Polityka bezpieczeństwa na wFirma.pl jest dla nas priorytetem. Skupiliśmy uwagę by dostosować zasady działania naszego serwisu do wszystkich wymogów jakie nakłada na system informatyczny ustawa o ochronie danych osobowych. Wdrożone procedury przy obsłudze serwisu, jak i przy pracy nad jego rozwojem, niwelują zagrożenia związane działaniem oprogramowania jak i możliwość nieuprawnionego dostępu do zgromadzonych danych.
Warunki świadczenia usług - umowa
Warunki świadczenia usług przez serwis wFirma.pl określone są w Regulaminie świadczenia usług, dostępnym pod adresem strony internetowej: https://pomoc.wfirma.pl/-regulamin-swiadczenia-uslug.
Jeden z załączników do Regulaminu stanowi ponadto Umowa powierzenia przetwarzania danych osobowych. Zawarcie tej umowy następuje z chwilą akceptacji Regulaminu. Jej treść dostępna jest pod adresem strony internetowej: https://pomoc.wfirma.pl/-umowa-powierzenia-przetwarzania-danych-osobowych-zalacznik-do-regulaminu
Umowa powierzenia przetwarzania danych możliwa jest do pobrania w formie papierowej z poziomu systemu, poprzez wybór: USTAWIENIA » BEZPIECZEŃSTWO » UMOWA POWIERZENIA » POBIERZ WYDRUK UMOWY i również można ją przedstawić do wglądu Klientowi.
Regulamin jak i umowa powierzenia zobowiązują nas jako dostawców oprogramowania do wypełnienia treści w nich zawartych w tym zapewnienia ciągłości działania i bezpieczeństwa danych.
Działania w zakresie standardów bezpieczeństwa
Poniżej zamieszczamy zestawienie naszych faktycznych działań i realizowanych przez nas praktyk rekomendowanych na gruncie obecnie obowiązujących standardów bezpieczeństwa systemów online, które wyznaczane są m.in. przez Narodowe Standardy Bezpieczeństwa, OWASP ASVS (Application Security Verification Standard), SOC 2, ISO 27001 oraz RODO (GDPR – Rozporządzenie o Ochronie Danych Osobowych):
Bezpieczna transmisja i szyfrowanie danych (ASVS V10, ISO 27001)
wskazane serwery DNS nie służą do obsługi naszego serwisu a jedynie samej domeny - nie zapisują się na nim żadne dane klientów,
SSL-e są na bieżąco odnawiane i weryfikowane pod kątem aktualności i bezpieczeństwa,
wszystkie dane przesyłane między użytkownikiem a serwisem wfirma.pl są zabezpieczone protokołem SSL EV (Extended Validation), co zapewnia poufność i integralność transmisji - czyli zabezpieczenia takie jakich używa się gdy korzystamy z banku,
wszystkie połączenia z naszym API oraz panelem webowym są obligatoryjnie szyfrowane za pomocą protokołu HTTPS, aby zapewnić bezpieczeństwo transmisji danych i chronić je przed nieautoryzowanym dostępem,
wszystkie klucze integracyjne są przechowywane w formie zaszyfrowanej, co zapewnia ich poufność oraz chroni przed nieautoryzowanym dostępem,
korzystamy wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje odpowiedniej ochrony zebranych przez nas danych: m.in. https://www.iq.pl/certyfikaty;
Kopie zapasowe w wielu lokalizacjach (ISO 27001, SOC 2, standardy RODO)
centra serwerowe (korzystamy równolegle z więcej niż trzech niezależnych od siebie, w różnych lokalizacjach i technologiach), zlokalizowane są one - w zależności od przeznaczenia, zarówno na terenie kraju, jak i na terenie innych Państw Członkowskich UE,
IQ ze swojego poziomu również tworzy backupy w odrębnych lokalizacjach: https://www.iq.pl/iq-backup - dotyczy to również innych dostawców,
