POLITYKA BEZPIECZEŃSTWA

Załącznik nr 1 do regulaminu świadczenia usług serwisu Bitelon.com

POLITYKA BEZPIECZEŃSTWA INFORMACJI OBOWIĄZUJĄCA W FIRMIE
BITELON SP. Z O. O.

Definicje:

Polityka Bezpieczeństwa – polityka bezpieczeństwa informacji wdrożona w spółce Bitelon sp. z o.o. w związku z funkcjonowaniem serwisu internetowego Bitelon.com
Serwis – serwis internetowy Bitelon.com umożliwiający Użytkownikom korzystanie z udostępnionych w jego ramach usług
Kryptowaluta – cyfrowa wirtualna waluta oparta na otwartoźródłowym oprogramowaniu peer-to-peer (użytkownik-użytkownik), która może być zapisywana w formie pliku portfela lub przetrzymywana w prowadzonym przez osoby trzecie zewnętrznym serwisie zajmującym się przechowywaniem plików portfeli, taka jak w szczególności Bitcoin (BTC) lub Litecoin (LTC)
Operator – pełniący funkcję administratora danych
Użytkownik – osoba, która podała swoje dane osobowe podczas Rejestracji w Serwisie, celem dokonywania w ramach Serwisu transakcji kupna, sprzedaży lub zamiany Kryptowaluty lub wymiarny walut

§ 1.

1. Najwyższe kierownictwo Operatora w celu należytej ochrony informacji przekazywanych przez Użytkowników Serwisu, kierując się troską o bezpieczeństwo danych, wdrożyło system zarządzania bezpieczeństwa informacji na zasadach opisanych poniżej.
2. Najwyższe kierownictwo Operatora jednomyślnie uznaje, iż informacje i dane uzyskane od Użytkowników Operatora powinny być przechowywane i zabezpieczone z zachowaniem najwyższej staranności oraz przy zastosowaniu najnowocześniejszych zabezpieczeń, w sposób zgodny z prawem oraz przyjętymi założeniami w niniejszej polityce.
3. Najwyższe kierownictwo Operatora zobowiązuje się do podejmowania niezbędnych działań mających na celu zapewnienie ochrony informacji na pożądanym poziomie, a tym samym spełnienie wymaganego poziomu bezpieczeństwa danych.

§ 2.

Przez bezpieczeństwo informacji w rozumieniu niniejszej polityki rozumie się:
1) zapewnienie poufności informacji poprzez uniemożliwienie dostępu do danych osobom trzecim,
2) zapewnienie integralności informacji poprzez uniknięcie nieautoryzowanych zmian w przechowanych danych,
3) zapewnienie Użytkownikowi dostępu do danych, które go dotyczą w każdym momencie przez niego żądanym,
4) bieżące usuwanie danych z bazy w momencie, gdy ich przetwarzanie staje się zbędne,
5) bieżące rozliczanie operacji wykonywanych na informacjach poprzez zapewnienie przechowywania pełnej historii dostępu do danych.

§ 3.

Niniejsza Polityka Bezpieczeństwa została opracowana, wdrożona i będzie utrzymywana w oparciu o obowiązujące przepisy prawa i obejmuje ona następujący zakres:
1) rejestrację w Serwisie poprzez zbieranie danych osobowych dotyczących jego uczestników w celu zapewnienia ich identyfikacji, możliwości dokonania rozliczenia oraz spełnienia wymogów narzuconych przez ustawę o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu,
2) Polityka Bezpieczeństwa stosowana jest we wszystkich oddziałach i placówkach Operatora,
3) Polityka Bezpieczeństwa dotyczy wszystkich pracowników Operatora w rozumieniu kodeksu pracy, a także współpracowników tj. osób współpracujących na podstawie umów cywilnoprawnych oraz stażystów i praktykantów, którzy mają lub będą mieć dostęp do informacji podlegających ochronie.

§ 4.

Główne cele stawiane przed systemem zarządzania bezpieczeństwem informacji to zapewnienie spełnienia wymagań prawnych w zakresie bezpieczeństwa danych, ochrona systemów przetwarzania informacji przed nieuprawnionym dostępem bądź zniszczeniem, podnoszenie świadomości pracowników lub współpracowników w zakresie bezpieczeństwa danych, zmniejszenie ryzyka utraty informacji, oraz zaangażowanie pracowników lub współpracowników w ochronę informacji.

§ 5.

Zapewnienie bezpieczeństwa informacji realizowane jest poprzez:
1) zarządzanie ryzykiem, na które składa się:
– klasyfikacja zasobów i ich wartości,
– identyfikacja stopnia zagrożeń i ich następstw przy uwzględnieniu kryteriów skutków utraty informacji, miejsca występowania zagrożeń, ryzyka utraty lub zniszczenia informacji,
– określenie i wdrożenie działań zabezpieczających zasoby.
2) zarządzanie zmianami, na które składa się:
– analiza wpływu zmian na poziom bezpieczeństwa,
– zapewnienie pełnej koordynacji podczas wprowadzania zmian.

