Karta samooceny
Ocena VERCOM S.A. jako podmiotu przetwarzającego dane osobowe. Dokument powstał w oparciu o najczęściej zadawane pytania Klientów Vercom S.A. dotyczące bezpieczeństwa informatycznego i przetwarzania powierzonych danych osobowych.
VAT ID
7811765125
REGON
300061423
KRS
535618
LEI
259400P9VT804CUH6G16
EUID
PLKRS.0000535618
Zakres świadczonych usług
Vercom tworzy globalne platformy komunikacyjne w chmurze (CPaaS), które umożliwiają firmom budowanie i rozwijanie trwałych relacji z odbiorcami za pośrednictwem wielu kanałów komunikacji takich jak m.in.: SMS, EMAIL, PUSH, OTT. Nasze rozwiązania pomagają naszym klientom i partnerom przezwyciężyć złożoność komunikacji, automatyzować oraz zwiększać jej skalę, zachowując przy tym wysoką dostarczalność i efektywność. Wszystko to w szybki, bezpieczny i niezawodny sposób.
W ramach świadczonych usług Vercom S.A. działa jako podmiot przetwarzający dane osobowe. Vercom nie decyduje o celach przetwarzania danych osobowych. Vercom w niezbędnym zakresie wspiera Administratorów w wywiązywaniu się obowiązków wynikających z regulacji prawnych.
NAJCZĘŚCIEJ ZADAWANE PYTANIA
Inspektor Ochrony Danych
Czy Procesor wyznaczył Inspektora Ochrony Danych Osobowych
Tak, VERCOM S.A. wyznaczył inspektora Ochrony Danych Osobowych
Prosimy podać Dane kontaktowe Inspektora Ochrony Danych Osobowych
Marika Rybarczyk [email protected]
Czy działania Inspektora Ochrony Danych (osoby odpowiedzialnej za obszar ochrony danych osobowych) są dokumentowane?
Tak, działania IOD są dokumentowane
Administrator Danych Osobowych (ADO)
Czy wdrożono zasady realizacji praw podmiotów danych (do informacji, dostępu do danych oraz ich kopii, do sprostowania lub uzupełnienia danych, do usunięcia danych, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do nie podlegania automatycznemu profilowaniu)?
Tak, w zakresie w jakim obowiązki te spoczywają na Vercom S.A. jako Administratorze danych osobowych.
Czy podmiot przetwarzający prowadzi rejestr żądań osób których dotyczą dane?
Jako podmiot przetwarzający nie prowadzimy rejestru żądań osób, których dane dotyczą, gdyż są to kwestie spoczywające po stronie ADO.
Czy są wyznaczone osoby odpowiedzialne za utrzymanie kontaktu z Administratorem powierzającym przetwarzanie?
Tak
Powierzenie i dalsze powierzenie przetwarzania danych osobowych
Z ilu podzleceniobiorców i w jakim zakresie korzysta podmiot przetwarzający?
W zależności od świadczonej usługi lista procesorów może się różnić. Szczegóły reguluje zawarta umowa powierzenia przetwarzania danych osobowych.
Jaki jest przedmiot, charakter i cel przetwarzania danych osobowych?
Przetwarzanie następuje w celu świadczenia Usługi na rzecz Klienta w oparciu o Umowę Główną oraz w celu wypełnienia zobowiązań Vercom wynikających z niniejszej Umowy powierzenia odnoszących się, w szczególności, do zabezpieczenia danych, w tym zapewnienia ich integralności i dostępności.
Jaki jest czas trwania przetwarzania?
Okres przetwarzania danych będzie taki sam jak okres świadczenia Usług na podstawie Umowy Głównej, z zastrzeżeniem, że umowa powierzenia obowiązuje do momentu usunięcia danych zgodnie z jej postanowieniami.
Jakie kategorie osób fizycznych obejmuje umowa?
Przetwarzane dane osobowe dotyczą następujących kategorii osób fizycznych: Użytkownicy końcowi – osoby fizyczne będące odbiorcami komunikacji elektronicznej wysyłanej przez Klienta na podstawie Umowy Głównej.
Jakie rodzaje szczególnych kategorii danych osobowych są objęte umową?
Przetwarzane szczególne kategorie danych osobowych obejmują następujące kategorie: Nie Dotyczy
Czy wszyscy wykorzystywani w trakcie świadczenia usług podwykonawcy, zostali sprawdzeni pod kątem zapewnienia odpowiedniego poziomu ochrony danych osobowych?
Tak, podwykonawcy podlegają corocznej ocenie.
Czy prowadzona jest ewidencja dostawców, którym powierzacie lub wtórnie powierzacie Państwo przetwarzanie danych osobowych?
