PL
Demo

Polityka Prywatności

Zasady zabezpieczenia danych przetwarzanych w spółce Datapolis sp. z o. o.

Rozdział 1. Definicje i postanowienia ogólne

  1. Niniejszy dokument określa standardowe zasady stosowane przez Datapolis sp. z o. o. w odniesieniu do Zleceniodawcy, w zakresie ochrony bezpieczeństwa, w tym:

  1. informacji Zleceniodawcy,

  2. ochrony Systemu Informatycznego Zleceniodawcy (SIZ),

  3. dostępu do budynków i pomieszczeń Zleceniodawcy lub Datapolis.

  1. Definicje:

    1. incydent bezpieczeństwa - zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń bezpieczeństwa dotyczących Stron, które skutkują lub mogą skutkować zakłóceniem działalności biznesowej Stron, mającymi wpływ na działalność biznesową Stron w zakresie prawidłowej realizacji Umowy. Do tej grupy incydentów zalicza się w szczególności:

      1. nieautoryzowane działania pracowników Stron,

      2. oszustwa zewnętrzne na szkodę Stron,

      3. utrata, ujawnienie lub podejrzenie utraty lub ujawnienia informacji chronionych (np. danych osobowych),

      4. kradzież sprzętu,

      5. taki stan urządzenia, zawartość zbioru informacji chronionych, ujawnione metody pracy, ujawnione metody pracy, sposób działania oprogramowania lub jakość komunikacji w sieci informatycznej, który może wskazywać na naruszenie bezpieczeństwa informacji,

      6. utrata karty dostępu wykorzystywanej w systemie kontroli dostępu,

      7. naruszenie bezpieczeństwa klucza kryptograficznego,

      8. sytuacje zagrażające zdrowiu lub życiu pracowników, gości lub klientów Stron,

      9. działania wymierzone przeciwko wizerunkowi i reputacji Stron.

    2. incydent cyberbezpieczeństwa - incydent naruszenia bezpieczeństwa środowiska teleinformatycznego Datapolis oraz/lub Zleceniodawcy - pojedyncze niepożądane lub niespodziewane zdarzenie bezpieczeństwa środowiska teleinformatycznego (tj. wystąpienie stanu komponentu środowiska teleinformatycznego wskazującego na potencjalne naruszenie jego bezpieczeństwa, błąd mechanizmu kontrolnego lub uprzednio nieznana sytuacja, która może być istotna z perspektywy bezpieczeństwa) lub seria takich zdarzeń, w przypadku których występuje znaczne prawdopodobieństwo zakłócenia działalności lub naruszenia bezpieczeństwa informacji (na podstawie ISO/IEC 27000:2009),

    3. prawo dostępu - nadane przez Zleceniodawcę, na potrzeby realizacji Umowy, uprawnienie dostępu (fizycznego lub logicznego) do określonego zasobu SIZ lub do określonego budynku i pomieszczenia Zleceniodawcy (z wyłączeniem pomieszczeń ogólnie dostępnych lub ich części),

    4. SIZ (System Informatyczny Zleceniodawcy) - zbiór wszystkich rozwiązań informatycznych (technicznych i funkcjonalnych), przeznaczony do kompleksowego wspomagania działalności Zleceniodawcy,

    5. testy bezpieczeństwa - wszelkie procedury testowe, dotyczące rozwiązań informatycznych lub świadczonej w ramach Umowy usługi,

    6. zasób SIZ - logicznie powiązany zbiór komponentów SIZ, realizujący określoną funkcjonalność biznesową, tj.: aplikacje, moduły aplikacyjne, oprogramowanie: systemowe, narzędziowe, użytkowe i bazodanowe, technologia przetwarzania danych w SIZ, sprzęt teleinformatyczny i sieć teleinformatyczna, dane i informacje przetwarzane i przechowywane w SIZ, powiązania między zasobami SIZ - interfejsy, usługi teleinformatyczne, w szczególności Internet, poczta elektroniczna.

