Systemy ERP
Skuteczne zarządzanie przedsiębiorstwem
Dopasuj ofertę do swoich potrzeb
Na czasie
Paperless
Cyfrowa rewolucja Twojej firmy
Genius
AI w zarządzaniu biznesem
Anywhere
Firma w każdym miejscu świata
Krajowy System e-Faktur
Zyskaj na cyfryzacji firmy z KSeF
ERP i WMS dla e-Commerce
Sprawna obsługa zamówień online
ERP dla Amazon Vendor
Dla dystrybutorów i producentów
UX i UI w systemach ERP
Przyjazne systemy ERP
Rozwiązania dla obszarów
Finanse i księgowość
Niezawodne systemy księgowe
Produkcja
Systemy ERP dla produkcji
Analizy BI
Analizy i wnioski biznesowe
Logistyka i sprzedaż
Obsługa sprzedaży i transportu
Środki trwałe
Systemy ERP na straży majątku firmy
WMS
Zarządzanie magazynem
HR
Systemy HR dla Twojej firmy
Controlling
Kontroluj budżet i planuj przyszłość
Rozwiązania dla Branż
FMCG, Spożywcza
Zarządzanie produktami spożywczymi
Sprzedaż detaliczna
Pełna obsługa sprzedaży detalicznej
Sprzedaż hurtowa
Handel z klientami biznesowymi
Biura rachunkowe
Projekty i kontrola kosztów
Budowlana
Projekty i kontrola kosztów
Automotive
Obsługa części samochodowych
Meblowa
Produkcja i dystrybucja mebli
Elektrotechniczna
Produkcja i dystrybucja
Metalowa
Produkcja i obróbka metalu
HR w logistyce
Zarządzanie ludźmi w logistyce
Gminy i powiaty
System ERP dla JST
Wsparcie sprzedaży
Realizacja celów i współpraca z partnerami handlowymi
Platforma e-Commerce
Obsługa sprzedaży internetowej
Sprawdź ERP i WMS dla e-Commerce
Case study
softlab erp
Magazyn al dente
Efektywne zarządzanie magazynem w branży spożywczej
Case study
E-book
asseco erp
Jak wybrać system ERP odpowiedni dla Twojej firmy?
Dowiedz się, na co zwrócić uwagę, podczas wyboru systemu ERP i jak zapewnić swojej firmie skuteczne wsparcie w zarządzaniu i rozwoju.
Pobierz e-booka

Polityka Ochrony Danych Osobowych

Wyciąg dla klientów Asseco Business Solutions S.A. 

Opis wdrożonych środków organizacyjnych i technicznych stosowanych przez ABS SA dla zapewnienia ochrony przetwarzanym danym osobowym

W Asseco Business Solution S.A. wdrażany jest System Zarządzania Bezpieczeństwem Informacji (SZBI) oparty na wymaganiach normy ISO/IEC 27001. SZBI jest strategią działania w zakresie zapewnienia właściwej ochrony przetwarzanych w spółce informacji. Strategia ta ma zapewnić ciągłe doskonalenie podjętych działań w celu optymalizacji ryzyk związanych z naruszeniem bezpieczeństwa informacji, w szczególności ochrony danych osobowych, w tym naruszenia praw lub wolności osób fizycznych.

Bezpieczeństwo przetwarzanych przez Asseco BS informacji zapewniają zabezpieczenia organizacyjne i techniczne, które zostały pogrupowane następująco:

