Carven Modral
Planowanie emerytury
+48 815 254 549 [email protected] Częstochowa, PL

Polityka Bezpieczeństwa

Ostatnia aktualizacja: 21 listopada 2025

Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne stosowane przez Carven Modral w celu ochrony danych, systemów i infrastruktury przed nieautoryzowanym dostępem, utratą, ujawnieniem lub zniszczeniem. Polityka obowiązuje wszystkich użytkowników korzystających z naszych usług dostępnych pod adresem azure-metrics.com.

1. Zobowiązanie do Bezpieczeństwa

Carven Modral traktuje bezpieczeństwo informacji jako priorytet operacyjny. Wdrażamy wielowarstwowe mechanizmy ochrony obejmujące aspekty techniczne, proceduralne i organizacyjne. Nasze podejście do bezpieczeństwa opiera się na zasadach poufności, integralności i dostępności danych.

2. Bezpieczeństwo Transmisji Danych

Wszelka komunikacja pomiędzy użytkownikiem a naszymi serwerami odbywa się z wykorzystaniem szyfrowania TLS (Transport Layer Security) w aktualnie zalecanej wersji. Certyfikaty SSL są regularnie odnawiane i monitorowane. Nie akceptujemy nieszyfrowanych połączeń do systemów przetwarzających dane osobowe lub finansowe.

3. Bezpieczeństwo Przechowywania Danych

3.1. Szyfrowanie danych w spoczynku

Dane przechowywane na naszych serwerach są szyfrowane przy użyciu uznanych algorytmów kryptograficznych. Kopie zapasowe są tworzone regularnie i również podlegają szyfrowaniu. Klucze szyfrujące są przechowywane oddzielnie od zaszyfrowanych danych.

3.2. Integralność danych

Stosujemy mechanizmy weryfikacji integralności danych, które umożliwiają wykrycie nieautoryzowanych modyfikacji. Logi systemowe są chronione przed manipulacją i przechowywane przez określony czas zgodny z wymogami operacyjnymi.

4. Kontrola Dostępu

Dostęp do systemów i danych jest przyznawany na zasadzie minimalnych uprawnień niezbędnych do wykonywania obowiązków. Stosujemy następujące mechanizmy kontroli dostępu:

Mechanizm Opis
Uwierzytelnianie wieloskładnikowe Wymagane dla personelu administracyjnego i dostępu do systemów krytycznych
Zarządzanie tożsamością Centralne zarządzanie kontami użytkowników z regularnym przeglądem uprawnień
Polityka haseł Wymogi dotyczące złożoności, długości i okresu ważności haseł
Segregacja dostępu Rozdzielenie środowisk produkcyjnych, testowych i deweloperskich
Audyt dostępu Rejestrowanie i monitorowanie wszystkich operacji dostępu do danych wrażliwych

5. Bezpieczeństwo Infrastruktury

5.1. Ochrona sieci

Infrastruktura sieciowa jest chroniona przez wielowarstwowe zapory sieciowe, systemy wykrywania i zapobiegania intruzjom (IDS/IPS) oraz regularne skanowanie podatności. Ruch sieciowy jest monitorowany w sposób ciągły pod kątem anomalii i potencjalnych zagrożeń.

5.2. Zarządzanie serwerami

Serwery są regularnie aktualizowane w zakresie poprawek bezpieczeństwa. Zbędne usługi i porty są wyłączone. Przeprowadzamy regularne audyty konfiguracji systemów operacyjnych i aplikacji serwerowych.

5.3. Fizyczne bezpieczeństwo

Serwery i urządzenia sieciowe są zlokalizowane w obiektach o kontrolowanym dostępie fizycznym. Centra przetwarzania danych posiadają systemy monitoringu, kontroli dostępu oraz ochrony przed zagrożeniami środowiskowymi, takimi jak pożar, zalanie czy awaria zasilania.

6. Zarządzanie Podatnościami

Prowadzimy systematyczny program zarządzania podatnościami obejmujący:

Regularne skanowanie: Automatyczne skanowanie infrastruktury i aplikacji w poszukiwaniu znanych podatności odbywa się cyklicznie zgodnie z harmonogramem operacyjnym.

Testy penetracyjne: Zlecamy przeprowadzanie testów penetracyjnych przez niezależne podmioty w celu identyfikacji potencjalnych słabości systemu.

Zarządzanie poprawkami: Krytyczne poprawki bezpieczeństwa są wdrażane niezwłocznie po ich weryfikacji. Pozostałe poprawki są instalowane zgodnie z ustalonym harmonogramem konserwacji.