Tak, prowadzona jest szczegółowa lista dalszych podmiotów przetwarzających Vercom S.A., ostatnia aktualizacja 12_08_2025 oraz Rejestr Czynności Przetwarzania w VERCOM S.A.
Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?
Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności.
Gdzie są przechowywane dane powierzone do przetwarzania?
Wszystkie operacje wykonywane na danych osobowych odbywają się w systemie informatycznym. Dane powierzone do przetwarzania nie są przechowywane na komputerach pracowników. Vercom nie przetwarza, w ramach świadczonych usług, danych osobowych w wersji papierowej. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu.
W jaki sposób podmiot zapewnia oddzielenie powierzonych mu danych przez Administratora od danych innych podmiotów w tym danych własnych?
W systemach Vercom udostępnianych w ramach świadczonych usług zastosowana jest separacja logiczna danych.
Implementacja Systemu Zarządzania Bezpieczeństwa Informacji
Czy została wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące przetwarzania i ochrony danych osobowych?
Tak
Czy została wdrożona instrukcja zarządzania systemami IT służącymi do przetwarzania danych osobowych lub inne regulacje wewnętrzne dot. zasad zarządzania infrastrukturą IT?
Tak
Czy Wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są zaakceptowana przez kadrę zarządzającą?
Tak
Czy zapewniamy zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania?
Tak
Czy Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są opublikowane i dostępne dla Personelu (pracownicy/zleceniobiorcy)?
Tak
Szacowanie Ryzyka
Czy szacowanie ryzyka jest wykonywane okresowo? Proszę podać datę ostatniego szacowania ryzyka.
Tak, 08.08.2025
Ciągłość działania
Czy są stosowane mechanizmy monitorowania i wykrywania działań mogących mieć wpływ na bezpieczeństwo informacji oraz ciągłość działania?
Tak, wdrożony jest szereg rozwiązań monitorujących darzenia w systemie i alertujących o wykrytych nieprawidłowościach. Dodatkowo firma posiada wewnętrzny zespół ds. cyberbezpieczeństwa prowadzący regularne testy wdrożonych rozwiązań.
Czy stosowane jest regularne testowanie i ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych mających zapewnić odpowiedni poziom bezpieczeństwa przetwarzania?
Tak, w ramach corocznych testów BCP
Zarządzanie incydentami bezpieczeństwa i naruszeniem ochrony danych osobowych
Czy dostawca ustalił procedury dotyczące postępowania na wypadek naruszenia ochrony danych osobowych (incydentu bezpieczeństwa)?
Tak, istnieje i został wdrożony formalny proces obsługi wszelkich naruszeń ochrony danych osobowych i incydentów bezpieczeństwa, wszystkie naruszenia ochrony danych osobowych i incydenty bezpieczeństwa są raportowane do kadry zarządzającej, są rejestrowane oraz obsługiwane przez wyznaczone osoby.
Czy prowadzona jest ewidencja naruszeń?
Tak, prowadzimy Rejestr Incydentów bezpieczeństwa i ochrony danych osobowych
Czy kiedykolwiek stwierdzono prawomocną decyzją organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez dostawcę?
Nie
Klasyfikacja Informacji
Czy regulacje w odniesieniu do przetwarzanych informacji obejmują: bezpieczne przetwarzanie, przechowywanie, transmisję, transport, niszczenie oraz zmianę klasyfikacji informacji?
Tak
Czy pracownicy są poinformowani o sposobach klasyfikacji i sposobach przetwarzania informacji obowiązujących w organizacji?
Tak
Pracownicy
Czy pracownicy/współpracownicy zostali zobowiązani do zachowania danych osobowych w poufności?
Tak. Każdy pracownik i współpracownik po zatrudnieniu podpisuje oświadczenie o zachowaniu poufności.
Czy wydawane są upoważnienia dla pracowników zaangażowanych w proces przetwarzania danych osobowych?
Tak. Dostęp do danych mają jedynie pracownicy odpowiednio upoważnieni. Dostępu udziela się na zasadzie ograniczonego dostępu (zasada "need to know") - w zakresie niezbędnym do wykonywania pracy na danym, zajmowanym stanowisku.
Czy pracownicy otrzymują identyfikatory oraz czy są zobowiązani do ich noszenia?
Każdy pracownik posiada kartę kontroli dostępu i jest zobowiązany do posiadania jej przy sobie. Każdy identyfikator jest przypisany do konkretnego użytkownika i służy do uzyskania dostępu do pomieszczeń biurowych. Każdorazowe użycie identyfikatora jest logowane w systemie.
