Polityka Bezpieczeństwa
Ostatnia aktualizacja: 4 marca 2025
Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne wdrożone przez freshrivets w celu ochrony danych, systemów oraz infrastruktury wykorzystywanej do świadczenia usług. Dokument ma zastosowanie do wszystkich użytkowników korzystających z platformy dostępnej pod adresem freshrivets.com.
1. Zobowiązanie do Bezpieczeństwa
freshrivets traktuje bezpieczeństwo informacji jako priorytet operacyjny. Zobowiązujemy się do ciągłego doskonalenia praktyk bezpieczeństwa w celu ochrony poufności, integralności i dostępności danych powierzonych nam przez użytkowników i klientów.
Nasze podejście do bezpieczeństwa opiera się na uznanych standardach branżowych i obejmuje regularne przeglądy, audyty oraz aktualizacje wdrożonych mechanizmów ochrony.
2. Bezpieczeństwo Infrastruktury
2.1 Hosting i Środowisko Serwerowe
Usługi świadczone przez freshrivets są hostowane na infrastrukturze zapewniającej wysoki poziom dostępności i odporności na awarie. Środowisko serwerowe jest regularnie aktualizowane i monitorowane pod kątem zagrożeń bezpieczeństwa.
- Systemy operacyjne i oprogramowanie serwerowe są regularnie aktualizowane do najnowszych wersji zawierających poprawki bezpieczeństwa.
- Dostęp do serwerów jest ograniczony wyłącznie do upoważnionego personelu technicznego.
- Stosowane są zapory sieciowe (firewalle) oraz systemy wykrywania i zapobiegania włamaniom (IDS/IPS).
- Ruch sieciowy jest stale monitorowany w celu wykrycia anomalii i podejrzanej aktywności.
2.2 Separacja Środowisk
Środowiska produkcyjne, testowe i deweloperskie są od siebie oddzielone. Dane produkcyjne nie są wykorzystywane w środowiskach testowych bez uprzedniej anonimizacji lub pseudonimizacji.
2.3 Redundancja i Ciągłość Działania
Infrastruktura jest zaprojektowana z myślą o wysokiej dostępności. Wdrożono mechanizmy automatycznego przełączania awaryjnego oraz procedury odtwarzania po awarii, aby zminimalizować ryzyko przerw w świadczeniu usług.
3. Bezpieczeństwo Przesyłu Danych
3.1 Szyfrowanie Połączeń
Cała komunikacja pomiędzy urządzeniami użytkowników a naszymi serwerami odbywa się z wykorzystaniem protokołu TLS (Transport Layer Security) w aktualnej, bezpiecznej wersji. Certyfikaty SSL/TLS są regularnie odnawiane i weryfikowane.
- Połączenia HTTP są automatycznie przekierowywane na HTTPS.
- Stosowane są nagłówki bezpieczeństwa, w tym HSTS (HTTP Strict Transport Security).
- Obsługiwane są wyłącznie protokoły i szyfry spełniające aktualne standardy bezpieczeństwa.
3.2 Bezpieczeństwo API
Interfejsy programistyczne (API) wykorzystywane przez platformę są zabezpieczone mechanizmami uwierzytelniania i autoryzacji. Każde żądanie API jest weryfikowane przed przetworzeniem. Stosowane są limity liczby żądań w celu ochrony przed atakami typu brute-force i nadużyciami.
4. Bezpieczeństwo Danych
4.1 Szyfrowanie Danych w Spoczynku
Dane przechowywane na naszych serwerach są szyfrowane przy użyciu uznanych algorytmów kryptograficznych. Dotyczy to w szczególności danych wrażliwych, takich jak informacje finansowe i dane osobowe użytkowników.
4.2 Minimalizacja Danych
Gromadzimy wyłącznie dane niezbędne do świadczenia usług. Dane, które przestały być potrzebne, są usuwane zgodnie z ustalonymi harmonogramami przechowywania danych.
4.3 Kopie Zapasowe
Dane są regularnie archiwizowane w ramach automatycznych procedur tworzenia kopii zapasowych. Kopie zapasowe są szyfrowane i przechowywane w bezpiecznych lokalizacjach. Procedury odtwarzania danych są regularnie testowane w celu zapewnienia ich skuteczności.