  1. Polityka Bezpieczeństwa Informacji
    W Spółce obowiązuje Polityka Bezpieczeństwa Informacji. W dokumencie tym Zarząd określił cele bezpieczeństwa informacji, wyraził wsparcie i zaangażowanie dla ochrony informacji przetwarzanych w Spółce oraz deklaruje wypełnienie zobowiązań prawnych i biznesowych w zakresie bezpieczeństwa informacji.
  2. Polityka Ochrony Danych Osobowych
    Jedną z obowiązujących w Spółce regulacji jest Polityka Ochrony Danych Osobowych, w której zostały określone zasady przetwarzania danych osobowych zapewniające zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizację, ograniczenie przechowywania, integralność i poufność danych osobowych.
  3. Organizacja bezpieczeństwa informacji
    Asseco BS powołało wewnętrzną strukturę organizacyjną odpowiedzialną za nadzór nad skutecznym wdrożeniem i stosowaniem Polityki Bezpieczeństwa Informacji oraz Polityki Ochrony danych Osobowych oraz ciągłe doskonalenie procesów bezpieczeństwa. Zarząd powołał role Inspektora Ochrony Danych, Koordynatora ds. RODO, Koordynatora ds. SZBI oraz Dyrektora ds. bezpieczeństwa i ciągłości działania odpowiedzialne za wdrażanie oraz doskonalenie zasad bezpieczeństwa, w tym ochrony danych osobowych, zgodnie z wyznaczonymi przez Zarząd celami.
  4. Bezpieczeństwo zasobów ludzkich
    Pracownicy, w tym współpracownicy Spółki przechodzą szkolenia z zasad bezpieczeństwa informacji i ochrony danych osobowych. Podpisują oświadczenia do zachowania w poufności wszelkich informacji stanowiących tajemnicę przedsiębiorstwa (w tym danych klientów).
  5. Zarządzanie aktywami
    Asseco BS identyfikuje kluczowe aktywa informacyjne. Spółka opracowała i wdrożyła wewnętrzne zasady bezpieczeństwa wymagające stosowania zabezpieczeń adekwatnych do stopnia krytyczności i wrażliwości aktywów informacyjnych.
  6. Kontrola dostępu
    W spółce zdefiniowano i stosowane są zasady kontroli dostępu do informacji. Osobom upoważnionym do przetwarzania danych osobowych przydzielanie są minimalne prawa dostępu do danych w zależności od wymagań ich stanowiska pracy oraz realizowanych zadań.
  7. Dostęp do systemów informatycznych, elementów infrastruktury i sieci.
    Spółka zapewnia, iż dla każdej osoby uprawnionej do dostępu do systemu informatycznego, elementu infrastruktury informatycznej lub sieci nadawany jest unikalny identyfikator, który nie może zostać przypisany innej osobie. Identyfikacja użytkowników realizowana jest przy użyciu bezpiecznych metod transmisji danych służących do uwierzytelniania, a hasło dostępu podlega zmianie w ustalonym czasie.
  8. Kryptografia
    W Spółce stosowane są zabezpieczenia kryptograficzne stacji roboczych, urządzeń mobilnych, poczty elektronicznej oraz danych transmitowanych do zewnętrznych sieci informatycznych adekwatne do wrażliwości przetwarzanych informacji oraz formy i celu ich przetwarzania.
  9. Bezpieczeństwo fizyczne i środowiskowe
    Klucze, kody dostępu oraz uprawnienia dostępu w systemie kontroli dostępu do stref, pomieszczeń, w których przetwarzane są dane osobowe, przydzielane są w Asseco BS osobom upoważnionym do przetwarzania danych osobowych zgodnie z zakresem zadań realizowanych na danym stanowisku. Budynki, strefy, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych. Osoby nieuprawnione do przebywania w pomieszczeniach służących do przetwarzania danych osobowych mogą przebywać w nich jedynie pod nadzorem osób uprawnionych.
  10. Pozyskanie, rozwój i utrzymanie systemów
    Asseco BS realizuje procesy związane z pozyskaniem, rozwojem i utrzymaniem systemów informatycznych w sposób nadzorowany, gwarantujący utrzymanie odpowiedniego poziomu bezpieczeństwa informacji. Składa się na to m.in.:
    • uwzględnianie odpowiednich wymogów bezpieczeństwa dla nowych lub modyfikowanych systemów informatycznych,
    • wielopoziomowe testowanie systemu informatycznego i wprowadzanych modyfikacji,
    • ochrona poufności, autentyczności i integralności informacji poprzez mechanizmy systemowe,
    • oddzielenie środowisk rozwojowych i testowych od produkcyjnych,
    • nadzorowanie dostępu do kodów źródłowych oprogramowania,
    • wdrożenie procedur zarządzania w tym kontroli zmian/aktualizacji oprogramowania.
  11. Relacje z dostawcami
    Poziom jakości i bezpieczeństwa dostarczanych usług jest stale monitorowany i oceniany. Zabezpieczenia informacji dobierane są indywidulanie w trakcie wyboru dostawcy, w celu zabezpieczenia ryzyk związanych z dostępem podmiotu zewnętrznego do informacji spółki. Podczas definiowania wymagań bezpieczeństwa brane są pod uwagę m.in. wymagania wynikające z umów podpisanych z Klientami oraz wymogi prawne.
  12. Zarzadzanie incydentami związanymi z bezpieczeństwem informacji w tym naruszeniami danych osobowych
    W Spółce funkcjonuje proces zarządzania incydentami oparty na najlepszych praktykach w tym zakresie. Każde zgłoszenie jest szczegółowo analizowane pod kątem przyczyn jego wystąpienia. W ramach jego obsługi realizowane są działania naprawcze i doskonalące mające na celu minimalizację prawdopodobieństwa wystąpienia takiego incydentu w przyszłości.
  13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
    W Spółce funkcjonuje System Zarządzania Ciągłością Działania, uregulowany przez “Poli-tykę ciągłości działania”. Sposób funkcjonowania w sytuacji kryzysowej oraz zasady po-wrotu do normalnego trybu działania opisują plany ciągłości działania oraz plany awa-ryjne dla poszczególnych produktów. Wymagania w zakresie bezpieczeństwa informacji i ciągłości dostępu do informacji w sytuacjach kryzysowych są uwzględniane w trakcie bu-dowy planów ciągłości działania.