Rozdział 2. Ochrona informacji Zleceniodawcy

  1. Poprzez informacje Zleceniodawcy rozumie się każdą informację, którą Datapolis pozyska w ramach Umowy od Zleceniodawcy, dotyczącą w szczególności:

    1. technologii i procesów technologicznych stosowanych przez Zleceniodawcę,

    2. przepisów wewnętrznych, procesów biznesowych i procedur Zleceniodawcy,

    3. informacji biznesowych oraz finansowych Zleceniodawcy,

    4. danych osobowych i finansowych: klientów i dostawców Zleceniodawcy oraz ich pracowników i pracowników Zleceniodawcy,

    5. procedur bezpieczeństwa i innych informacji, w tym informacji o pomieszczeniach i strefach chronionych siedzibie Zleceniodawcy,

    6. stosowanych przez Zleceniodawcę systemów zabezpieczenia technicznego.

  2. Informacje Zleceniodawcy mogą przyjąć różną formę, w szczególności:

    1. dokumentów,

    2. udostępnionego lub przekazywanego oprogramowania i nośników danych,

    3. jakichkolwiek danych przesyłanych do Datapolis w celu ich przetwarzania, przy czym przez przetwarzanie rozumie się wszelkie operacje (automatyczne lub manualne) wykonywane na danych, w szczególności: wytwarzanie, zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, ekspedycja, archiwizacja, usuwanie i niszczenie,

    4. informacji ustnych, uzyskanych od pracowników Zleceniodawcy.

  3. Zakres i sposób pozyskiwania informacji Zleceniodawcy przez Datapolis muszą być uzgodnione ze Zleceniodawcą oraz muszą być ograniczone do zakresu niezbędnego dla realizacji postanowień Umowy. W szczególności, żadne z urządzeń infrastruktury IT Datapolis nie może zbierać, przechowywać i archiwizować identyfikatorów, haseł oraz kodów PIN lub innych kodów identyfikacyjnych SIZ, zasobu SIZ użytkowników SIZ, chyba że Umowa stanowi inaczej.

  4. Datapolis zobowiązuje się do zachowania poufności wszelkich informacji Zleceniodawcy, chyba że informacje te mają charakter jawny, zostały już uprzednio ujawnione publicznie przez Zleceniodawcę lub osobę lub podmiot niepowiązany z Datapolis.

  5. Datapolis jest zobowiązany, uwzględniając powszechnie obowiązujące przepisy prawa, poinformować Zleceniodawcę o każdym przypadku otrzymania wniosku od uprawnionych organów Państwa w sprawie przekazania informacji Zleceniodawcy. Datapolis jest zobowiązany do udzielania wsparcia Zleceniodawcy, mającego na celu zapobieżenie ujawnienia informacji Zleceniodawcy.

  6. Datapolis jest zobowiązany do zniszczenia wszelkich nośników z informacjami Zleceniodawcy, gdy nie będą już one niezbędne do realizacji Umowy. Na życzenie Zleceniodawcy, Datapolis zobowiązany jest do przekazania odpowiedniego dowodu lub oświadczenia o zniszczeniu informacji (danych), zgodnie z przekazanymi wytycznymi Zleceniodawcy w tym zakresie. Dodatkowo, Datapolis jest zobowiązany do zwrotu wszelkich nośników danych przekazanych przez Zleceniodawcę, chyba że Umowa stanowi inaczej.

Rozdział 3. Ochrona Systemu Informatycznego Zleceniodawcy

  1. W ramach Umowy Datapolis jest zobowiązany do:

    1. zapewnienia wymaganego niniejszym Dokumentem poziomu bezpieczeństwa, rozumianego jako zachowanie poufności, integralności i dostępności dla Zleceniodawcy przetwarzanych w ramach tej Umowy informacji i zasobów SIZ,