nie polegamy wyłącznie na kopiach tworzonych przez dostawców w tym IQ - model saas i nasza odpowiedzialność za zachowanie ciągłości działania serwisu zobowiązuje nas do utrzymywania wysokiej jakości bezpieczeństwa stąd korzystamy zarówno z replikacji danych jak również z backupów danych tworzonych odrębnie od głównego hostingodawcy,
na bieżąco monitorujemy nasze systemy informatyczne, co jakiś czas odtwarzamy backupy by określić ich użyteczność i stosujemy procedury wewnętrzne bezpieczeństwa;
Silne uwierzytelnienie klienta - SCA (Strong Customer Authentication) i kontrola dostępu
udostępniamy możliwość dwuetapowego logowania zwiększającą bezpieczeństwo poprzez używanie dwóch składników podczas logowania do czego używania namawiamy wszystkich naszych Użytkowników,
logi i historia aktywności użytkowników;
Aktualizacje kodu i PHP (WASP ASVS i ISO 27001)
korzystanie z aktualnie wspieranej wersji PHP - stała rutynowa aktualizacja kodu,
automatyczne aktualizacje,
używamy oprogramowania antywirusowego dla plików importowanych do systemu,
wdrożyliśmy procedurę na wypadek wystąpienia naruszenia ochrony danych osobowych;
Regularne testy penetracyjne
stałe wewnętrzne testowanie systemu,
co roku przeprowadzamy zewnętrzne testy bezpieczeństwa przeprowadzane przez najwyżej oceniane w Polsce firmy dostarczające tego typu usługi - ostatnie pełne testy bezpieczeństwa z lipca 2024 roku, aby chronić nasze systemy przed potencjalnymi zagrożeniami.
Standardy bezpieczeństwa - słownik
OWASP ASVS (Application Security Verification Standard) – szczegółowy standard bezpieczeństwa aplikacji webowych, który obejmuje m.in. aktualizacje, backupy, szyfrowanie, zarządzanie incydentami i dostępnością;
SOC 2 – audytowalny standard dla firm przetwarzających dane w chmurze, skupiający się na pięciu kryteriach: bezpieczeństwo, dostępność, integralność przetwarzania, poufność i prywatność;
ISO 27001 – międzynarodowa norma zarządzania bezpieczeństwem informacji, obejmująca m.in. zarządzanie ryzykiem, backupy, disaster recovery, aktualizacje i szyfrowanie;
RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych;
Narodowe Standardy Bezpieczeństwa - to zbiór rekomendacji standaryzujących rozwiązania zabezpieczające w sieciach i systemach informacyjnych wykorzystywanych przez podmioty chcące efektywnie zarządzać systemami bezpieczeństwa informacji. NSC zostały opracowane na podstawie standardów amerykańskiego National Institute of Science and Technology (NIST) oraz przyporządkowane obowiązującym w polskim systemie prawnym normom stosowanym w zarządzaniu bezpieczeństwem informacji przez podmioty krajowego systemu cyberbezpieczeństwa, w tym podmioty realizujące zadania publiczne, operatorów usług kluczowych i dostawców usług cyfrowych.
Zabezpieczenia przed nieupoważnionym dostępem
Dane przechowywane są w dwóch odległych od siebie serwerowniach (data center), u dostawców usług hostingowych legitymujących się najwyższymi certyfikatami procedur bezpieczeństwa.
Stała opieka techniczna
Nasze serwery obsługiwane są 24h na dobę przez kadrę wysokiej klasy techników specjalizujących się w dziedzinach technologii serwerowych jak i bezpieczeństwa danych.
Bezpieczeństwo merytoryczne
Nad poprawnym działaniem serwisu wFirma.pl pod względem zgodności z obowiązującym prawem czuwa zespół specjalistów składający się z prawników, księgowych, specjalistów prawa pracy, doradców podatkowych.
Automatyczne aktualizacje
Wszystkie aktualizacje systemu, związane z dodaniem nowych funkcji lub dostosowaniem do zmian w przepisach, dokonywane są automatycznie.