Polityka Bezpieczeństwa

Focusova Academy przywiązuje najwyższą wagę do bezpieczeństwa danych i systemów. Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne wdrożone w celu ochrony informacji przetwarzanych za pośrednictwem naszych usług.

Niniejsza polityka ma zastosowanie do wszystkich systemów, aplikacji, danych oraz infrastruktury technicznej wykorzystywanej przez Focusova Academy w związku ze świadczonymi usługami. Obejmuje ona dane użytkowników, dane operacyjne oraz wszelkie informacje przetwarzane w ramach platformy.

Wszelka komunikacja pomiędzy użytkownikiem a naszą platformą odbywa się z wykorzystaniem szyfrowanego połączenia. Stosujemy protokół TLS (Transport Layer Security) w aktualnie rekomendowanej wersji, zapewniający poufność i integralność przesyłanych danych. Połączenia nieszyfrowane są automatycznie przekierowywane do wersji bezpiecznej.

Dane przechowywane w naszych systemach są szyfrowane przy użyciu uznanych standardów kryptograficznych. Dostęp do baz danych jest ograniczony wyłącznie do autoryzowanych systemów i personelu posiadającego wymagane uprawnienia. Kopie zapasowe danych są wykonywane regularnie i przechowywane w sposób zapewniający ich integralność oraz możliwość odtworzenia.

Każdy użytkownik posiada indywidualne konto zabezpieczone hasłem. Wymagamy stosowania haseł spełniających minimalne wymagania złożoności. Zalecamy korzystanie z unikalnych haseł oraz regularną ich zmianę. Tam, gdzie to możliwe, udostępniamy mechanizmy uwierzytelniania wieloskładnikowego.

Dostęp pracowników i współpracowników do systemów i danych jest przydzielany zgodnie z zasadą minimalnych uprawnień — każda osoba otrzymuje dostęp wyłącznie do zasobów niezbędnych do realizacji powierzonych jej zadań. Uprawnienia są regularnie weryfikowane i aktualizowane.

Dostęp do systemów administracyjnych i infrastruktury wymaga uwierzytelniania wieloskładnikowego. Sesje administracyjne są monitorowane i rejestrowane. Nieużywane konta są dezaktywowane zgodnie z określoną procedurą.

Nasza infrastruktura techniczna jest utrzymywana w certyfikowanych środowiskach chmurowych lub centrach danych spełniających uznane standardy bezpieczeństwa fizycznego i logicznego. Stosujemy segmentację sieci, zapory sieciowe oraz systemy wykrywania i zapobiegania włamaniom. Dostęp do infrastruktury sieciowej jest ściśle kontrolowany i ograniczony.

Nasze systemy są objęte ciągłym monitorowaniem w celu wykrywania anomalii, nieautoryzowanych działań oraz potencjalnych zagrożeń bezpieczeństwa. Logi systemowe są przechowywane przez określony czas i poddawane regularnej analizie. W przypadku wykrycia podejrzanej aktywności uruchamiane są procedury reagowania na incydenty.

Regularnie przeprowadzamy oceny bezpieczeństwa, przeglądy kodu oraz testy penetracyjne. Oprogramowanie i biblioteki stosowane w naszych systemach są aktualizowane zgodnie z harmonogramem zarządzania łatkami bezpieczeństwa. Krytyczne aktualizacje są wdrażane priorytetowo, niezwłocznie po ich udostępnieniu przez producentów.

Posiadamy udokumentowaną procedurę reagowania na incydenty bezpieczeństwa. W przypadku wykrycia naruszenia bezpieczeństwa danych podejmujemy natychmiastowe działania ograniczające skutki zdarzenia, przeprowadzamy dochodzenie w celu ustalenia jego przyczyn i zakresu, a następnie wdrażamy niezbędne działania naprawcze.

O incydentach mogących mieć wpływ na bezpieczeństwo danych użytkowników informujemy zainteresowane strony w sposób i terminie wymaganym przez obowiązujące przepisy. Wszelkie zgłoszenia dotyczące bezpieczeństwa prosimy kierować na adres: [email protected]

Dostęp do pomieszczeń, w których przechowywany jest sprzęt przetwarzający dane, jest kontrolowany i ograniczony wyłącznie do upoważnionych osób. Stosowane są odpowiednie mechanizmy ochrony fizycznej, w tym kontrola wejść, monitoring oraz zabezpieczenia przed nieautoryzowanym dostępem do urządzeń.

Wszyscy pracownicy i współpracownicy mający dostęp do danych i systemów są zobowiązani do przestrzegania niniejszej polityki oraz wewnętrznych procedur bezpieczeństwa. Przeprowadzamy regularne szkolenia z zakresu bezpieczeństwa informacji i świadomości cyberzagrożeń. Naruszenia polityki bezpieczeństwa podlegają stosownym sankcjom dyscyplinarnym.

Przed nawiązaniem współpracy z zewnętrznymi dostawcami przetwarzającymi dane w naszym imieniu weryfikujemy ich standardy bezpieczeństwa. Zobowiązania dotyczące ochrony danych i bezpieczeństwa są uwzględniane w umowach z podmiotami trzecimi. Regularnie weryfikujemy zgodność dostawców z przyjętymi wymaganiami.

Dane są przechowywane przez okresy niezbędne do realizacji celów, dla których zostały zebrane, lub przez okres wymagany przez obowiązujące przepisy. Po upływie okresu retencji dane są trwale i bezpiecznie usuwane lub anonimizowane zgodnie z przyjętymi procedurami.

Posiadamy plany zapewnienia ciągłości działania i odtwarzania po awarii. Regularnie testujemy procedury przywracania danych z kopii zapasowych. Nasze systemy są projektowane z uwzględnieniem redundancji kluczowych komponentów w celu minimalizacji ryzyka przerw w świadczeniu usług.

Niniejsza Polityka Bezpieczeństwa może być aktualizowana w miarę rozwoju naszych systemów, zmian w przepisach prawa lub ewolucji zagrożeń bezpieczeństwa. O istotnych zmianach będziemy informować użytkowników za pośrednictwem platformy lub poczty elektronicznej. Zachęcamy do regularnego zapoznawania się z aktualną treścią niniejszego dokumentu.

W przypadku pytań dotyczących bezpieczeństwa, chęci zgłoszenia podatności lub incydentu prosimy o kontakt: