Skontaktuj się
polityka bezpieczeństwa, cyberbezpieczeństwo i zgłaszanie incydentów

Polityka bezpieczeństwa

Spółka, jako wiodąca firma w branży IT, ma świadomość zasadniczej roli informacji i konieczności jej skutecznej ochrony. Zdajemy sobie sprawę z ryzyka i odpowiedzialności w zakresie cyberbezpieczeństwa i ochrony informacji, w tym prawnie chronionej oraz Danych osobowych.

W celu spełnienia wymogów biznesowych i ustawowych oraz dobrych praktyk i norm w zakresie bezpieczeństwa informacji, jak również zapewnienia skutecznego wsparcia kierownictwa Spółki w zakresie ochrony informacji Przetwarzanych przez Spółkę, ustanowiona została struktura zarządzania, odpowiedzialności i procesy dedykowane zapewnieniu bezpieczeństwa informacji.

Bezpieczeństwo Przetwarzanych przez Asseco informacji zapewniają zabezpieczenia organizacyjne itechniczne, które zostały pogrupowane w następujących domenach:

Polityki bezpieczeństwa informacji

Zdefiniowaliśmy Politykę Bezpieczeństwa Informacji i Ciągłości Działania. Nasz Zarząd określił cele bezpieczeństwa informacji oraz ciągłości działania, wyraził wsparcie i zaangażowanie dla ochrony informacji przez nas Przetwarzanych oraz deklaruje wypełnienie zobowiązań prawnych i biznesowych w zakresie bezpieczeństwa informacji.

Organizacja bezpieczeństwa informacji

Powołaliśmy wewnętrzne struktury organizacyjne odpowiedzialne za nadzór nad skutecznym wdrożeniem Polityki bezpieczeństwa informacji oraz ciągłe doskonalenie procesów bezpieczeństwa. Nasz Zarząd powołał pełnomocnika Zarządu ds. SZBI odpowiedzialnego za doskonalenie i wdrażanie zasad bezpieczeństwa informacji i ciągłości działania zgodnych z wyznaczonymi przez Zarząd celami bezpieczeństwa informacji.

Bezpieczeństwo zasobów ludzkich

W ramach przeprowadzanych kampanii szkolimy się z zasad bezpieczeństwa informacji. Zobowiązujemy się do zachowania w poufności wszelkich informacji, danych prawnie chronionych w tym stanowiących tajemnicę przedsiębiorstwa.

Zarządzanie aktywami

Prowadzimy rejestr aktywów informacyjnych. Opracowaliśmy i wdrożyliśmy wewnętrzne standardy bezpieczeństwa wymagające stosowania zabezpieczeń adekwatnych do stopnia krytyczności i wrażliwości aktywów informacyjnych oraz zidentyfikowanych zagrożeń.

Kontrola dostępu

Stosujemy politykę kontroli dostępu do informacji. Przydzielanie uprawnień do informacji oraz ich modyfikacje realizowane są w oparciu o zasady minimalnych uprawnień i wiedzy koniecznej na postawie udokumentowanych wniosków dostępowych. Konta i uprawnienia poddawane są cyklicznym przeglądom. Uprawnienia do informacji przyznawane są wyłącznie w ściśle zdefiniowanym celu.

Kryptografia

Stosujemy zabezpieczenia kryptograficzne systemów informatycznych, stacji roboczych, urządzeń mobilnych, nośników zewnętrznych, poczty elektronicznej, sieci informatycznych adekwatne do wrażliwości Przetwarzanych informacji oraz formy Przetwarzania informacji.

Bezpieczeństwo fizyczne i środowiskowe

Zapewniamy wysoki poziom bezpieczeństwa fizycznego i środowiskowego w celu zapewnienia bezpieczeństwa informacji przed dostępem do aktywów informacyjnych osób niepowołanych oraz zapobieganiu ich uszkodzeniu lub nieuprawnionej modyfikacji informacji.

Bezpieczna eksploatacja

Dbamy o stosowanie zabezpieczeń i zasad eksploatacji systemów informatycznych opartych na najlepszych praktykach w zakresie bezpieczeństwa informacji.

Wyznaczone standardy bezpieczeństwa Spółki określają zasady m.in. w zakresie:

ochrony przed złośliwym oprogramowaniem,
zarządzania infrastrukturą,
zarządzania dostępami i uprawnieniami Użytkowników i administratorów,
polityki haseł,
zarządzania zmianą w środowisku teleinformatycznym,
tworzenia i zarządzania kopii zapasowych i kopii archiwalnych,
rejestrowania i monitorowanie zdarzeń;
szyfrowania;
zarządzania dostępnością, wydajnością i pojemnością,
komunikacji z systemem informatycznym,
zarządzania podatnościami i zdarzeniami bezpieczeństwa.

Bezpieczeństwo komunikacji

W celu zapewnienia bezpieczeństwa informacji przesyłanych w sieciach informatycznych oraz ochrony usług sieciowych zdefiniowaliśmy wewnętrzne zasady konfiguracji i zabezpieczenia sieci LAN i WAN wchodzących w skład sieci korporacyjnej oraz zasady dostępu do sieci korporacyjnej oraz użytkowania Internetu.