§ 6.

1. W ramach zapewnienia realizacji niniejszej polityki ustanawia się administratora bezpieczeństwa danych, który odpowiada za realizację niniejszej polityki oraz zapewnienie bezpiecznego przechowywania danych zgodnie z niniejszą polityką i przepisami prawa.
2. Administrator bezpieczeństwa danych prowadzi listę pracowników i współpracowników Operatora, którzy mają dostęp do chronionych danych.
3. Lista pracowników lub współpracowników, którzy mają dostęp do chronionych danych znajduje się w odrębnym dokumencie i aktualizowana jest na bieżąco.
4. W ramach nadawania uprawnień do danych należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.

§ 7.

Celem realizacji założeń polityki bezpieczeństwa Operator zastosował następujące środki sprzętowe służące ochronie danych w ramach infrastruktury IT i infrastruktury teleinformatycznej:
1) Publicznie dostępne podłączenia do sieci LAN zostały fizycznie odłaczone od infrastruktury sieciowej po stronie serwerowni.
2) Serwerownia została zabezpieczona przed wejściem za pomocą zamka szyfrowego.
3) Serwerownia jest to odzielne pomieszczenie w którym przechowywane są użądzenia niezbędne do pracy systemu.
4) Serwery oraz osprzę potrzebny do działania infrastruktury został umieszczony w szafie typu RACK.
5) W serwerowni został zainstalowany system przeciwopżarowy z czujnikiem dymu wysyłającym powiadomienia do Administratora.
6) Serwer został wyposażony w dyski skonfigurowane pod macierz raid.
7) Baza danych oraz system plików zostaje podnay codziennym kopiom na odseparowany nośnik HDD(Urządzenie sieciowe typu NAS).
8) Co tydzień wykonywane są kopie zapasowe na nośnik optyczny, po wykonani kopia zapasowa umieszczana jest w przechowalni kopi zapasowych.
9) Bezpieczeńswo po stronie sieci zapeniają 3 firewalle, pierwszy sprzętowy typu UTM drugi wbudowany w serwer wirtualizacji, trzeci wbudowany w poszczególne serwery wirtualne aplikacji.
10) Baza danych została odseparowana od systemu aplikacji za pomocą virtualizacji sprzętowej, zainstalowana na odzielnej instancji systemu operacyjnego.

§ 8.

1. Odpowiedzialność za bezpieczeństwo informacji ponoszą wszyscy pracownicy lub współpracownicy, którym przyznane zostało uprawnienie do przeglądania danych.
2. Administrator bezpieczeństwa odpowiedzialny jest za zapewnienie zasobów niezbędnych dla funkcjonowania, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji oraz poszczególnych zabezpieczeń.
3. Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren Operatora. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Operatora.

§ 9.

1. Każdy pracownik lub współpracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak hasła dostępowe, klucze software, inne mechanizmy umożliwiające dostęp do bazy danych.
2. Przez ochronę danych dostępowych rozumie się w szczególności:
1) nieprzekazywanie dostępów do bazy danych innym osobom,
2) nieprzechowywanie danych w miejscach publicznych,
3) ochronę danych dostępowych przed kradzieżą przez osoby trzecie.
3. W przypadku rozwiązania umowy o pracę z pracownikiem lub umowy cywilnoprawnej ze współpracownikiem, dezaktywowane są wszelkie jego dostępy.

§ 10.

1. Poufne dane powinny być chronione równolegle na wielu poziomach, w celu zapewnienia pełniejszej oraz skuteczniejszej ochrony.
2. Poufne dane powinny być chronione przed dostępem osób niepowołanych, oraz uszkodzeniem. W tym celu wyodrębniono obszary niedostępne dla Użytkowników i osób trzecich z uwagi na przetwarzane funkcje techniczne.

§ 11.

1. Dostęp do informacji przechowywanych i przetwarzanych u Operatora jest poddany kontroli wynikającej z obowiązujących przepisów prawa powszechnego oraz dodatkowych wymagań bezpieczeństwa. Kontrola może polegać na:
1) wydzieleniu obszarów przeznaczonych do przechowywania oraz przetwarzania poszczególnych zbiorów danych i zapewnieniu odpowiednich barier fizycznych przeciwdziałających nieuprawnionemu dostępowi,
2) zarządzaniu uprawnieniami poszczególnych użytkowników w sposób zapewniający dostęp wyłącznie do danych wymaganych do wykonywania obowiązków służbowych, jeśli dane te podlegają ochronie z jakiejkolwiek przyczyny,
3) stosowaniu bezpiecznych systemów przetwarzania informacji,
4) nadzorowaniu działalności stron trzecich, mających wpływ na bezpieczeństwo informacji,
5) bieżącym informowaniu pracowników o wszelkich zmianach w zakresie regulacji dotyczących przechowywania, przetwarzania i udostępniania informacji.