    2. poddawania się weryfikacji ze strony Zleceniodawcy, co do faktu zgodności z minimalnymi wymogami bezpieczeństwa, przy czym weryfikacja taka nie będzie występowała częściej niż raz na 12 miesięcy, przy czym weryfikacja taka może nastąpić po uprzednim zawiadomieniu Datapolis przez Zleceniodawcę w formie pisemnej lub drogą komunikacji mailowej do Kierownika Projektu Datapolis o planowanej weryfikacji, z wyprzedzeniem co najmniej 3 dni roboczych. Weryfikacja będzie prowadzona na koszt Zleceniodawcy przez wskazanych przez Zleceniodawcę przedstawicieli Zleceniodawcy. Zasady ewentualnego dostępu przedstawicieli Zleceniodawcy do Systemów informatycznych Datapolis muszą zostać odrębnie uzgodnione pomiędzy Kierownikami Projektu Stron. Nie ogranicza to prawa Zleceniodawcy do żądania niezwłocznego udostępnienia przez Datapolis sprzętu teleinformatycznego użytkowanego w sieci i/lub na terenie siedziby Zleceniodawcy w przypadku wystąpienia lub podejrzenia wystąpienia incydentu bezpieczeństwa.

  2. Wszelkie działania Datapolis na Zasobach SIZ mogą być wykonywane tylko i wyłącznie w zakresie i w sposób określony przez Zleceniodawcę.

  3. Datapolis, przed rozpoczęciem prac wynikających z Umowy, udostępni Zleceniodawcy (w sposób przewidziany Umową) listę pracowników Datapolis oraz osób działających w imieniu Datapolis zaangażowanych w wykonywanie Umowy wraz (jeśli dotyczy) z wymaganymi Umową dokumentami. Zgodnie z ww. listą, pracownikom Datapolis może zostać przyznane Prawo dostępu do SIZ. Zleceniodawca nie odmówi Prawa dostępu niezbędnego do wykonania Umowy bez ważnego powodu.

  4. Wszelkie zmiany, odnoszące się do listy, o której mowa w ustępie powyżej, udostępniane będą Zleceniodawcy przez Datapolis bezzwłocznie (w sposób określony Umową) w celu odpowiednio: nadania, modyfikacji lub odebrania Prawa dostępu.

  5. Pracownicy oraz wszelkie osoby działające w imieniu Datapolis podczas realizacji usług na rzecz Zleceniodawcy nie mogą:

    1. wykorzystywać w ramach SIZ urządzeń innych niż sprzęt Zleceniodawcy bez uprzedniej autoryzacji (zgody) Departamentu Cyberbezpieczeństwa, chyba że Umowa stanowi inaczej.

    2. przy wykorzystaniu sprzętu Zleceniodawcy korzystać z oprogramowania i aplikacji niedopuszczonych przez Zleceniodawcę; chyba, że Umowa stanowi inaczej; Departament Cyberbezpieczeństwa może zaakceptować, w szczególnym przypadku i w określonym zakresie, korzystanie z oprogramowania niedopuszczonego przez Zleceniodawcę, jeżeli jest to niezbędne do realizacji przedmiotu Umowy.

  6. Datapolis oświadcza, że nie podejmuje następujących działań:

    1. umieszczania w SIZ treści bezprawnych lub nieautoryzowanych przez Zleceniodawcę,

    2. kopiowania danych z SIZ poza infrastrukturę informatyczną Zleceniodawcy, tj. poza serwery Zleceniodawcy lub poza szyfrowane nośniki pamięci Zleceniodawcy (z wyjątkiem przypadków określonych Umowie), przy czym postanowienie poprzedzające ma zastosowanie, o ile Umowa lub Zamówienie nie przewiduje inaczej, w szczególności, o ile Umowa lub Zamówienie nie przewiduje świadczenia Usług z wykorzystaniem komputerów Datapolis, jednakże w takim przypadku użycie komputerów Datapolis musi uzyskać uprzednio autoryzację Zleceniodawcy ponadto w każdym przypadku zabronione jest kopiowanie danych osobowych, tajemnicy biznesowej, tajemnicy ubezpieczeniowej, informacji poufnych w rozumieniu ustawy o obrocie instrumentami finansowymi,

    3. wynoszenia poza siedzibę Zleceniodawcy nośników pamięci należących do Zleceniodawcy lub zawierających dane poufne,