Pozyskiwanie, rozwój i utrzymanie systemów

Realizujemy procesy związane z pozyskaniem, rozwojem i utrzymaniem systemów informatycznych w sposób nadzorowany, gwarantujący utrzymanie odpowiedniego poziomu bezpieczeństwa informacji. Składa się na to m.in.:

uwzględnianie odpowiednich wymogów bezpieczeństwa dla nowych lub modyfikowanych systemów informatycznych,
wielopoziomowe testowanie systemu informatycznego i wprowadzanych modyfikacji,
ochrona poufności, autentyczności i integralności informacji poprzez mechanizmy systemowe,
oddzielenie środowisk rozwojowych i testowych od produkcyjnych,
nadzorowanie dostępu do kodów źródłowych oprogramowania,
wdrożenie procedur zarządzania w tym kontroli zmian\aktualizacji oprogramowania,
stosowanie zasad „privacy by design” i „privacy by default”.

Relacje z dostawcami

Zasady nawiązywania współpracy Spółki z dostawcami określiliśmy w ramach wewnętrznych procesów zakupowych. Poziom jakości i bezpieczeństwa dostarczanych usług stale monitorujemy i oceniany. Zabezpieczenia informacji dobieramy indywidulanie w trakcie wyboru dostawcy, w celu zabezpieczenia ryzyk związanych z dostępem podmiotu zewnętrznego do informacji Spółki. Podczas definiowania wymagań bezpieczeństwa bierzemy pod uwagę m.in. wymagania wynikające z umów podpisanych z Klientami oraz wymogi prawne.

Zarządzanie incydentami związanymi z bezpieczeństwem informacji

W Spółce funkcjonuje proces zarządzania incydentami oparty na najlepszych praktykach w tym zakresie. Każdy incydent szczegółowo analizujemy pod kątem przyczyn jego wystąpienia i w ramach jego obsługi realizujemy działania naprawcze i doskonalące mając na celu minimalizację prawdopodobieństwa wystąpienia lub skutków przeszłych incydentów.

Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania

W Spółce funkcjonuje System Zarządzania Ciągłością Działania, uregulowany przez "Politykę ciągłości działania", regulamin „Zarządzanie ciągłością działania” oraz dokumentację podrzędną. Sposób funkcjonowania w sytuacji kryzysowej oraz zasady powrotu do normalnego trybu działania opisują funkcjonujące plany ciągłości działania oraz plany awaryjne. Wymagania w zakresie bezpieczeństwa informacji i ciągłości zarządzania bezpieczeństwem informacji w sytuacjach kryzysowych uwzględniamy w trakcie budowy planów ciągłości działania.

Zgodność

Wdrożyliśmy proces zapewnienia zgodności oraz zarządzania ryzykiem braku zgodności, w ramach którego odbywa się zarządzanie zobowiązaniami prawnymi, regulacyjnymi oraz kontraktowymi związanymi m.in. z bezpieczeństwem informacji.

Proces zapewnienia zgodności oraz zarządzania ryzykiem braku zgodności określają "Polityka zgodności" oraz regulamin "Zarządzanie ryzykiem braku zgodności".

Przeglądy bezpieczeństwa informacji

Systemu Zarządzania Bezpieczeństwem Informacji regularnie testujemy i przeglądamy w ramach audytów wewnętrznych i zewnętrznych, sprawdzeń zgodności realizowanych przez Inspektora Ochrony Danych, testów zgodności przeprowadzanych przez pełnomocnika Zarządu ds. SZBI.

Bezpieczeństwo informacji

Za poszczególne obszary bezpieczeństwa informacji w Spółce odpowiadają właściwi, powoływani przez Zarząd, pełnomocnicy:

Pełnomocnik Zarządu ds. systemu zarządzania bezpieczeństwem informacji – odpowiada za utrzymanie systemu zarządzania bezpieczeństwem informacji oraz procesy certyfikacji;
Pełnomocnik ds. ochrony informacji niejawnych – odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych;
Pełnomocnik Zarządu ds. raportowania giełdowego i zarządzania informacjami poufnymi – odpowiada za zapewnienie przestrzegania w Spółce obowiązków giełdowych, w tym zasad ochrony i obiegu informacji poufnych;

Nadzór nad kwestiami bezpieczeństwa informacji realizuje Wiceprezes Zarządu nadzorująca Dział Zgodności i Zarządzania Procesami.

PODEJŚCIE DO BEZPIECZEŃSTWA INFORMACJI OPIERA SIĘ
NA TRZECH REGUŁACH:

zapewnieniu, że informacja nie jest udostępniana ani ujawniona nieautoryzowanym osobom, podmiotom lub procesom,

zapewnieniu, że osoby, podmioty, procesy upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy istnieje taka potrzeba,

zapewnieniu dokładności i kompletności informacji oraz metod jej Przetwarzania.

