Bezpieczeństwo danych

Polityka bezpieczeństwa

Spółka, jako wiodąca firma w branży IT, ma świadomość zasadniczej roli informacji i konieczności jej skutecznej ochrony. Zdajemy sobie sprawę z ryzyka i odpowiedzialności w zakresie cyberbezpieczeństwa i ochrony informacji, w tym prawnie chronionej oraz Danych osobowych.

W celu spełnienia wymogów biznesowych i ustawowych oraz dobrych praktyk i norm w zakresie bezpieczeństwa informacji, jak również zapewnienia skutecznego wsparcia kierownictwa Spółki w zakresie ochrony informacji Przetwarzanych przez Spółkę, ustanowiona została struktura zarządzania, odpowiedzialności i procesy dedykowane zapewnieniu bezpieczeństwa informacji.

Bezpieczeństwo Przetwarzanych przez Asseco informacji zapewniają zabezpieczenia organizacyjne i techniczne, które zostały pogrupowane w następujących domenach:

‍

Bezpieczeństwo informacji

Za poszczególne obszary bezpieczeństwa informacji w Spółce odpowiadają właściwi, powoływani przez Zarząd, pełnomocnicy:

• Pełnomocnik Zarządu ds. systemu zarządzania bezpieczeństwem informacji – odpowiada za utrzymanie systemu zarządzania bezpieczeństwem informacji oraz procesy certyfikacji;
• Pełnomocnik ds. ochrony informacji niejawnych – odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych;
• Pełnomocnik Zarządu ds. raportowania giełdowego i zarządzania informacjami poufnymi – odpowiada za zapewnienie przestrzegania w Spółce obowiązków giełdowych, w tym zasad ochrony i obiegu informacji poufnych;

Nadzór nad kwestiami bezpieczeństwa informacji realizuje Wiceprezes Zarządu nadzorująca Dział Zgodności i Zarządzania Procesami.

‍

Spółka dba również o zapewnienie kompetentnych i godnych zaufania pracowników i współpracowników do realizacji zadań. Bez względu na formę zatrudnienia, Spółka prowadzi działania w zakresie bezpieczeństwa osobowego:

• przed zatrudnieniem - zapewnia, że pracownicy oraz współpracownicy rozumieją swoje obowiązki, są odpowiedni do wyznaczonych im ról oraz że zredukowane jest ryzyko nadużyć; każdy pracownik i współpracownik przed rozpoczęciem pracy podpisuje stosowne oświadczenie o zachowaniu poufności,
• w trakcie zatrudnienia - zapewnia, że pracownicy oraz współpracownicy są świadomi zagrożeń i innych aspektów bezpieczeństwa informacji, swoich obowiązków i odpowiedzialności prawnej,
• przy zakończeniu lub zmianie zatrudnienia - zapewnia, że pracownicy i współpracownicy odchodzą ze Spółki lub zmieniają stanowisko w sposób kontrolowany.

Wszyscy pracownicy i współpracownicy są zapoznawani z zasadami ochrony informacji obowiązującymi w Asseco.

System zarządzania bezpieczeństwem informacji funkcjonuje w oparciu o wymagania normy ISO/IEC 27001:2013, a dodatkowo jest certyfikowany na zgodność z tą normą w wybranych obszarach biznesowych Spółki.

Deklaracja zgodności z normą ISO/IEC 27001:2013 jest dostępna TUTAJ.

W związku z utrzymywanym w 2022 r. stopniem alarmowych CHARLIE-CRP i BRAVO, w spółce uruchomiono dodatkowe procedury kontroli bezpieczeństwa fizycznego i monitorowania bezpieczeństwa infrastruktury teleinformatycznej.

‍

Cyberbezpieczeństwo

Cyberataki stanowią największe zagrożenie dla każdej organizacji funkcjonującej w świecie usług cyfrowych. Stając naprzeciw wyzwaniom związanym z nowoczesnymi zagrożeniami w Spółce funkcjonuje zespół Security Operation Center (SOC), zajmujący się kompleksowym monitorowaniem bezpieczeństwa infrastruktury w oparciu o ludzi, procesy i technologię.

Security Operation Center składa się z trzech linii:

• 1 linia SOC w trybie 24/7 monitoruje systemy IT i obsługuje zdarzenia oraz alerty zgodnie z ustalonymi scenariuszami (w tym eskaluje do 2 linii SOC),
• 2 linia SOC w trybie 24/7 zajmuje się analizą i obsługą przekazanych zdarzeń,
• 3 linia SOC wykonuje zadania związane z zaawansowanymi analizami cyberbezpieczeństwa.

W dniu 24 lutego 2022 r. powołano w Asseco sztab kryzysowy, w ramach którego koordynowane są prace związane z zabezpieczeniem Spółki na ryzyka związane z cyberatakami oraz rozszerzeniem się konfliktu zbrojnego Ukraina - Rosja na terytorium RP. Spotkania sztabu z Zarządem odbywają się cyklicznie co 1-2 tygodnie.

‍

Zgłaszanie incydentów bezpieczeństwa oraz Naruszeń ochrony Danych osobowych

Wprowadziliśmy procedurę zarządzania bezpieczeństwem informacji, w ramach której są obsługiwane Naruszenia ochrony Danych osobowych.

O Naruszeniu ochrony Danych osobowych mówimy wtedy, gdy przypadkowo lub niezgodnie z prawem zniszczymy, utracimy, zmodyfikujemy, ujawnimy lub udostępnimy Dane osobowe.

Wszelkie Naruszenia ochrony Danych osobowych można zgłosić:

• Poprzez dedykowany formularz dostępny pod adresem https://pl.asseco.com/zglaszanie-naruszen
• Jeżeli skorzystanie z formularza nie jest możliwe, skontaktuj się IOD, wysyłając zgłoszenie na adres [email protected]; bądź pocztą tradycyjną z dopiskiem „Inspektor Ochrony Danych” na adres Asseco Poland S.A., ul. Olchowa 14, 35-322 Rzeszów.

‍

Uwaga! Jeżeli zgłaszasz Naruszenie ochrony Danych za pośrednictwem formularza i jednocześnie zwracasz się z żądaniem realizacji Twoich praw jako podmiotu danych, pozostaw w formularzu dane umożliwiające nam kontakt z Tobą, bądź użyj jednego z pozostałych kanałów komunikacji. Brak podania danych kontaktowych uniemożliwi nam udzielenie odpowiedzi na wystosowane żądanie.

‍

Kiedy, kogo i w jakim terminie poinformujemy, gdy dojdzie do naruszenia?

Jeśli jest wysoce prawdopodobne, że naruszenie to będzie skutkowało naruszeniem praw i wolności osoby fizycznej