Lista głównych rozwiązań technicznych i organizacyjnych, zapewniających bezpieczne i prawidłowe wykonywanie czynności oraz ochronę danych osobowych.

I. Minimalne środki organizacyjne
  1. Została opracowana i wdrożona:
    • Polityka Bezpieczeństwa Informacji
    • Polityka Ochrony Danych Osobowych
    • Polityka Ciągłości Działania
  2. Powołano Inspektora Ochrony Danych, który nadzoruje przestrzeganie zasad ochrony danych osobowych, a także wykonuje zadania wymienione w art. 39 RODO
  3. Osoby zatrudnione przy przetwarzaniu danych zostały zobowiązane do uczestniczenia w szkoleniach z ochrony danych osobowych oraz zapoznania się z przepisami dotyczącymi ochrony danych osobowych,
  4. Osoby zatrudnione przy przetwarzaniu danych zobowiązane zostały do zachowania ich w tajemnicy, co znajduje potwierdzenie w złożonym przez nich oświadczeniu o zobowiązaniu do zachowania tajemnicy danych osobowych.
  5. Do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie,
  6. Stosuje się politykę czystego biurka oraz czystego ekranu (automatyczne blokowanie komputerów przy pustych stanowiskach, niepozostawanie dokumentacji na biurkach, zamyka-nie szafek z dokumentacją, itd.)
  7. Realizowane są regularne audyty/kontrole bezpieczeństwa przetwarzania danych,
  8. Wdrożono skuteczny proces zgłaszania oraz obsługi zdarzeń/incydentów związanych z naruszeniem ochrony danych osobowych.
II. Minimalne środki ochrony technicznej danych
  1. Zarządzanie dostępem.
    • Przydzielanie uprawnień do informacji oraz ich modyfikacje realizowane są w oparciu o zasady minimalnych uprawnień i wiedzy koniecznej.
    • Zarządzanie dostępem – dostęp do zasobów IT i danych jest chroniony za po-mocą mechanizmów uwierzytelniania i autoryzacji.
    • Uprzywilejowane prawa dostępu – obowiązuje zasada minimalnych uprawnień zapewniająca wdrożenie praw dostępu wyłącznie na wymaganym poziomie oraz wy-łącznie do niezbędnych zasobów.
  2. Zapewniona jest pełna rozliczalność w zakresie dostępu do zasobów. Bezpieczne uwierzytelnianie:
    • Rozdzielenie kont zwykłych i uprzywilejowanych
    • Stosowanie technik uwierzytelniania o określonej złożoności, np. hasła 12-znakowe, znaki specjalne oraz wymuszenie przestrzegania polityki haseł
    • Odpowiednie zabezpieczenie przechowywanych haseł (zabezpieczenia techniczne i szyfrowanie, zastosowanie mechanizmów bezpiecznego przekazywania i odzyskiwania haseł)
    • Weryfikacja tożsamości osób, którym udziela się dostępu oraz zastosowanie unikalnych identyfikatorów dostępu dla użytkowników
    • Stosowanie bezpiecznych zasad dostępu zgodnie z dobrymi praktykami – MFA, CAS
  3. Komputery, na których dochodzi do przetwarzania danych:
    • pracują pod kontrolą aktualnego, wspieranego przez producenta systemu operacyjnego,
    • posiadają uruchomioną systemową zaporę sieciową,
    • posiadają aktualne systemy do ochrony przed złośliwym oprogramowaniem,
    • posiadają zaszyfrowane dyski twarde, przy pomocy silnych protokołów szyfrujących,
    • posiadają wygaszacze ekranów zabezpieczone hasłem
    • dostęp możliwy jest jedynie dla uprawnionych użytkowników (kontrola tożsamości i uprawnień).
  4. Urządzenia mobilne (smartfon, tablet), na których dochodzi do przetwarzania danych:
    • pracują pod kontrolą aktualnego, wspieranego przez producenta systemu operacyjnego,
    • posiadają aktualne systemy do ochrony przed złośliwym oprogramowaniem,
    • posiadają zaszyfrowaną pamięć urządzenia,
    • dostęp chroniony jest mechanizmami weryfikacji tożsamości użytkownika
  5. Zastosowano system typu Firewall do ochrony dostępu do sieci komputerowej,
  6. Stosuje się szyfrowanie komunikacji zewnętrznej oraz wewnętrznej przy pomocy silnych protokołów szyfrujących,
