Polityka Bezpieczeństwa

Ostatnia aktualizacja: 20 lutego 2025

Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne wdrożone przez Jikijit w celu ochrony danych użytkowników, zapewnienia integralności systemu oraz ciągłości świadczonych usług. Stosujemy wielowarstwowe podejście do bezpieczeństwa, obejmujące infrastrukturę, procesy operacyjne oraz szkolenia personelu.

1. Zakres i cel

Polityka ma zastosowanie do wszystkich systemów, aplikacji, baz danych oraz zasobów sieciowych eksploatowanych w ramach platformy Jikijit. Jej celem jest:

• Ochrona poufności, integralności i dostępności danych przechowywanych i przetwarzanych w systemie.
• Zapobieganie nieautoryzowanemu dostępowi, utracie lub ujawnieniu informacji.
• Zapewnienie zgodności z ogólnie przyjętymi standardami bezpieczeństwa informacji.
• Ustanowienie ram odpowiedzialności dla personelu i podmiotów zewnętrznych.

2. Bezpieczeństwo infrastruktury

2.1 Środowisko serwerowe

Serwery i usługi infrastrukturalne są utrzymywane w centrach danych spełniających uznane standardy bezpieczeństwa fizycznego. Środowisko serwerowe podlega następującym zasadom:

• Fizyczny dostęp do serwerów jest ograniczony wyłącznie do upoważnionego personelu.
• Systemy zasilania awaryjnego i redundancja łącz zapewniają ciągłość działania.
• Regularne testy penetracyjne i audyty bezpieczeństwa są przeprowadzane przez niezależne podmioty.
• Aktualizacje oprogramowania systemowego i łatki bezpieczeństwa są wdrażane niezwłocznie po ich udostępnieniu.

2.2 Sieć i komunikacja

Cały ruch sieciowy między użytkownikami a platformą jest szyfrowany przy użyciu protokołu TLS w wersji 1.2 lub wyższej. Stosujemy następujące mechanizmy ochrony sieci:

• Zapory sieciowe (firewall) filtrujące ruch przychodzący i wychodzący zgodnie z zasadą najmniejszych uprawnień.
• Systemy wykrywania i zapobiegania włamaniom (IDS/IPS) monitorujące anomalie w ruchu sieciowym.
• Segmentacja sieci oddzielająca środowiska produkcyjne, testowe i administracyjne.
• Regularne skanowanie podatności infrastruktury sieciowej.

2.3 Ochrona przed atakami DDoS

Platforma korzysta z mechanizmów ograniczania skutków ataków typu Distributed Denial of Service (DDoS), w tym filtrowania ruchu na poziomie warstwy sieciowej i aplikacyjnej, w celu zapewnienia dostępności usług dla użytkowników.

3. Bezpieczeństwo danych

3.1 Szyfrowanie danych

Dane wrażliwe są chronione za pomocą szyfrowania zarówno podczas przesyłania, jak i w spoczynku:

• Dane przesyłane — szyfrowane przy użyciu TLS 1.2 lub TLS 1.3.
• Dane przechowywane — szyfrowane przy użyciu algorytmów symetrycznych klasy AES-256.
• Hasła użytkowników są przechowywane wyłącznie w postaci skrótów kryptograficznych z zastosowaniem mechanizmu solenia (salting).
• Klucze kryptograficzne są zarządzane i rotowane zgodnie z przyjętymi procedurami bezpieczeństwa.

3.2 Kopie zapasowe

Regularne kopie zapasowe danych są wykonywane i przechowywane w bezpiecznych lokalizacjach oddzielonych od środowiska produkcyjnego. Procedury tworzenia kopii zapasowych obejmują:

• Automatyczne kopie zapasowe wykonywane co najmniej raz na dobę.
• Szyfrowanie kopii zapasowych przed ich przechowaniem.
• Regularne testy odtwarzania danych z kopii zapasowych.
• Przechowywanie kopii przez zdefiniowany okres zgodny z potrzebami operacyjnymi.

3.3 Integralność danych

Wdrożone mechanizmy kontroli integralności danych obejmują weryfikację sum kontrolnych, monitorowanie nieautoryzowanych modyfikacji oraz dzienniki transakcji umożliwiające odtworzenie historii zmian w systemie.

4. Kontrola dostępu

4.1 Zasady zarządzania dostępem

Dostęp do zasobów systemu jest przyznawany zgodnie z zasadą najmniejszych uprawnień (principle of least privilege). Obowiązują następujące zasady:

• Każdy użytkownik i pracownik posiada indywidualne konto z unikalnym identyfikatorem.
• Dostęp administracyjny jest ograniczony do niezbędnego minimum i podlega dodatkowej weryfikacji.
• Uprawnienia są przeglądane i aktualizowane w regularnych odstępach czasu oraz po zmianie stanowiska lub zakończeniu współpracy.
• Konta nieaktywne są dezaktywowane zgodnie z ustaloną procedurą.

4.2 Uwierzytelnianie

System wymaga stosowania bezpiecznych metod uwierzytelniania. Zalecamy i wspieramy:

• Silne hasła spełniające wymagania dotyczące długości i złożoności.
• Uwierzytelnianie wieloskładnikowe (MFA) dla kont użytkowników i kont administracyjnych.
• Automatyczną blokadę konta po określonej liczbie nieudanych prób logowania.
• Automatyczne wygasanie sesji po okresie bezczynności.

4.3 Dostęp uprzywilejowany

Konta z podwyższonymi uprawnieniami podlegają szczególnemu nadzorowi. Wszelkie działania wykonywane na takich kontach są rejestrowane i podlegają regularnym przeglądom przez osoby odpowiedzialne za bezpieczeństwo systemu.

5. Bezpieczeństwo aplikacji

5.1 Cykl wytwarzania oprogramowania

Bezpieczeństwo jest integralną częścią cyklu wytwarzania oprogramowania stosowanego przez Jikijit:

• Przeglądy kodu pod kątem bezpieczeństwa są przeprowadzane jako element standardowego procesu wytwórczego.
• Automatyczne skanery podatności są uruchamiane w ramach potoków ciągłej integracji.
• Zależności zewnętrzne (biblioteki, pakiety) są regularnie aktualizowane i monitorowane pod kątem znanych podatności.
• Środowiska testowe i produkcyjne są od siebie ściśle oddzielone.

5.2 Ochrona przed typowymi zagrożeniami

Platforma jest zabezpieczona przed powszechnie występującymi klasami zagrożeń aplikacyjnych, w tym:

• Wstrzykiwanie kodu SQL i innych poleceń — poprzez stosowanie zapytań parametryzowanych i walidacji danych wejściowych.
• Ataki Cross-Site Scripting (XSS) — poprzez kodowanie danych wyjściowych i politykę bezpieczeństwa treści (CSP).
• Cross-Site Request Forgery (CSRF) — poprzez tokeny jednorazowe i weryfikację nagłówków żądań.
• Nieautoryzowany dostęp do zasobów — poprzez weryfikację uprawnień na poziomie serwera przy każdym żądaniu.

5.3 Zarządzanie podatnościami

Regularnie przeprowadzamy skanowanie i ocenę podatności infrastruktury oraz aplikacji. Zidentyfikowane podatności są klasyfikowane według poziomu ryzyka i usuwane zgodnie z ustalonymi priorytetami i harmonogramami.

6. Monitorowanie i rejestrowanie zdarzeń

Systemy Jikijit są wyposażone w mechanizmy ciągłego monitorowania i rejestrowania zdarzeń bezpieczeństwa:

• Dzienniki systemowe (logi) są zbierane, przechowywane i chronione przed modyfikacją.
• Zdarzenia związane z uwierzytelnianiem, dostępem do danych i zmianami konfiguracji są rejestrowane.
• Zautomatyzowane alerty powiadamiają personel bezpieczeństwa o anomaliach i potencjalnych incydentach.
• Dzienniki są przechowywane przez okres umożliwiający przeprowadzenie analizy po wystąpieniu incydentu.

7. Zarządzanie incydentami bezpieczeństwa

7.1 Procedura reagowania na incydenty

Jikijit posiada udokumentowaną procedurę reagowania na incydenty bezpieczeństwa, obejmującą następujące etapy:

1. Wykrycie i identyfikacja — rozpoznanie i potwierdzenie wystąpienia incydentu.
2. Ograniczenie skutków — podjęcie natychmiastowych działań minimalizujących zasięg incydentu.
3. Analiza i dochodzenie — ustalenie przyczyny, zakresu i skutków incydentu.
4. Eliminacja zagrożenia — usunięcie przyczyny incydentu i przywrócenie prawidłowego stanu systemu.
5. Odtworzenie — przywrócenie normalnego funkcjonowania usług.
6. Analiza poincydentalna — wyciągnięcie wniosków i wdrożenie usprawnień zapobiegawczych.

7.2 Powiadamianie o naruszeniach

W przypadku stwierdzenia naruszenia bezpieczeństwa danych, które może wiązać się z ryzykiem dla użytkowników, podejmiemy niezwłoczne działania powiadamiające zgodnie z obowiązującymi procedurami. Powiadomienie będzie zawierać opis charakteru naruszenia, potencjalne skutki oraz podjęte środki zaradcze.