    4. podłączania do SIZ jakichkolwiek urządzeń nieposiadających autoryzacji Zleceniodawcy, w tym między innymi środków do przetwarzania informacji, takich jak laptopy czy urządzenia komunikacji mobilnej lub nośniki pamięci,

    5. ujawniania lub udostępniania haseł do SIZ osobom trzecim lub pozostawiania haseł w miejscu umożliwiającym jego poznanie lub przejęcie,

    6. testowania oraz podejmowania prób poznania i łamania zabezpieczeń SIZ,

    7. ujawniania informacji odnoszących się do funkcjonowania SIZ, w szczególności dotyczących zidentyfikowanych podatności, awarii lub incydentów bezpieczeństwa,

    8. korzystania w SIZ z plików uzyskanych z sieci zewnętrznych (tj. spoza sieci komputerowej Zleceniodawcy, zanim te pliki nie zostaną sprawdzone przez oprogramowanie antywirusowe; w przypadku świadczenia Usług z wykorzystaniem komputerów Zleceniodawcy, przyjmuje się, że udostępniona Datapolis stacja robocza jest każdorazowo tak skonfigurowana, że wszystkie dokumenty są automatycznie skanowane antywirusowo,

    9. nieautoryzowanego dostępu do SIZ, tj. niewynikającego z Umowy,

    10. umożliwienia dostępu do SIZ osobom nieupoważnionym,

    11. korzystania z kont innych użytkowników SIZ,

    12. nieautoryzowanego niszczenia danych gromadzonych lub przetwarzanych w SIZ, w szczególności takiego, którego celem jest działanie na szkodę Zleceniodawcy (np. zamiar ukrycia dowodów, działanie złośliwe) lub takiego, które jest skutkiem niezachowania należytej staranności (np. nieupewnienie się, że niszczone dane są zbędne),

    13. wprowadzania błędnych danych do środowisk produkcyjnych SIZ.

Rozdział 4. Ochrona dostępu do budynków i pomieszczeń Zleceniodawcy

  1. Pracownicy Datapolis oraz osoby działające w imieniu Datapolis zaangażowane w wykonywanie Umowy w trakcie korzystania z dostępu do pomieszczeń Zleceniodawcy wyłączonych z publicznego dostępu powinni posiadać imienny identyfikator lub dokument tożsamości, pozwalający na ich identyfikację.

  2. Datapolis, przed rozpoczęciem prac wynikających z Umowy, udostępni Zleceniodawcy (w sposób przewidziany Umową) listę pracowników Datapolis oraz osób działających w imieniu Datapolis zaangażowanych w wykonywanie Umowy wraz (jeśli dotyczy) z wymaganymi Umową dokumentami. Zgodnie z ww. listą, pracownikom Datapolis może zostać przyznane Prawo dostępu do budynku i pomieszczenia w postaci karty stosowanej w systemie kontroli dostępu z uprawnieniami odpowiadającymi przydzielonemu zakresowi zadań. W celu realizacji zadań realizowanych w strefach podlegających szczególnej ochronie (serwerownie, węzły telekomunikacyjne itp.), Prawo dostępu udzielane jest odrębnie po zgłoszeniu przez Dostawcę osoby realizującej dane prace w takiej strefie. Zleceniodawca nie odmówi Prawa dostępu niezbędnego do wykonania Umowy bez ważnego powodu.

  3. Wszelkie zmiany, odnoszące się do listy, o której mowa w ustępie powyżej, udostępniane będą Zleceniodawcy przez Datapolis bezzwłocznie (w sposób określony Umową) w celu odpowiednio: nadania, modyfikacji lub odebrania Prawa dostępu.

  4. W celu realizacji zadań wynikających z Umowy w strefach podlegających szczególnej ochronie (serwerownie, węzły telekomunikacyjne, itp.), dostęp udzielany jest odrębnie po zgłoszeniu przez Datapolis osoby realizującej dane prace w takiej strefie.