  7. Zapewniono ochronę w procesie podłączenia urządzeń do sieci LAN i WLAN oraz stosuje się rozdzielenie i segmentację sieci z wykorzystaniem wydzielenia wymaganych podsieci wirtualnych VLAN.
  8. Wprowadzono możliwość zestawienia łączy VPN umożliwiających bezpieczny dostęp do systemów.
  9. Monitorowany jest ruch sieciowy i systemów operacyjnych w trybie 24/7/365
  10. Stosuje się wielopoziomowe zabezpieczenia dostępu do systemów dla krytycznych ról (2-Factor Authentication)
  11. Przeprowadza się audyty bezpieczeństwa pozwalające na wykrycie błędów w systemach zwiększających ryzyko nieuprawnionego dostępu.
  12. Wdrożono procedury zapobiegania wyciekom danych poprzez usługi świadczone przez dedykowany zespół SOC, posiadający narzędzia klasy SIEM do analizy podatności i zagrożeń wynikających z infrastruktury sieciowej, serwerowej i aplikacji a także stacji roboczych wykorzystywanych przez użytkowników.
III. Minimalne środki ochrony fizycznej danych
Bezpieczeństwo fizyczne i środowiskowe jest zapewniane z wykorzystaniem dostępnych zabezpieczeń w poniższym zakresie:
  1. Serwerownie (strefy specjalne) – Asseco BS posiada 3 ośrodki Centrum Przetwarzania Danych (CPD), które mieszczą się w Lublinie. Pomieszczenia każdego Centrum wraz z pomieszczeniami technicznymi spełniają wymagania dla pomieszczeń o podwyższonym poziomie bezpieczeństwa, tj. niepalna konstrukcja budynku, w całości niepalne materiały użyte w serwerowni, instalacja przeciwpożarowa sprzężona z całodobowym monitoringiem, system automatycznego gaszenia gazem obojętnym, system VESDA (bardzo wczesnego ostrzegania o pożarze).
  2. W budynkach zainstalowany jest specjalny system kluczy i zamków zapewniający ochronę dostępu do samych budynków oraz konkretnych stref (pomieszczeń) wyłącznie przez uprawnione osoby posiadające odpowiedni klucz systemowy. Wstęp do newralgicznych pomieszczeń zabezpieczony jest dodatkowo przez system kart dostępu (SKD) rejestrujący wejścia, a w przypadku kluczowych pomieszczeń zarówno wejścia jak i wyjścia.
  3. Zabezpieczanie fizyczne biur, pomieszczeń i obiektów z wykorzystaniem systemów zabezpieczeń fizycznych takich jak system wykrywania pożaru wraz z systemem automatycznego gaszenia oraz modularny system klimatyzacji precyzyjnej (dotyczy wyłącznie wydzielonych pomieszczeń – strefy CPD), dozór służb ochrony, system zamka centralnego, system ostrzegania na wypadek włamania lub napadu wraz z dozorem.
  4. Zasilanie i jego monitoring – w CPD Asseco Business Solutions stosowany jest dwustopniowy system zasilania. Wszystkie zasoby w serwerowni zabezpieczone są dedykowanym, redundantnym, modularnym systemem zasilaczy awaryjnych UPS. Ostatni stopień to agregaty prądotwórcze z czasem podtrzymania napięcia ok. 48 godz. bez uzupełniania paliwa (z zapewnieniem możliwości tankowania podczas pracy) zabezpieczające bezprzerwowe zasilanie dla systemów Spółki.
  5. Pomieszczenia CPD są wyposażone w modularne klimatyzatory utrzymujące stałą temperaturę oraz wilgotność pomieszczeń serwerowni. Instalacja ta jest zdublowana i w razie potrzeby zasilana ze źródła rezerwowego zasilania.
  6. W Spółce wykorzystywane są systemy monitorowania bezpieczeństwa fizycznego budynków z wykorzystaniem systemu alarmowego i systemu p. poż. oraz systemu monitoringu wizyjnego telewizji przemysłowej (CCTV), mechanizmy monitoringu elektronicznego (z powiadamianiem SMS Pracowników Spółki), rejestracja wejścia, przemieszczania się pomię-dzy wydzielonymi strefami w budynku oraz opuszczenia budynku z wykorzystaniem sys-temu SKD oraz całodobowa ochrona specjalistycznej firmy.

Szczegółowe informacje dotyczące deklaracji stosowania (Statement of Applicability, SoA) dostępne są na prośbę Klienta.

data aktualizacji: 2025-01-28