Polityka Bezpieczeństwa Informacji

Serwis treningpodnapieciem.pl przywiązuje szczególną wagę do bezpieczeństwa informacji. Przedstawiamy nasze zasady i działania zapewniające ochronę danych i systemów informatycznych.

Cel polityki

Celem polityki bezpieczeństwa informacji jest ochrona danych i systemów informatycznych. Zapewniamy poufność, integralność i dostępność informacji. Chronimy przed nieautoryzowanym dostępem. Minimalizujemy ryzyko incydentów bezpieczeństwa.

Polityka dotyczy wszystkich systemów, danych i procesów związanych z działaniem serwisu treningpodnapieciem.pl.

Podstawowe zasady

Nasze podejście do bezpieczeństwa informacji opiera się na 5 podstawowych zasadach:

  • Poufność – dostęp do informacji mają tylko uprawnione osoby.
  • Integralność – informacje są dokładne i kompletne.
  • Dostępność – informacje są dostępne, gdy są potrzebne.
  • Autentyczność – informacje pochodzą z wiarygodnego źródła.
  • Rozliczalność – działania w systemach są przypisane do konkretnych osób.

Te zasady stanowią fundament wszystkich naszych działań w zakresie bezpieczeństwa.

Organizacja bezpieczeństwa informacji

Za bezpieczeństwo informacji w serwisie treningpodnapieciem.pl odpowiada dedykowany zespół. Struktura organizacyjna obejmuje:

  • Zarząd – odpowiedzialny za strategiczne decyzje.
  • Inspektor Bezpieczeństwa Informacji – nadzoruje wdrażanie polityki.
  • Administratorzy systemów – odpowiadają za bezpieczeństwo techniczne.
  • Zespół reagowania na incydenty – zajmuje się naruszeniami bezpieczeństwa.
  • Wszyscy pracownicy – odpowiedzialni za przestrzeganie zasad.

Każda osoba ma jasno określone obowiązki i odpowiedzialność.

Bezpieczeństwo zasobów ludzkich

Zapewniamy bezpieczeństwo związane z zasobami ludzkimi poprzez:

  • Weryfikację kandydatów do pracy – sprawdzanie referencji.
  • Szkolenia z bezpieczeństwa informacji – regularne i obowiązkowe.
  • Umowy o zachowaniu poufności – podpisywane przez wszystkich pracowników.
  • Jasne procedury zakończenia współpracy – odbieranie uprawnień.
  • Świadomość bezpieczeństwa – regularne przypomnienia i aktualizacje.

Pracownicy są kluczowym elementem systemu bezpieczeństwa informacji.

Bezpieczeństwo fizyczne i środowiskowe

Chronimy fizyczne aspekty infrastruktury informatycznej:

Obszar Zabezpieczenia
Centra danych Kontrola dostępu, monitoring, systemy przeciwpożarowe
Biura Zamki, alarmy, procedury dla gości
Sprzęt Zabezpieczenia przed kradzieżą, konserwacja
Nośniki danych Bezpieczne przechowywanie, szyfrowanie, niszczenie

Bezpieczeństwo fizyczne jest podstawą ochrony informacji cyfrowych.

Zarządzanie systemami i sieciami

Stosujemy najlepsze praktyki zarządzania systemami i sieciami:

  • Aktualizacje i łatki – regularne instalowanie poprawek bezpieczeństwa.
  • Segmentacja sieci – oddzielenie krytycznych systemów.
  • Zapory sieciowe – filtrowanie ruchu sieciowego.
  • Systemy wykrywania włamań – monitorowanie podejrzanej aktywności.
  • Szyfrowanie transmisji – protokół HTTPS dla całego serwisu.

Regularnie testujemy i audytujemy nasze zabezpieczenia techniczne.

Kontrola dostępu

Zarządzamy dostępem do systemów i danych według 6 zasad:

  1. Minimalne uprawnienia – dostęp tylko do niezbędnych zasobów.
  2. Podział obowiązków – krytyczne operacje wymagają wielu osób.
  3. Silne uwierzytelnianie – hasła, 2FA, biometria.
  4. Regularne przeglądy uprawnień – weryfikacja co 3 miesiące.
  5. Automatyczne blokowanie – po okresie nieaktywności.
  6. Rejestrowanie dostępu – śledzenie logowań i działań.

Kontrola dostępu jest kluczowym elementem ochrony poufności danych.

Bezpieczeństwo aplikacji

Dbamy o bezpieczeństwo naszych aplikacji na każdym etapie:

  • Bezpieczne programowanie – stosowanie najlepszych praktyk.
  • Testy bezpieczeństwa – regularne skanowanie podatności.
  • Walidacja danych wejściowych – ochrona przed atakami.
  • Bezpieczne API – kontrola dostępu i limity zapytań.
  • Zarządzanie zależnościami – aktualizacja bibliotek.