Rozdział 5. Sposób postępowania z incydentami bezpieczeństwa

  1. W przypadku wystąpienia incydentu bezpieczeństwa dotyczącego Zleceniodawcy, incydentu cyberbezpieczeństwa, lub sytuacji nietypowej nieopisanej w Umowie ani w dokumentach określających zakres współpracy Datapolis ze Zleceniodawcą, zagrażającej potencjalnie realizacji określonych w niniejszym Załączniku wymagań bezpieczeństwa, Datapolis zobowiązuje się do:

  1. niezwłocznego poinformowania pracownika Zleceniodawcy nadzorującego realizację Umowy, a w przypadkach pilnych (gdy istnieje zagrożenie dla życia lub zdrowia pracowników i klientów Zleceniodawcy) oraz w przypadkach popełnienia lub podejrzenia popełnienia przestępstwa przeciwko mieniu Zleceniodawcy, również niezwłocznego powiadomienia Zleceniodawcy.

  2. niezwłocznego usunięcia przyczyn i skutków incydentu bezpieczeństwa i incydentu cyberbezpieczeństwa w obszarze działania Datapolis, po wcześniejszym ustaleniu sposobu realizacji działań ze Zleceniodawcą (pracownikiem Zleceniodawcy nadzorującym realizację Umowy), w szczególności po ustaleniu wynagrodzenia należnego Datapolis za takie usuwanie przez Datapolis przyczyn lub skutków incydentu bezpieczeństwa i incydentu cyberbezpieczeństwa, który nie został spowodowany działaniami lub zaniechaniami Datapolis. W przypadku konieczności natychmiastowego działania w celu zapobieżenia niebezpieczeństwu dla życia lub zdrowia osób fizycznych albo znacznemu zniszczeniu mienia, Datapolis podejmie natychmiastowe działania nawet przed ich skonsultowaniem ze Zleceniodawcą.

  1. Przez incydent bezpieczeństwa, oraz incydent cyberbezpieczeństwa, o których mowa w ust. 1, należy rozumieć każde pojedyncze niepożądane lub niespodziewane zdarzenie (lub też serię takich zdarzeń) stwarzających znaczne prawdopodobieństwo zakłócenia działań biznesowych Zleceniodawcy i zagrażających bezpieczeństwu SIZ, a w szczególności:

  1. incydenty związane z bezpieczeństwem SIZ (incydenty cyberbezpieczeństwa) - zgodnie z pkt 2.2), np.:

  1. kradzież sprzętu SIZ,

  2. naruszenie zabezpieczenia SIZ,

  3. taki stan urządzenia SIZ, zawartości zbioru informacji chronionych, ujawnione metody pracy, sposób działania oprogramowania lub jakość komunikacji w sieci informatycznej, który może wskazywać na naruszenie bezpieczeństwa informacji,

  4. naruszenie bezpieczeństwa klucza kryptograficznego,

  5. nieautoryzowane działania pracowników Datapolis lub wiadome Datapolis nieautoryzowane działania personelu Zleceniodawcy,

  6. oszustwa zewnętrzne na szkodę Stron (np. utrata danych wskutek włamania do systemu, działanie złośliwego oprogramowania),

  7. utrata, ujawnienie lub podejrzenie utraty lub ujawnienia informacji chronionych (np. danych osobowych),

  8. naruszenie zabezpieczenia infrastruktury lub systemów Datapolis, jeżeli były one wykorzystywane do świadczenia Usług na podstawie Umowy,

  9. utrata karty dostępu wykorzystywanej w systemie kontroli dostępu,

  1. incydenty niezwiązane z bezpieczeństwem SIZ (incydenty bezpieczeństwa), np.:

  1. kradzież, z wyłączeniem kradzieży sprzętu SIZ,

  2. naruszenie Prawa Dostępu z powodu utraty lub użyczenia identyfikatora osobistego lub karty dostępu wykorzystywanej w systemie kontroli dostępu do budynku i do pomieszczenia,

  3. wstęp do niedostępnych publicznie pomieszczeń Zleceniodawcy bez autoryzacji Zleceniodawcy (przy czym posiadanie karty dostępu oznacza autoryzację),

  4. utrata, ujawnienie lub podejrzenie utraty lub ujawnienia informacji chronionych (np. danych osobowych) Zleceniodawcy,

  5. sytuacje zagrażające zdrowiu lub życiu pracowników, gości lub klientów Zleceniodawcy.

