Polityka bezpieczeństwa i RODO

1. Cel dokumentu

Celem dokumentu jest opisanie podstawowych środków bezpieczeństwa i zasad przetwarzania danych stosowanych w Akcepta dla strony internetowej, aplikacji oraz usług powiązanych.

Dokument wspiera ocenę platformy przez klientów, zespoły bezpieczeństwa, administratorów danych i osoby odpowiedzialne za zgodność.

2. Role w przetwarzaniu danych

NGITech Sp. z o.o. jest administratorem danych w zakresie prowadzenia strony, kontaktu, sprzedaży, rozliczeń i bezpieczeństwa własnej usługi.

W odniesieniu do danych pracowników, współpracowników i odbiorców kampanii wprowadzonych przez klienta do aplikacji, NGITech Sp. z o.o. działa co do zasady jako podmiot przetwarzający, a klient jako administrator danych.

3. Zakres danych w aplikacji

Platforma może przetwarzać dane identyfikacyjne użytkowników, adresy e-mail, role, działy, dane organizacji, treści dokumentów, załączniki, wersje, zatwierdzenia, listy odbiorców, statusy wysyłki, statusy potwierdzeń, daty działań i logi techniczne.

Klient powinien wprowadzać do platformy wyłącznie dane potrzebne do wdrożenia dokumentów i potwierdzeń w organizacji.

4. Środki techniczne i organizacyjne

Operator stosuje środki adekwatne do charakteru usługi, ryzyk i skali przetwarzania.

• szyfrowanie transmisji HTTPS/TLS;
• kontrola dostępu według kont, ról i organizacji;
• uwierzytelnianie użytkowników i ochrona sesji;
• ograniczanie dostępu administracyjnego do osób upoważnionych;
• logowanie istotnych zdarzeń i działań administracyjnych;
• kopie zapasowe oraz procedury odtworzeniowe zależne od środowiska;
• separacja danych organizacji na poziomie uprawnień aplikacji;
• minimalizacja dostępu do danych produkcyjnych;
• aktualizacje zależności i usuwanie podatności w rozsądnym terminie;
• procedury obsługi incydentów bezpieczeństwa.

5. Powierzenie przetwarzania danych

Dla klientów korzystających z platformy jako administratorzy danych, zasady powierzenia przetwarzania mogą być określone w regulaminie usługi, umowie powierzenia albo indywidualnej umowie.

Powierzenie powinno obejmować przedmiot i czas przetwarzania, charakter i cel przetwarzania, kategorie danych, kategorie osób, obowiązki stron, zasady podpowierzenia, wsparcie przy realizacji praw osób oraz zasady zwrotu lub usunięcia danych.

6. Podwykonawcy i infrastruktura

Operator może korzystać z podwykonawców technicznych w zakresie hostingu, poczty elektronicznej, obsługi płatności, przechowywania plików, monitoringu, analityki, wsparcia i bezpieczeństwa.

Jeżeli klient wymaga ograniczenia podwykonawców, konkretnego regionu przetwarzania, własnego SMTP, private cloud albo instalacji na serwerach klienta, wymaga to konfiguracji w planie Organizacja lub Enterprise albo odrębnej umowy.

7. Własny SMTP i instalacja prywatna

W planie Organizacja możliwe jest opcjonalne użycie własnego serwera SMTP klienta do wysyłki powiadomień, jeżeli konfiguracja techniczna i bezpieczeństwa zostanie poprawnie ustawiona.

W modelu Enterprise możliwe są wdrożenia indywidualne, w tym private cloud, instalacja na infrastrukturze klienta, profilowanie platformy, importy i integracje. Zakres bezpieczeństwa takiego wdrożenia ustala się w umowie lub dokumencie technicznym.

8. Incydenty

W przypadku stwierdzenia incydentu bezpieczeństwa operator analizuje jego zakres, możliwe skutki, kategorie danych i obowiązki informacyjne.

Jeżeli incydent dotyczy danych przetwarzanych w imieniu klienta, operator przekazuje klientowi informacje potrzebne do oceny obowiązków administratora danych, w tym ewentualnego zgłoszenia do organu nadzorczego lub zawiadomienia osób.

9. Eksport i usunięcie danych

Klient powinien mieć możliwość uzyskania danych potrzebnych do zachowania dowodów wdrożenia, w szczególności dokumentów, wersji, zatwierdzeń, checklist i potwierdzeń.

Po zakończeniu korzystania z usługi dane mogą zostać usunięte lub zwrócone zgodnie z umową, regulaminem, wymaganiami prawnymi oraz zasadami retencji i kopii zapasowych.

10. Ograniczenia

Akcepta wspiera organizację procesu wdrażania polityk i tworzenia dowodów, ale nie gwarantuje sama w sobie zgodności klienta z wszystkimi obowiązkami prawnymi, branżowymi lub regulacyjnymi.

Klient powinien ocenić dokumenty i procesy z uwzględnieniem swojej branży, skali działalności, roli administratora danych, wymagań kadrowych, bezpieczeństwa informacji i prawa lokalnego.