Bezpieczeństwo jest integralną częścią procesu rozwoju oprogramowania.

Szyfrowanie danych

Stosujemy szyfrowanie do ochrony danych:

  • Szyfrowanie transmisji – protokół TLS 1.3.
  • Szyfrowanie danych w spoczynku – bazy danych, kopie zapasowe.
  • Bezpieczne zarządzanie kluczami – rotacja, ochrona.
  • Silne algorytmy – zgodne z aktualnymi standardami.
  • Szyfrowanie end-to-end – dla szczególnie wrażliwych danych.

Szyfrowanie zapewnia poufność nawet w przypadku nieautoryzowanego dostępu.

Zarządzanie incydentami bezpieczeństwa

Posiadamy procedury reagowania na incydenty bezpieczeństwa:

  1. Wykrywanie – systemy monitoringu i alerty.
  2. Ocena – określenie skali i wpływu incydentu.
  3. Powstrzymanie – ograniczenie rozprzestrzeniania się zagrożenia.
  4. Usunięcie – eliminacja przyczyny incydentu.
  5. Odzyskiwanie – przywrócenie normalnego działania.
  6. Analiza – wyciągnięcie wniosków i poprawa zabezpieczeń.

Każdy incydent jest dokumentowany i analizowany, aby zapobiec podobnym w przyszłości.

Ciągłość działania

Zapewniamy ciągłość działania serwisu poprzez:

  • Regularne kopie zapasowe – przechowywane w różnych lokalizacjach.
  • Redundantne systemy – eliminacja pojedynczych punktów awarii.
  • Plany odzyskiwania po awarii – testowane co 6 miesięcy.
  • Alternatywne centra danych – możliwość przełączenia usług.
  • Procedury awaryjne – jasne instrukcje dla zespołu.

Dzięki tym działaniom minimalizujemy ryzyko niedostępności serwisu.

Zgodność z przepisami

Przestrzegamy wszystkich obowiązujących przepisów dotyczących bezpieczeństwa informacji:

  • RODO – ochrona danych osobowych.
  • Ustawa o krajowym systemie cyberbezpieczeństwa.
  • Prawo telekomunikacyjne.
  • Standardy branżowe (np. ISO 27001).
  • Wytyczne NIST i ENISA.

Regularnie weryfikujemy zgodność naszych działań z aktualnymi przepisami.

Audyty bezpieczeństwa

Przeprowadzamy regularne audyty bezpieczeństwa:

  • Audyty wewnętrzne – co 3 miesiące.
  • Audyty zewnętrzne – co 12 miesięcy.
  • Testy penetracyjne – co 6 miesięcy.
  • Skanowanie podatności – co miesiąc.
  • Przeglądy kodu – przy każdej większej zmianie.

Wyniki audytów są analizowane i wykorzystywane do ciągłego doskonalenia.

Bezpieczeństwo dostawców

Wymagamy odpowiedniego poziomu bezpieczeństwa od naszych dostawców:

  • Ocena bezpieczeństwa – przed nawiązaniem współpracy.
  • Umowy o poziomie usług (SLA) – z klauzulami bezpieczeństwa.
  • Umowy o powierzeniu przetwarzania danych – zgodne z RODO.
  • Regularne audyty dostawców – weryfikacja zgodności.
  • Plany wyjścia – procedury zakończenia współpracy.

Bezpieczeństwo łańcucha dostaw jest integralną częścią naszej polityki.

Szkolenia i świadomość

Inwestujemy w szkolenia i budowanie świadomości bezpieczeństwa:

  • Obowiązkowe szkolenia – dla wszystkich pracowników.
  • Specjalistyczne kursy – dla zespołu technicznego.
  • Symulacje phishingu – testowanie czujności.
  • Biuletyny bezpieczeństwa – regularne aktualizacje.
  • Kultura bezpieczeństwa – zachęcanie do zgłaszania problemów.

Świadomy zespół jest najlepszą obroną przed zagrożeniami.

Przegląd i aktualizacja polityki

Regularnie przeglądamy i aktualizujemy politykę bezpieczeństwa informacji:

  • Przeglądy planowe – co 6 miesięcy.
  • Przeglądy po incydentach – analiza przyczyn.
  • Aktualizacje technologiczne – dostosowanie do nowych rozwiązań.
  • Zmiany prawne – zgodność z nowymi przepisami.
  • Informacje zwrotne – uwzględnienie sugestii zespołu.

Aktualna wersja polityki obowiązuje od dnia 15.03.2025.

Kontakt

W sprawach związanych z bezpieczeństwem informacji, skontaktuj się z nami:

  • E-mail: security@{{ site_url | replace('https://', '') | replace('http://', '') }}
  • Zgłaszanie incydentów: [email protected]

Bezpieczeństwo jest naszym wspólnym obowiązkiem.