Czy organizowane jest szkolenia dla nowo zatrudnionych przed podjęciem czynności przetwarzania danych osobowych?
Tak, pełnomocnik ds. ISO przeprowadza z nowo zatrudnionym Pracownikiem szkolenie podstawowe z zakresu przetwarzania danych osobowych w spółce oraz z zakresu zasad na stanowisku pracy (Instrukcja Stanowiskowa) i zapoznawany jest z Polityką Bezpieczeństwa Informacji.
Organizacja dba bieżące doskonalenie wiedzy swoich pracowników/współpracowników poprzez cykliczne szkolenia oraz inne działania mające na celu uświadamianie pracowników w zakresie zagadnień dotyczących ochrony danych osobowych
Przynajmniej raz w roku Pełnomocnik ds. ZSZ organizuje obowiązkowe szkolenia dla Pracowników z zakresu przetwarzania danych osobowych w Spółce oraz z zakresu zasad na stanowisku pracy. Pracownicy uczestniczą w szkoleniach zgodnie z procedurami PBI 04 Załącznik 1 Instrukcja zarządzania dostępami i zasobami. Ostatnie szkolenie 29_12_2025
Czy prowadzony jest PRE-Employment screening?
Tak. Wdrożono i stosuje się system procedur weryfikacji zatrudniania Pracowników.
Czy firma zbiera od pracowników oświadczenia o niekaralności?
Tak, pracownicy podpisują stosowne oświadczenia i zobowiązani są do poinformowania pracodawcy w razie jakiejkolwiek zmiany.
Kontrola dostępu i zarządzanie dostępem
Czy istnieje procedura zarządzająca dostępem i tożsamością?
Tak, zgodnie z PBI - 04 Zał. 01 Instrukcja Zarządzania dostępami w Vercom S.A.
Czy zapewniamy rozliczalność osób wykorzystujących zasoby informatyczne i dane poprzez zarządzanie tożsamościami cyfrowymi i rejestrowanie aktywności osób przepisanych do tych tożsamości?
Tak
Czy w ramach procedury są zabezpieczone, blokowane, usuwane domyślne konta takie jak konta generyczne (generic accounts, konta wbudowane), konta niespersonalizowane i konta gościa?
System nie zezwala na tworzenie kont generycznych, niespersonalizowanych, ani kont gościa.
Zdalny dostęp
Czy zdalny dostęp do zasobów organizacji uregulowany jest wewnętrznymi procedurami?
Tak, zgodnie z udokumentowaną i wdrożoną Procedurą Korzystanie z zasobów informatycznych przez użytkowników.
Czy zdalny dostęp jest autoryzowany przez kadrę zarządzającą dla każdego z poszczególnych pracowników lub grup pracowników?
Tak
Czy przy zdalnym dostępie pod uwagę brane są wymagania bezpieczeństwa obowiązujące w organizacji?
Tak
Czy pracownicy są poinformowani o zagrożeniach w pracy z wykorzystaniem zdalnego dostępu
Tak. Każdy nowo przyjęty pracownik i współpracownik przechodzi obowiązkowe szkolenia w tym zakresie
Czy wymagane jest szyfrowane połączenie "end-to-end" pomiędzy organizacją a użytkownikiem końcowym?
Tak
Urządzenia przenośnie i mobilne
Czy reguły używania urządzeń przenośnych są opisane, udokumentowane i wdrożone?
Tak, w procedurze Korzystanie z zasobów informatycznych przez użytkowników.
Czy użycie prywatnych urządzeń przenośnych jest uregulowane w wewnętrznych instrukcjach?
Tak Użycie prywatnych urządzeń przenośnych jest uregulowane, opisane, udokumentowane i wdrożone w wewnętrznych instrukcjach PBI - 04 Korzystanie z zasobów informatycznych przez użytkowników.
Czy urządzenia przenośne są chronione oprogramowaniem wykrywającym wirusy / malware. Oprogramowanie to i jego aktualizacje są centralnie zarządzane?
Tak, zgodnie z wdrożonymi procedurami w zakresie urządzeń mobilnych wykorzystywanych przez pracowników. Urządzenia mobilne mają skonfigurowaną kontrolę dostępu, urządzenia mobilne są chronione oprogramowaniem anty malware i anty wirusowym oprogramowanie to i jego aktualizacje są centralnie zarządzane.
Czy wszystkie urządzenia przenośne używane w organizacji są zarejestrowane w centralnym rejestrze?
Tak, prowadzony jest rejestr sprzętu.
Czy wobec urządzeń mobilnych stosuje się techniki kryptograficzne?