Spółka dba również o zapewnienie kompetentnych i godnych zaufania pracowników i współpracowników do realizacji zadań. Bez względu na formę zatrudnienia, Spółka prowadzi działania w zakresie bezpieczeństwa osobowego:

przed zatrudnieniem - zapewnia, że pracownicy oraz współpracownicy rozumieją swoje obowiązki, są odpowiedni do wyznaczonych im ról oraz że zredukowane jest ryzyko nadużyć; każdy pracownik i współpracownik przed rozpoczęciem pracy podpisuje stosowne oświadczenie o zachowaniu poufności,
w trakcie zatrudnienia - zapewnia, że pracownicy oraz współpracownicy są świadomi zagrożeń i innych aspektów bezpieczeństwa informacji, swoich obowiązków i odpowiedzialności prawnej,
przy zakończeniu lub zmianie zatrudnienia - zapewnia, że pracownicy i współpracownicy odchodzą ze Spółki lub zmieniają stanowisko w sposób kontrolowany.

Wszyscy pracownicy i współpracownicy są zapoznawani z zasadami ochrony informacji obowiązującymi w Asseco.

System zarządzania bezpieczeństwem informacji funkcjonuje w oparciu o wymagania normy ISO/IEC 27001:2013, a dodatkowo jest certyfikowany na zgodność z tą normą w wybranych obszarach biznesowych Spółki.

Deklaracja zgodności z normą ISO/IEC 27001:2013 jest dostępna TUTAJ.

W związku z utrzymywanym w 2022 r. stopniem alarmowych CHARLIE-CRP i BRAVO, w spółce uruchomiono dodatkowe procedury kontroli bezpieczeństwa fizycznego i monitorowania bezpieczeństwa infrastruktury teleinformatycznej.

Cyberbezpieczeństwo

Cyberataki stanowią największe zagrożenie dla każdej organizacji funkcjonującej w świecie usług cyfrowych. Stając naprzeciw wyzwaniom związanym z nowoczesnymi zagrożeniami w Spółce funkcjonuje zespół Security Operation Center (SOC), zajmujący się kompleksowym monitorowaniem bezpieczeństwa infrastruktury w oparciu o ludzi, procesy i technologię.

Security Operation Center składa się z trzech linii:

1 linia SOC w trybie 24/7 monitoruje systemy IT i obsługuje zdarzenia oraz alerty zgodnie z ustalonymi scenariuszami (w tym eskaluje do 2 linii SOC),
2 linia SOC w trybie 24/7 zajmuje się analizą i obsługą przekazanych zdarzeń,
3 linia SOC wykonuje zadania związane z zaawansowanymi analizami cyberbezpieczeństwa.

W dniu 24 lutego 2022 r. powołano w Asseco sztab kryzysowy, w ramach którego koordynowane są prace związane z zabezpieczeniem Spółki na ryzyka związane z cyberatakami oraz rozszerzeniem się konfliktu zbrojnego Ukraina - Rosja na terytorium RP. Spotkania sztabu z Zarządem odbywają się cyklicznie co 1-2 tygodnie.

Zgłaszanie incydentów bezpieczeństwa oraz Naruszeń ochrony Danych osobowych

Wprowadziliśmy procedurę zarządzania bezpieczeństwem informacji, w ramach której są obsługiwane Naruszenia ochrony Danych osobowych.

O Naruszeniu ochrony Danych osobowych mówimy wtedy, gdy przypadkowo lub niezgodnie z prawem zniszczymy, utracimy, zmodyfikujemy, ujawnimy lub udostępnimy Dane osobowe.

Wszelkie Naruszenia ochrony Danych osobowych można zgłosić:

Poprzez dedykowany formularz dostępny pod adresem https://pl.asseco.com/zglaszanie-naruszen
Jeżeli skorzystanie z formularza nie jest możliwe, skontaktuj się IOD, wysyłając zgłoszenie na adres [email protected]; bądź pocztą tradycyjną z dopiskiem „Inspektor Ochrony Danych” na adres Asseco Poland S.A., ul. Olchowa 14, 35-322 Rzeszów.

Uwaga! Jeżeli zgłaszasz Naruszenie ochrony Danych za pośrednictwem formularza i jednocześnie zwracasz się z żądaniem realizacji Twoich praw jako podmiotu danych, pozostaw w formularzu dane umożliwiające nam kontakt z Tobą, bądź użyj jednego z pozostałych kanałów komunikacji. Brak podania danych kontaktowych uniemożliwi nam udzielenie odpowiedzi na wystosowane żądanie.

Kiedy, kogo i w jakim terminie poinformujemy, gdy dojdzie do naruszenia?

Jeśli jest wysoce prawdopodobne, że naruszenie to będzie skutkowało naruszeniem praw i wolności osoby fizycznej

Organ nadzorczy

W ciągu 72 godzin od momentu stwierdzenia naruszenia

Osobę, której dane dotyczą

Niezwłocznie