§ 12.

1. Ustala się następujące zasady dostęp do danych poprzez użycie stacji roboczej:
1) dostęp do chronionych danych realizowany jest na przeznaczonych do tego serwerach,
2) dostęp do chronionych danych na serwerach jest odnotowywany,
3) uzyskanie dostępu poprzez użyciu komputera przenośnego musi być dodatkowo zabezpieczone,
4) uzyskanie dostępu do danych poprzez firmową sieć Wi-Fi odbywa się z wykorzystaniem kanału szyfrowanego.
2. Stacje robocze powinny być zabezpieczone przed nieautoryzowanym dostępem osób trzecich, poprzez użycie minimalnych środków ochrony takich jak:
1) wymaganie podania hasła przed uzyskaniem dostępu do stacji,
2) kontrola czy niezablokowane stacje robocze nie pozostają bez nadzoru,
3) bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
3. Ustala się następujące zasady wykorzystywanie haseł:
1) hasła powinny być okresowo zmieniane,
2) hasła nie mogą być przechowywane w formie otwartej (niezaszyfrowanej),
3) hasła powinny składać się z minimum 9 znaków, w tym jeden znak specjalny, nie mogą przybierać prostych form.
4. Korzystanie z nowych lub zmienionych urządzeń służących do przetwarzania informacji powinno być zweryfikowane na zgodność z wymaganiami systemu bezpieczeństwa i zaakceptowane przez administratora danych.

§ 13.

1. W celu zapewnienia ochrony informacji Operator może stosować monitoring wykorzystania firmowej infrastruktury informatycznej, w szczególności obejmujący następujące elementy:
1) analiza oprogramowania wykorzystanego na stacjach roboczych,
2) analiza godzin pracy na stanowiskach komputerowych,
3) analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych),
4) analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych.
2. Monitoring bezpieczeństwa musi odbywać się z zachowaniem obowiązującego prawa.

§ 14.

Operator dba o cykliczną edukację pracowników lub współpracowników w zakresie bezpieczeństwa informacji. Pracownicy lub współpracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu:
1) ochrony danych osobowych,
2) świadomości istnienia problemów bezpieczeństwa,
3) szczegółowych aspektów bezpieczeństwa.

§ 15.

Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, w szczególności poprzez wprowadzenie następujących środków bezpieczeństwa:
1) serwery muszą być odseparowane od sieci klienckich,
2) gniazdka sieciowe dostępne publiczne muszą być nieaktywne,
3) goście nie mogą uzyskiwać dostępu do sieci LAN.

§ 16.

Operator prowadzi dokumentację w zakresie:
1) obecnie wykorzystywanych metod zabezpieczeń danych,
2) ewentualnych naruszeń bezpieczeństwa systemów IT,
3) dostępów do zbiorów danych / systemów udzielonych pracownikom lub współpracownikom.

§ 17.

Poufne dane powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT w szczególności poprzez:
1) zabezpieczenie nośników z kopiami zapasowymi, które powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym,
2) okresowe testowanie kopi zapasowych pod względem rzeczywistej możliwości odtworzenia danych.

§ 18.

Wszelkie podejrzenia naruszenia bezpieczeństwa danych u Operatora należy zgłaszać w formie ustnej lub za pośrednictwem poczty elektronicznej do zarządu Operatora.
Każdy incydent jest odnotowywany w stosownej bazie danych, a zarząd Operatora podejmuje stosowne kroki zaradcze.

§ 19.

Zarząd okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.

§ 20.

Administrator Bezpieczeństwa Danych dba o zapewnienie ciągłości funkcjonowania usług związanych z przetwarzaniem danych. Celem takiego postępowania jest przeciwdziałanie przerwom w działalności oraz ochrona krytycznych procesów przed rozległymi awariami lub katastrofami.

§ 21.

Mając na uwadze konieczność dostosowania się do wymagań Użytkowników, oraz ciągłych zmian przepisów prawnych zapewnia się metody postępowania w celu skutecznej i terminowej obsługi zmian w infrastrukturze teleinformatycznej przy utrzymaniu pożądanego poziomu bezpieczeństwa przetwarzanych danych i ograniczeniu ryzyka negatywnego wpływu zmiany na obsługę teleinformatyczną organizacji.

§ 22.

W ramach realizacji niniejszej polityki wdrożono mechanizmy zapobiegające naruszeniom przepisów prawa powszechnego związanych z ochroną własności intelektualnej.
***