliotece źródłowej objętej kontrolą?
Tak
Czy kod źródłowy i powiązane z nim elementy nie znajduje się w środowisku produkcyjnym?
Tak.
Kod źródłowy przechowywany jest w niezależnym środowisku.
Czy regularnie wykonujemy testy penetracyjne? Z jaką częstotliwością?
Tak. Vercom wykonuje testy penetracyjne zgodnie z dokumentem "Proces zarządzania podatnościami Vercom" - przeprowadzamy cykliczne testy penetracyjne wewnętrzne oraz zewnętrzne posiadanych przez nas aplikacji zgodnie z ustalonym harmonogramem. Plan testów ustala CISO w porozumieniu z dyrektorami projektów oraz CTO.
Bezpieczeństwo fizyczne
Czy w budynku są wdrożone środki bezpieczeństwa fizycznego (np. system kamer, bezpieczne zamki, identyfikatory, kontrola dostępu)?
Dostęp do budynku tylko i wyłącznie dla autoryzowanego personelu, blokady wszystkich wejść na karty imienne, monitoring, bramki.
Zgodnie z zakładką Środki Bezpieczeństwa.
Czy w oparciu o analizę ryzyka wdrożono adekwatne środki organizacyjne i techniczne, które zapewniają odpowiedni poziom bezpieczeństwa dla poufności, integralności, dostępności i odporności systemów oraz usług?
Tak
Czy po godzinach pracy dostęp do pomieszczeń pozostających w dyspozycji Podmiotu Przetwarzającego nie jest możliwy dla osób trzecich, a dla firmy sprzątającej i ochrony jest szczegółowo nadzorowany?
Tylko dostęp osób upoważnionych, blokady wszystkich wejść na kartę imienne. W budynkach biurowych w których pracujemy, nie są przechowywane powierzone nam do przetwarzania dane osobowe. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu - certyfikacja SOC 2. W Budynku biurowym po godzinach pracy pracowników mogą przebywać osoby sprzątające lub w sytuacjach nadzwyczajnych wstęp ma także ochrona biurowca. Mamy to przewidziane w naszych procedurach związanych z wdrożonym ISO 27001. z każdą osobą mamy podpisane umowy NDA w tym z osobami z firmy sprzątającej, które sprzątają po godzinach pracy. Ale miejsca, gdzie są przechowywane dane NIE są dostępne dla osób trzecich po godzinach pracy.
Chmura obliczeniowa
Czy dane osobowe powierzone do przetwarzania będą przetwarzane w chmurze obliczeniowej?
Tak, Nasza usługa stanowi specyficzną formę chmury obliczeniowej publicznej, będącą w całości stworzoną i zarządzaną przez Vercom S.A - nie korzystamy z dostawcy usługi chmurowej lecz sami jesteśmy tym dostawcą. W rozumieniu, że chmurą obliczeniową jest nie tylko powszechnie rozumiane jako chmura „zasoby”, „przestrzeń wirtualna”, ale także usługi, infrastruktura oraz platformy do rozwoju aplikacji. Należy je określić jako rozwiązanie hybrydowe tj. połączenie usługi, platformy oraz infrastruktury. Powszechne zrobiło się także określenie CPaaS (Communications Platform as a Service) oznaczające rozwiązanie dedykowane dla komunikacji przedsiębiorców z ich klientami za pomocą dedykowanej platformy porządkującej ten proces komunikacji.
Czy Przeprowadzane są zewnętrzne audyty świadczonych usług chmurowych?
Tak, audyt bezpieczeństwa oparty o OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) oraz metodologię OWASP ASVS. Również audyt przeprowadzany w związku z certyfikacją ISO 27001 oraz ISO 27018.
Środki ochrony danych
Proszę wskazać Środki organizacyjne ochrony Danych Osobowych.
Zgodnie z zakładką Środki Bezpieczeństwa.
Last updated