  1. Każda ze Stron zobowiązana jest do gromadzenia i bezzwłocznego przekazywania drugiej Stronie danych dotyczących incydentów bezpieczeństwa. Zakres rejestrowanych i przekazywanych danych dotyczących Incydentu bezpieczeństwa i incydentu cyberbezpieczeństwa powinien obejmować co najmniej:

    1. datę wystąpienia incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    2. datę identyfikacji incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    3. przyczynę zajścia incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    4. opis przebiegu incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    5. skutki incydentu cyberbezpieczeństwa w zakresie poufności, integralności i dostępności,

    6. podjęte działania naprawcze.

  2. W treści zgłoszenia o incydencie bezpieczeństwa / incydencie cyberbezpieczeństwa Datapolis umieszcza informację o kategorii incydentu według następującej klasyfikacji: niski, średni, wysoki, krytyczny.

  3. Zleceniodawca, po otrzymaniu informacji o incydencie, weryfikuje czy stanowi on incydent bezpieczeństwa / incydent cyberbezpieczeństwa w rozumieniu Umowy. W przypadku pozytywnej weryfikacji każda ze Stron niezwłocznie wszczyna procedurę obsługi zgłoszonego incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa. W przypadku negatywnej weryfikacji Strona niezwłocznie informuje o tym drugą Stronę. Strony zobowiązują się w takim przypadku do niezwłocznego wypracowania wspólnego stanowiska co do dalszego postępowania w sprawie zgłoszenia.

  4. Datapolis zobowiązuje się do podjęcia reakcji na incydent bezpieczeństwa / incydent cyberbezpieczeństwa z zachowaniem czasu reakcji odpowiedniego do wskazanej przez Zleceniodawcę klasyfikacji incydentu według poniższej zasady:

    1. NISKI - nie później niż miesiąc od zgłoszenia incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    2. ŚREDNI - nie później niż tydzień od zgłoszenia incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    3. WYSOKI - nie później niż 3 dni robocze od zgłoszenia incydentu bezpieczeństwa / incydentu cyberbezpieczeństwa,

    4. KRYTYCZNY - nie później niż 4 godziny robocze od zgłoszenia incydentu bezpieczeństwa, a poprawkę dostarczyć bez zbędnej zwłoki, o ile dostarczenie takiej poprawki leży w granicach kompetencji Datapolis oraz z zastrzeżeniem postanowień pkt.19.2).

Rozdział 6. Zapewnienie spełnienia wymagań bezpieczeństwa

    1. Na skutek zaistnienia incydentu bezpieczeństwa, incydentu cyberbezpieczeństwa lub w przypadku uzasadnionego podejrzenia, że sposób realizacji przedmiotu Umowy przez Datapolis nie jest zgodny wymaganiami bezpieczeństwa Zleceniodawcy określonymi w niniejszym dokumencie, Zleceniodawca może przeprowadzić dodatkową weryfikację w zakresie sposobu ich realizacji, w tym testy bezpieczeństwa: rozwiązań informatycznych i procedur bezpieczeństwa świadczonych w ramach Umowy usług. Weryfikacja taka może nastąpić w terminie uzgodnionym przez Kierowników Projektu po stronie Zleceniodawcy oraz Datapolis. Weryfikacja będzie prowadzona na koszt Zleceniodawcy przez wskazanych przez Zleceniodawcę przedstawicieli Zleceniodawcy. Zasady ewentualnego dostępu przedstawicieli Zleceniodawcy do Systemów informatycznych Datapolis muszą zostać odrębnie uzgodnione pomiędzy Kierownikami Projektu Stron.

  1. Niezależnie od testów Zleceniodawcy, o których mowa w ust. 1, Zleceniodawca w ramach Umowy może wymagać przeprowadzenia przez Datapolis testów bezpieczeństwa. O ile przeprowadzenie testów bezpieczeństwa, o których mowa powyżej, nie było przewidziane w Umowie / Zamówieniu, Datapolis otrzyma wynagrodzenie za wykonanie takich testów, które w braku odmiennych ustaleń Stron, obliczone będzie w oparciu o liczbę Osobodni i odpowiednie Stawki za Osobodzień.