7. Reagowanie na Incydenty Bezpieczeństwa

Posiadamy udokumentowaną procedurę reagowania na incydenty bezpieczeństwa. W przypadku wykrycia naruszenia bezpieczeństwa podejmujemy następujące działania:

Identyfikacja i izolacja: Niezwłoczne wykrycie, klasyfikacja i izolacja zagrożenia w celu ograniczenia jego zasięgu.

Analiza: Szczegółowe zbadanie przyczyn, zakresu i skutków incydentu.

Usunięcie zagrożenia: Wyeliminowanie przyczyny incydentu i przywrócenie bezpieczeństwa systemów.

Powiadomienie: W przypadku naruszenia danych osobowych użytkownicy oraz właściwe organy zostaną powiadomieni zgodnie z obowiązującymi przepisami i w określonych terminach.

Dokumentacja i wnioski: Sporządzenie raportu poincydentowego i wdrożenie środków zapobiegawczych.

Incydenty bezpieczeństwa można zgłaszać pod adresem e-mail: [email protected]

8. Bezpieczeństwo Aplikacji

Rozwój oprogramowania realizowany jest zgodnie z zasadami bezpiecznego programowania. Stosujemy weryfikację danych wejściowych, ochronę przed typowymi podatnościami aplikacji webowych (m.in. SQL Injection, Cross-Site Scripting, Cross-Site Request Forgery) oraz regularny przegląd kodu pod kątem bezpieczeństwa. Zależności zewnętrzne są monitorowane i aktualizowane w odpowiedzi na ujawnione podatności.

9. Ochrona Przed Złośliwym Oprogramowaniem

Wdrożone są mechanizmy ochrony przed złośliwym oprogramowaniem obejmujące skanowanie plików, filtrowanie poczty elektronicznej oraz ochronę punktów końcowych. Personel jest regularnie szkolony w zakresie rozpoznawania prób phishingu i innych technik inżynierii społecznej.

10. Ciągłość Działania i Odtwarzanie po Awarii

Posiadamy plan ciągłości działania oraz procedury odtwarzania systemów po awarii. Regularne kopie zapasowe danych są tworzone i przechowywane w bezpiecznych, geograficznie rozproszonych lokalizacjach. Procedury przywracania danych są regularnie testowane w celu weryfikacji ich skuteczności i aktualności.

11. Bezpieczeństwo Pracowników i Podwykonawców

Wszyscy pracownicy i podwykonawcy mający dostęp do danych lub systemów są zobowiązani do zapoznania się i przestrzegania niniejszej polityki. Przeprowadzamy szkolenia z zakresu bezpieczeństwa informacji oraz stosujemy umowne zobowiązania do zachowania poufności. Dostęp jest cofany niezwłocznie po zakończeniu współpracy.

12. Usługi i Integracje Zewnętrzne

Przy korzystaniu z zewnętrznych dostawców usług i integracji przeprowadzamy ocenę ich praktyk bezpieczeństwa. Umowy z podwykonawcami zawierają wymagania dotyczące poziomu bezpieczeństwa adekwatnego do przetwarzanych danych. Zakres dostępu zewnętrznych podmiotów jest ograniczony do minimum niezbędnego do realizacji usługi.

13. Przechowywanie i Usuwanie Danych

Dane są przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane, lub przez okres wymagany przepisami prawa. Po upływie okresu przechowywania dane są trwale usuwane przy użyciu metod uniemożliwiających ich odtworzenie. Nośniki danych przeznaczone do utylizacji są fizycznie niszczone lub bezpiecznie czyszczone.

14. Audyty i Przeglądy Bezpieczeństwa

Polityka bezpieczeństwa oraz wdrożone mechanizmy ochrony podlegają regularnym przeglądom i audytom wewnętrznym. Wyniki audytów są dokumentowane, a zidentyfikowane niedoskonałości są adresowane w ramach planów naprawczych z określonymi terminami realizacji.

15. Zmiany w Polityce Bezpieczeństwa

Niniejsza polityka może być aktualizowana w odpowiedzi na zmiany technologiczne, organizacyjne lub regulacyjne. O istotnych zmianach użytkownicy będą informowani za pośrednictwem serwisu lub drogą elektroniczną. Data ostatniej aktualizacji jest zawsze wskazana na początku dokumentu.

16. Kontakt

W przypadku pytań dotyczących niniejszej Polityki Bezpieczeństwa lub zgłoszenia podejrzenia naruszenia prosimy o kontakt:

Carven Modral
Aleja Najświętszej Maryi Panny 12c, 42-202 Częstochowa, Poland
E-mail: [email protected]
Telefon: +48 81 525 45 49