Tak, mamy udokumentowaną i wdrożoną Procedurę Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi związaną także z bezpieczeństwem użytkowania urządzeń mobilnych.
Czy tylko autoryzowane przez administratorów nośniki przenośne są zezwolone do użytku w organizacji?
Zgodnie z naszą Procedurą Korzystania z Zasobów Informatycznych przez użytkowników jest całkowity zakaz korzystania zewnętrznych nośników informacji. Z dysków zewnętrznych mogą korzystać jedynie wybrani pracownicy działu IT oraz Administratorzy systemu, po uprzedniej zgodzie IOD oraz Pełnomocnika ds. ZSZ. Podlegają one szczegółowym wytycznym, liczba jest ściśle określona, są ewidencjonowane, szyfrowane i podlegają corocznym przeglądom. Nie można na nich przechowywać żadnych danych osobowych.
Czy reguły niszczenia przenośnych nośników danych, a także danych przechowywanych na tych nośnikach, są uregulowane w wewnętrznych instrukcjach?
Tak. Wszystko odbywa się zgodnie z udokumentowaną i wdrożoną Procedurą Retencji Danych VERCOM oraz Instrukcją Zarządzania Systemem Informatycznym, w sposób dostosowany do kategorii danych
Niszczenie dokumentów
Czy w organizacji w odpowiedni sposób zarządza się wydrukami oraz istnieje procedura zarządzania nimi?
Tak. Postępowanie z wydrukami opisane we wdrożonej i udokumentowanej procedurze DO - 02 Instrukcja Zarządzania Systemem Informatycznym. Dokumenty niepotrzebne są niszczone w sposób uniemożliwiający ich odczytanie, np. przy użyciu niszczarek z odpowiednim stopniem bezpieczeństwa - rekomendowane są do niszczenia dokumentów zawierających dane osobowe takie jak np. imię, nazwisko, adres mailowy itp. oraz specjalnej firmy zewnętrznej specjalizującej się w niszczeniu dokumentów.
Czy pracownicy zostali zobowiązani do niezwłocznego odbierania z drukarek wydruków zawierających dane osobowe lub inne poufne informacje?
Tak. Zgodnie z wdrożoną i udokumentowaną procedurą DO - 02 Instrukcja Zarządzania Systemem Informatycznym
Bezpieczeństwo serwerów
Czy centrum przetwarzania danych posiada odpowiednie zabezpieczenia?
Obiekt spełnia wymogi międzynarodowego standardu Tier III. W centrum przetwarzania danych zainstalowany jest m.in. system klimatyzacji, system podtrzymania zasilania (UPS), system gaszenia, wykorzystywane są systemy redundantnego zasilania (np. w serwerach), systemy klimatyzacji i UPS są regularnie testowane
Bezpieczeństwo sieci
Czy zapewniamy środki filtrowania/blokowania/ przychodzącego i wychodzącego ruchu sieciowego, chroniące dane i zasoby przed celowym lub przypadkowym naruszeniem poufności, integralności lub dostępności informacji?
Tak
Jakie zabezpieczenia są zaimplementowane na styku z siecią publiczną?
Sieć bezprzewodowa jest odseparowana od sieci wewnętrznej LAN za pomocą reguł Firewall, Dostęp do sieci lokalnej oraz sieci zdalnych (np. Internetu) nadawany jest na podstawie zlecenia przełożonego danego pracownika w formie zgłoszenia poprzez utworzenie zgłoszenia mailowego do Administratora systemu z prośbą o nadanie uprawnień do systemów i dostępu do zasobów IT (login, hasło, email), lub bezpośrednio przez Kierownika działu. Zezwalanie na dostęp do stron internetowych i blokowanie go. Organizacja określa, które adresy URL są zablokowane, jak również określa, które z nich są dozwolone.
Logi
W jaki sposób analizowane są logi?
Automatycznie. Logi sieciowe analizowane są automatycznie oraz ręcznie gdy wystąpi potrzeba analizy zdarzenia.
Bezpieczeństwo danych w spoczynku i w ruchu
Czy posiadamy procedurę regulującą szyfrowanie danych w spoczynku i ruchu?
Zgodnie z wdrożoną polityka PBI - 04 Zał. 02 Procedura Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi. Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych.
Czy dostęp do danych oraz czynności skutkujące zmianami w środowiskach produkcyjnych są rejestrowane/logowane (rejestrowane w logach)?
Tak
Zarządzanie zmianą i rozwojem oprogramowania
Czy mamy wdrożone procedury i procesy dotyczące infrastruktury i oprogramowania w zakresie nabywania, testowania, zabezpieczenia, utrzymywania, wycofania i innych, oparte o najlepsze aktualne praktyki z obszaru bezpieczeństwa informacji oraz wymagania regulatorów?