  2. Datapolis w trakcie realizacji prac będzie wykorzystywać jako referencję najlepszych praktyk standard bezpieczeństwa OWASP ASVS w wersji 3.01 lub wyższej, co oznacza, że w ramach zakresu prac poszczególnych Zamówień, Datapolis będzie stosował istniejące (w ramach parametryzacji) w integrowanych komponentach rozwiązania cyberbezpieczeństwa.

  3. Błędy związane z bezpieczeństwem (dalej „Błędy Bezpieczeństwa”) definiujemy zgodnie z metodologią OWASP Risk Metodology (https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology). Błędy Bezpieczeństwa będą miały swoje poziomy zdefiniowane zgodnie z wymienioną wyżej metodologią OWASP Risk Methodology. Jako Wadę Bezpieczeństwa kwalifikowane są te przypadki, w których istniejące funkcjonalności bezpieczeństwa komponentów opisanych w punkcie 3 nie zostały wykorzystane przez Datapolis.

  4. Błędy związane z bezpieczeństwem kategorii KRYTYCZNE i kategorii WYSOKIE, zgłoszone w okresie obowiązywania Umowy Datapolis usunie bezpłatnie.

  5. Maksymalne terminy likwidacji Wad Bezpieczeństwa w zależności od ich kategorii są określone następująco:

    1. NISKIE - Odnaleziona podatność ma niewielki wpływ na bezpieczeństwo systemu i sama w sobie nie stanowi zagrożenia. Podatność taka może jedynie ułatwić wykorzystanie innych podatności lub też zwiększyć ich skutki. Do usunięcia nie później niż 12 miesięcy od daty zgłoszenia.

    2. ŚREDNIE - Odnaleziona podatność ma istotny wpływ na bezpieczeństwo systemu, ale sposób jej wykorzystania nie należy do prostych lub też wymaga działań ze strony innego użytkownika albo ofiary. Do usunięcia nie później niż 6 miesięcy od daty zgłoszenia.

    3. WYSOKIE - Odnaleziona podatność ma istotny wpływ na bezpieczeństwo systemu, a jej sposób wykorzystania nie należy do skomplikowanych - istnieją gotowe narzędzia pomagające wykorzystać daną podatność lub też podatność ta wynika z codziennej pracy w systemie. Do usunięcia nie później niż 2 tygodnie od daty zgłoszenia.

    4. KRYTYCZNE - Odnaleziona podatność ma bardzo istotny wpływ na bezpieczeństwo systemu, a jej sposób wykorzystania jest prosty - istnieją publicznie dostępne exploity, gotowe narzędzia pomagające ją wykorzystać lub też wynika z normalnej pracy użytkowników w systemie. Prace należy podjąć natychmiast, a poprawkę dostarczyć bez zbędnej zwłoki.

  6. Dostarczane przez Datapolis Oprogramowanie będzie spełniać wymóg rozliczalności.

  7. Przez rozliczalność rozumie się następujące cechy:

    1. możliwość określenia: KTO? CO? KIEDY? GDZIE? JAK? POZIOM?,

    2. logi rozliczalności muszą umożliwiać wyszukiwanie przy wykorzystaniu wyrażeń regularnych,

    3. implementacja logowania musi być zaimplementowana jako pojedynczy moduł po stronie serwera.

    4. logi nie mogą zawierać danych wrażliwych (np. hasła użytkownika, klucze kryptograficzne, inne dane chronione zdefiniowane w ustawach o ochronie danych osobowych).

    5. logi muszą być chronione przed nieautoryzowanym dostępem i modyfikacją.

  8. W przypadku, gdy stosowane przez Datapolis mechanizmy bezpieczeństwa zostaną podczas testów bezpieczeństwa ocenione jako nie w pełni zgodne z powszechnie obowiązującymi przepisami prawa lub niespełniające wymagań Zleceniodawcy, Datapolis zobowiązuje się do:

    1. poinformowania Zleceniodawcy o stopniu występujących niezgodności,

    2. wdrożenia ustalonych ze Zleceniodawcą mechanizmów kontrolnych, naprawczych lub mitygujących.