8. Bezpieczeństwo fizyczne

Fizyczny dostęp do urządzeń i infrastruktury jest kontrolowany i ograniczony. Stosowane środki obejmują:

• Kontrolę dostępu do pomieszczeń serwerowni i stref technicznych.
• Monitoring wizyjny w kluczowych lokalizacjach infrastruktury.
• Procedury bezpiecznego niszczenia nośników danych wycofanych z eksploatacji.
• Politykę czystego biurka i czystego ekranu dla pracowników.

9. Bezpieczeństwo pracowników i podmiotów zewnętrznych

9.1 Personel wewnętrzny

Pracownicy Jikijit są poddawani weryfikacji przed uzyskaniem dostępu do systemów i danych. Obowiązują następujące wymagania:

• Szkolenia z zakresu bezpieczeństwa informacji przeprowadzane podczas wdrożenia i cyklicznie w trakcie zatrudnienia.
• Podpisywanie zobowiązań do zachowania poufności jako warunek nawiązania współpracy.
• Niezwłoczne odebranie dostępów w przypadku zakończenia zatrudnienia lub współpracy.

9.2 Podmioty zewnętrzne i dostawcy

Zewnętrzni dostawcy usług i partnerzy, którym powierzamy przetwarzanie danych lub dostęp do systemów, są zobowiązani do przestrzegania standardów bezpieczeństwa co najmniej równoważnych niniejszej polityce. Wymagamy od nich:

• Przyjęcia zobowiązań umownych dotyczących bezpieczeństwa i ochrony danych.
• Niezwłocznego powiadamiania o incydentach bezpieczeństwa mogących mieć wpływ na nasze systemy lub dane.
• Umożliwienia przeprowadzenia audytów bezpieczeństwa na uzasadnione żądanie.

10. Ciągłość działania i odtwarzanie po awarii

Jikijit posiada plany ciągłości działania i odtwarzania po awarii, które są regularnie testowane i aktualizowane. Obejmują one:

• Zdefiniowane cele czasu odtworzenia (RTO) i cele punktu odtworzenia (RPO).
• Procedury przełączania na systemy zapasowe w przypadku awarii infrastruktury głównej.
• Regularne ćwiczenia symulujące scenariusze awarii i weryfikujące skuteczność planów.
• Dokumentację procedur odtworzeniowych dostępną dla upoważnionego personelu.

11. Zgodność i audyty

Jikijit regularnie weryfikuje skuteczność wdrożonych środków bezpieczeństwa poprzez:

• Wewnętrzne przeglądy i audyty bezpieczeństwa przeprowadzane co najmniej raz w roku.
• Niezależne testy penetracyjne zlecane zewnętrznym specjalistom.
• Monitorowanie zgodności z niniejszą polityką na bieżąco.
• Aktualizację polityki i procedur bezpieczeństwa w odpowiedzi na zmiany w środowisku zagrożeń.

12. Zarządzanie ryzykiem

Prowadzimy systematyczną ocenę ryzyk związanych z bezpieczeństwem informacji. Proces zarządzania ryzykiem obejmuje identyfikację zasobów i zagrożeń, ocenę prawdopodobieństwa i skutków potencjalnych incydentów oraz wdrożenie i monitorowanie środków ograniczających ryzyko do akceptowalnego poziomu. Wyniki oceny ryzyka są podstawą priorytetyzacji działań bezpieczeństwa.

13. Aktualizacje polityki

Niniejsza Polityka Bezpieczeństwa jest przeglądana i aktualizowana co najmniej raz w roku lub w przypadku istotnych zmian w środowisku technicznym, operacyjnym lub w krajobrazie zagrożeń. O wszelkich znaczących zmianach użytkownicy zostaną poinformowani za pośrednictwem platformy lub pocztą elektroniczną.

14. Kontakt w sprawach bezpieczeństwa

Wszelkie pytania dotyczące niniejszej Polityki Bezpieczeństwa, a także zgłoszenia podejrzanych zdarzeń lub potencjalnych podatności prosimy kierować do nas za pośrednictwem poniższych danych kontaktowych:

Jikijit
Biskupia 10, 31-144 Kraków
E-mail: help@jikijit.com
Telefon: +48 33 810 03 57

Zachęcamy do odpowiedzialnego ujawniania informacji o potencjalnych lukach bezpieczeństwa. Zgłoszenia dotyczące podatności są traktowane priorytetowo i weryfikowane niezwłocznie przez nasz zespół odpowiedzialny za bezpieczeństwo.