Sklep dla klientów biznesowych Only B2B

POLITYKA BEZPIECZEŃSTWA INFORMACJI

I. CEL DOKUMENTU

  1. Celem Polityki Bezpieczeństwa Informacji (PBI) jest określenie zasad zapewnienia poufności, integralności i dostępności danych przetwarzanych w Cemit Sp. z o.o.
  2. Dokument dotyczy wszystkich danych, w szczególności danych osobowych przetwarzanych w sklepie i serwisach internetowych Administratora.

II. ZAKRES

Polityka obejmuje:

  • dane osobowe klientów, użytkowników, kontrahentów, pracowników,
  • dane techniczne systemów informatycznych,
  • dane związane z realizacją usług IT, hostingowych, serwisowych i sprzedażowych.

III. PODSTAWA PRAWNA

  • RODO – Rozporządzenie 2016/679
  • Ustawa o ochronie danych osobowych
  • Ustawa o świadczeniu usług drogą elektroniczną
  • Dobre praktyki ISO/IEC 27001, 27002

IV. DEFINICJE

  • Administrator – Cemit Sp. z o.o.
  • Dane osobowe – wszystkie dane identyfikujące osobę fizyczną
  • System informatyczny – narzędzia, sprzęt, oprogramowanie wykorzystywane do przetwarzania danych
  • Incydent – naruszenie bezpieczeństwa danych

V. ZASADY BEZPIECZEŃSTWA INFORMACJI

1. Poufność

Dane dostępne tylko dla osób upoważnionych.
Stosowane środki:

  • hasła silne,
  • szyfrowanie komunikacji (HTTPS, TLS),
  • zabezpieczenia serwerów i paneli administracyjnych.

2. Integralność

Dane muszą być kompletne i zgodne ze stanem rzeczywistym.
Stosowane środki:

  • kontrola wersji dokumentów,
  • kopie zapasowe,
  • ograniczenia edycji.

3. Dostępność

Dane muszą być dostępne, gdy są potrzebne.
Stosowane środki:

  • backupy,
  • redundantne rozwiązania serwerowe (hosting),
  • monitorowanie usług.

VI. OBOWIĄZKI OSÓB PRZETWARZAJĄCYCH DANE

  1. Zapoznanie się z Polityką i stosowanie jej zasad.
  2. Zachowanie poufności (również po ustaniu współpracy).
  3. Korzystanie wyłącznie z systemów i zasobów udostępnionych przez Administratora.
  4. Zgłaszanie incydentów naruszenia danych.

VII. ŚRODKI TECHNICZNE I ORGANIZACYJNE

Administrator stosuje m.in.:

  • szyfrowanie transmisji danych (SSL/TLS),
  • zabezpieczony hosting i backupy,
  • systemy antywirusowe i anty-malware,
  • konta użytkowników z ograniczonymi uprawnieniami,
  • dwuskładnikowe uwierzytelnianie (2FA) tam, gdzie możliwe,
  • aktualizacje oprogramowania i zabezpieczeń,
  • fizyczne zabezpieczenie sprzętu.

VIII. KOPIE ZAPASOWE

  1. Kopie zapasowe wykonywane są w regularnych cyklach.
  2. Backupy przechowywane są w sposób bezpieczny i oddzielony od środowiska produkcyjnego.
  3. Dostęp do backupów mają wyłącznie osoby upoważnione.

IX. ZARZĄDZANIE INCYDENTAMI

W przypadku naruszenia ochrony danych:

  1. Osoba, która wykryła incydent, zgłasza to Administratorowi.
  2. Administrator dokonuje oceny incydentu.
  3. Jeśli incydent wiąże się z ryzykiem dla osób fizycznych, powiadamiany jest UODO (w ciągu 72h).
  4. W razie potrzeby informowane są osoby, których dane dotyczą.

X. KONTROLA I AKTUALIZACJA

  1. Polityka jest okresowo weryfikowana i aktualizowana.

Każda zmiana w procesach przetwarzania danych może wymagać aktualizacji dokumentu.

Udostępnij