Zobowiązanie określone powyżej ma zastosowanie po uprzednim ustaleniu wynagrodzenia Datapolis za usunięcie nieprawidłowości wynikających z niedostosowania przez Zleceniodawcę wymaganych mechanizmów bezpieczeństwa do wymagań prawnych, które to wynagrodzenie - w braku odmiennych ustaleń Stron - obliczone będzie w oparciu o liczbę Osobodni i odpowiednie Stawki za Osobodzień.

  1. Każdy przypadek z wystąpienia zdarzenia, o którym mowa w ust. 3, powinien być przez Strony przeanalizowany i może powodować, w uzasadnionych przypadkach, zmianę w zakresie dokumentacji (Umowy) opisującej współpracę Datapolis ze Zleceniodawcą . W przypadku konieczności implementacji dodatkowych zabezpieczeń lub procedur bezpieczeństwa, Datapolis i Zleceniodawca ustalą która Strona jest odpowiedzialna za pokrycie niezbędnych nakładów.

Rozdział 7. Audyt bezpieczeństwa

  1. Po uprzednim uzgodnieniu pomiędzy Stronami terminu takich czynności, Datapolis i/lub Zleceniodawca zastrzega sobie prawo skorzystania z usług osoby trzeciej, w tym z usług podmiotów profesjonalnie świadczących usługi z zakresu konsultingu biznesowego, w celu kontroli jakości Produktów i sposobu realizacji Umowy, przy czym do wykonania takiego audytu Datapolis i/lub Zleceniodawca nie może zaangażować podmiotów konkurencyjnych wobec Strony. Powierzenie kontroli jakości, o której mowa w ust. 1, osobom trzecim wymaga uprzedniego podpisania trójstronnej umowy o zachowaniu poufności informacji pomiędzy Datapolis, Zleceniodawcą oraz wskazaną osobą trzecią.

  2. Audyt (w tym również audyt bezpieczeństwa) może być prowadzony wyłącznie w taki sposób, aby nie uniemożliwiało to terminowej realizacji prac projektowych przez Datapolis.

  3. Koszty związane z powyższymi usługami ponosi Zleceniodawca.

  4. Audytorowi posiadającemu pisemne upoważnienie ze strony Zleceniodawcy, Datapolis zobowiązany będzie udzielić wszelkich informacji, danych i wyjaśnień w żądanym zakresie dotyczącym Projektu oraz udostępnić i zaprezentować rezultaty prowadzonych prac, jak również zapewnić możliwość ich kontroli na zasadach uzgodnionych pomiędzy Datapolis i Zleceniodawcą.

  5. Przed uzyskaniem dostępu do Produktów prac Datapolis, które nie zostały jeszcze odebrane przez Zleceniodawcę, osoby takie zobowiązane będą do złożenia stosownych oświadczeń o zachowaniu w poufności informacji, w zakresie odpowiadającym postanowieniom Umowy.

  6. Datapolis nie będzie ponosił odpowiedzialności za negatywny wpływ procesu prowadzonej kontroli na Harmonogram.

  7. W przypadku powstania zaleceń poaudytowych Datapolis dołoży starań w celu zaimplementowania tych zaleceń w ramach wynagrodzenia określonego w §7 ust. 3 lub w danym Zamówieniu.



Warszawa, 14 grudnia 2020.

Prezes Zarządu Datapolis,

Paweł Bujak

Wykorzystujemy technologie takie jak pliki cookie aby dostarczyć umożliwić działanie witry, ulepszyć doświadczenie korzystania z niej oraz aby oferować spersonalizowane treści oraz promować oferty skierowane do potencjalnych klientów, zarówno na naszej stronie jak i na stronach innych firm. Aby to umożliwić, uprzejmie prosimy o zgodę na używanie tych technologii poprzez umieszczanie plików cookie przez nas i podmioty trzecie, zgodnie z naszą Polityką Prywatności.