4.4 Integralność Danych
Wdrożono mechanizmy weryfikacji integralności danych, które pozwalają wykryć nieautoryzowane modyfikacje. Wszelkie nieprawidłowości są automatycznie rejestrowane i analizowane przez zespół bezpieczeństwa.
5. Kontrola Dostępu
5.1 Zasada Minimalnych Uprawnień
Dostęp do systemów i danych jest przyznawany zgodnie z zasadą minimalnych niezbędnych uprawnień. Każdy pracownik i system otrzymuje dostęp wyłącznie do zasobów wymaganych do wykonywania określonych funkcji.
5.2 Uwierzytelnianie
- Hasła użytkowników są przechowywane w postaci zahashowanej z użyciem bezpiecznych algorytmów kryptograficznych.
- Platforma wspiera wieloskładnikowe uwierzytelnianie (MFA) jako dodatkową warstwę ochrony kont.
- Wdrożono polityki haseł wymagające odpowiedniej długości i złożoności.
- Konta są automatycznie blokowane po przekroczeniu określonej liczby nieudanych prób logowania.
5.3 Zarządzanie Sesjami
Sesje użytkowników są zarządzane w bezpieczny sposób. Tokeny sesji są generowane losowo i mają określony czas ważności. Nieaktywne sesje są automatycznie wygaszane po zdefiniowanym czasie bezczynności.
5.4 Dostęp Pracowników
Dostęp personelu wewnętrznego do systemów produkcyjnych jest ograniczony, rejestrowany i regularnie przeglądany. Pracownicy przechodzą szkolenia z zakresu bezpieczeństwa informacji. Dostępy są niezwłocznie odbierane w przypadku zakończenia współpracy.
6. Bezpieczeństwo Aplikacji
6.1 Bezpieczny Cykl Wytwarzania Oprogramowania
Bezpieczeństwo jest integralną częścią procesu tworzenia oprogramowania. Kod źródłowy podlega przeglądom pod kątem podatności bezpieczeństwa przed wdrożeniem na środowisko produkcyjne. Stosowane są narzędzia do statycznej i dynamicznej analizy kodu.
6.2 Ochrona Przed Typowymi Zagrożeniami
Wdrożono zabezpieczenia przed powszechnymi kategoriami zagrożeń aplikacyjnych, w tym:
- Wstrzyknięcia kodu (SQL Injection, Command Injection)
- Ataki typu Cross-Site Scripting (XSS)
- Ataki typu Cross-Site Request Forgery (CSRF)
- Ataki typu clickjacking i inne ataki oparte na ramkach
- Nieautoryzowany dostęp do danych innych użytkowników
- Ataki typu Distributed Denial of Service (DDoS)
6.3 Zarządzanie Zależnościami
Biblioteki i komponenty zewnętrzne używane w platformie są regularnie aktualizowane. Stosowane jest automatyczne skanowanie zależności w celu wykrywania znanych podatności. Krytyczne aktualizacje bezpieczeństwa są wdrażane priorytetowo.
7. Monitorowanie i Reagowanie na Incydenty
7.1 Ciągłe Monitorowanie
Systemy i infrastruktura są monitorowane całą dobę przez siedem dni w tygodniu. Automatyczne alerty informują o wykryciu podejrzanej aktywności, anomalii w ruchu sieciowym lub nieautoryzowanych próbach dostępu. Logi systemowe są przechowywane i analizowane w sposób ciągły.
7.2 Procedura Reagowania na Incydenty
freshrivets posiada udokumentowaną procedurę reagowania na incydenty bezpieczeństwa, która obejmuje:
- Identyfikację i klasyfikację incydentu
- Natychmiastowe działania ograniczające skutki
- Analizę przyczyn źródłowych
- Działania naprawcze i zapobiegawcze
- Dokumentację i wyciąganie wniosków
7.3 Powiadamianie o Naruszeniach
W przypadku wykrycia naruszenia bezpieczeństwa danych, które może mieć istotny wpływ na użytkowników, freshrivets zobowiązuje się do powiadomienia poszkodowanych stron oraz właściwych organów w terminach wymaganych przez obowiązujące przepisy prawa. Powiadomienia będą zawierać informacje o charakterze naruszenia, możliwych konsekwencjach oraz podjętych działaniach zaradczych.