Tak
Czy cykl rozwoju oprogramowania i zarządzania odbywa się zgodnie z udokumentowaną procedurą zaakceptowaną przez kierownictwo i narzucającą z góry ścieżkę promowania systemów i aplikacji (przez kolejne środowiska i fazy podczas ich rozwoju)?
Tak
Czy istnieje segregacja/separacja środowiska produkcyjnego od środowisk rozwojowych, testowych czy akceptacyjnych?
Tak
Czy do testowania bezpieczeństwa oprogramowania wykorzystuje się rozwiązania takie jak: automatyczny (statyczny) przegląd/analiza kodu, dynamiczna analiza kodu, skanowanie podatności, testy penetracyjne, wzajemny przegląd kodu.
Tak
Czy zapewniona jest kontrola kodu źródłowego, który jest rozwijany przez Dostawcę lub dla Dostawcy?
Tak
Czy kod źródłowy i powiązane z nim elementy przechowuje się w centralnej bibliotece źródłowej objętej kontrolą?
Tak
Czy regularnie wykonujemy testy penetracyjne? Z jaką częstotliwością?
Tak. Vercom wykonuje testy penetracyjne zgodnie z dokumentem "Proces zarządzania podatnościami Vercom" - przeprowadzamy cykliczne testy penetracyjne wewnętrzne oraz zewnętrzne posiadanych przez nas aplikacji zgodnie z ustalonym harmonogramem. Plan testów ustala CISO w porozumieniu z dyrektorami projektów oraz CTO.
Bezpieczeństwo fizyczne
Czy w budynku są wdrożone środki bezpieczeństwa fizycznego (np. system kamer, bezpieczne zamki, identyfikatory, kontrola dostępu)?
Dostęp do budynku tylko i wyłącznie dla autoryzowanego personelu, blokady wszystkich wejść na karty imienne, monitoring, bramki.
Czy w oparciu o analizę ryzyka wdrożono adekwatne środki organizacyjne i techniczne, które zapewniają odpowiedni poziom bezpieczeństwa dla poufności, integralności, dostępności i odporności systemów oraz usług?
Tak
Czy po godzinach pracy dostęp do pomieszczeń pozostających w dyspozycji Podmiotu Przetwarzającego nie jest możliwy dla osób trzecich, a dla firmy sprzątającej i ochrony jest szczegółowo nadzorowany?
Tylko dostęp osób upoważnionych, blokady wszystkich wejść na kartę imienne. W budynkach biurowych w których pracujemy, nie są przechowywane powierzone nam do przetwarzania dane osobowe. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu - certyfikacja SOC 2. W Budynku biurowym po godzinach pracy pracowników mogą przebywać osoby sprzątające lub w sytuacjach nadzwyczajnych wstęp ma także ochrona biurowca. Mamy to przewidziane w naszych procedurach związanych z wdrożonym ISO 27001. z każdą osobą mamy podpisane umowy NDA w tym z osobami z firmy sprzątającej, które sprzątają po godzinach pracy. Ale miejsca, gdzie są przechowywane dane NIE są dostępne dla osób trzecich po godzinach pracy.
Chmura obliczeniowa
Czy dane osobowe powierzone do przetwarzania będą przetwarzane w chmurze obliczeniowej?
Tak, Nasza usługa stanowi specyficzną formę chmury obliczeniowej publicznej, będącą w całości stworzoną i zarządzaną przez Vercom S.A - nie korzystamy z dostawcy usługi chmurowej lecz sami jesteśmy tym dostawcą. W rozumieniu, że chmurą obliczeniową jest nie tylko powszechnie rozumiane jako chmura „zasoby”, „przestrzeń wirtualna”, ale także usługi, infrastruktura oraz platformy do rozwoju aplikacji. Należy je określić jako rozwiązanie hybrydowe tj. połączenie usługi, platformy oraz infrastruktury. Powszechne zrobiło się także określenie CPaaS (Communications Platform as a Service) oznaczające rozwiązanie dedykowane dla komunikacji przedsiębiorców z ich klientami za pomocą dedykowanej platformy porządkującej ten proces komunikacji.
Czy Przeprowadzane są zewnętrzne audyty świadczonych usług chmurowych?
Tak, audyt bezpieczeństwa oparty o OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) oraz metodologię OWASP ASVS. Również audyt przeprowadzany w związku z certyfikacją ISO 27001 oraz ISO 27018.
Środki ochrony danych
Proszę wskazać Środki organizacyjne ochrony Danych Osobowych.
Zgodnie z zakładką Środki Bezpieczeństwa.
Last updated