8. Bezpieczeństwo Fizyczne
Centra danych i obiekty infrastrukturalne, z których korzysta freshrivets, są chronione fizycznie przez dostawców posiadających odpowiednie certyfikaty bezpieczeństwa. Kontrola dostępu fizycznego do serwerowni odbywa się za pomocą systemów identyfikacji i rejestracji wejść. Obiekty są wyposażone w systemy przeciwpożarowe, klimatyzację oraz zasilanie awaryjne.
9. Zarządzanie Dostawcami i Podmiotami Trzecimi
Dostawcy i partnerzy technologiczni współpracujący z freshrivets są weryfikowani pod kątem spełniania wymagań bezpieczeństwa. Umowy z podmiotami trzecimi zawierają klauzule dotyczące ochrony danych i bezpieczeństwa informacji. Dostęp dostawców do systemów i danych jest ograniczony do niezbędnego minimum i podlega stałemu nadzorowi.
10. Testy i Audyty Bezpieczeństwa
W celu weryfikacji skuteczności wdrożonych zabezpieczeń freshrivets przeprowadza lub zleca:
- Regularne testy penetracyjne infrastruktury i aplikacji
- Przeglądy konfiguracji bezpieczeństwa systemów
- Audyty dostępów i uprawnień użytkowników
- Testy procedur odtwarzania po awarii
- Przeglądy zgodności z wewnętrznymi politykami bezpieczeństwa
Wyniki testów i audytów są dokumentowane, a wykryte słabości są usuwane zgodnie z priorytetami opartymi na ocenie ryzyka.
11. Szkolenia i Świadomość Bezpieczeństwa
Pracownicy freshrivets regularnie uczestniczą w szkoleniach z zakresu bezpieczeństwa informacji, które obejmują rozpoznawanie zagrożeń, bezpieczne praktyki pracy z danymi oraz procedury postępowania w przypadku incydentów. Budowanie kultury bezpieczeństwa jest traktowane jako stały element działalności organizacji.
12. Odpowiedzialność Użytkownika
Bezpieczeństwo platformy wymaga współpracy ze strony użytkowników. W celu zachowania wysokiego poziomu ochrony konta i danych zalecamy:
- Stosowanie unikalnych, silnych haseł i ich regularne zmienianie
- Włączenie wieloskładnikowego uwierzytelniania (MFA), jeśli jest dostępne
- Nieudostępnianie danych logowania osobom trzecim
- Korzystanie z aktualnego oprogramowania i przeglądarek internetowych
- Natychmiastowe zgłaszanie podejrzanej aktywności na koncie
- Wylogowywanie się z platformy po zakończeniu sesji, szczególnie na urządzeniach współdzielonych
13. Zgłaszanie Podatności
freshrivets zachęca do odpowiedzialnego ujawniania podatności bezpieczeństwa. Jeśli odkryłeś potencjalną lukę w naszych systemach, prosimy o kontakt przed jej publicznym ujawnieniem. Zgłoszenia przyjmujemy pod adresem e-mail: [email protected].
W zgłoszeniu prosimy o zawarcie opisu podatności, kroków umożliwiających jej odtworzenie oraz potencjalnego wpływu na bezpieczeństwo. Zobowiązujemy się do potwierdzenia odbioru zgłoszenia i terminowego poinformowania o podjętych działaniach.
14. Zmiany w Polityce Bezpieczeństwa
Niniejsza Polityka Bezpieczeństwa może być aktualizowana w celu odzwierciedlenia zmian w stosowanych technologiach, praktykach branżowych lub wymogach prawnych. O istotnych zmianach użytkownicy będą informowani za pośrednictwem platformy lub pocztą elektroniczną. Data ostatniej aktualizacji jest zawsze widoczna na początku dokumentu.
Dalsze korzystanie z usług freshrivets po opublikowaniu zmienionej Polityki Bezpieczeństwa oznacza akceptację jej nowej treści.
15. Kontakt
W przypadku pytań dotyczących niniejszej Polityki Bezpieczeństwa lub kwestii związanych z bezpieczeństwem platformy prosimy o kontakt:
| Kanał kontaktu | Dane |
|---|---|
| [email protected] | |
| Telefon | +48 790 233 508 |
| Adres korespondencyjny | Konstantego Ildefonsa Gałczyńskiego 12, 80-524 Gdańsk, Polska |
| Strona internetowa | freshrivets.com |