Asystio
Wróć do Centrum Prawnego
Dokument oficjalny

Polityka bezpieczeństwa & Responsible Disclosure (Security Policy & Vulnerability Disclosure)

Ostatnia aktualizacja: 1 marca 2026Dokument oficjalny

7.1. Podejście do bezpieczeństwa

Asystio traktuje bezpieczeństwo informacji i systemów jako najwyższy priorytet. Platforma została zaprojektowana zgodnie z zasadami „security by design”, co oznacza uwzględnienie zabezpieczeń na każdym etapie tworzenia usługi. Naszym celem jest ochrona danych użytkowników przed nieautoryzowanym dostępem, utratą lub modyfikacją, a także zapewnienie wysokiej dostępności usługi. Poniżej opisujemy kluczowe środki bezpieczeństwa stosowane w Asystio.

7.2. Środki techniczne ochrony

  • Szyfrowanie danych: Cała komunikacja między użytkownikiem a serwisem odbywa się z użyciem szyfrowanego protokołu HTTPS (TLS 1.3). Dane w spoczynku (bazy danych, kopie zapasowe) są szyfrowane algorytmami klasy AES-256. Klucze szyfrujące są bezpiecznie zarządzane (wbudowane mechanizmy Google Cloud KMS).
  • Kontrola dostępu: Dostęp do systemów produkcyjnych Asystio posiada ograniczona liczba personelu (zasada najmniejszych uprawnień). Wymagamy silnego uwierzytelnienia (hasła + 2FA) dla administratorów systemu i programistów. Dostępy administracyjne są rejestrowane w logach audytowych (kto, kiedy i jakie operacje wykonywał).
  • Testy bezpieczeństwa: Regularnie przeprowadzamy testy penetracyjne i skanowania podatności. Współpracujemy z zewnętrznymi ekspertami, aby niezależnie weryfikowali bezpieczeństwo platformy (co najmniej raz w roku pełny pentest). Wewnętrznie, nowe wersje oprogramowania przechodzą code review pod kątem bezpieczeństwa (np. sprawdzenie ochrony przed SQL injection, XSS, CSRF). Wykorzystujemy też narzędzia SAST/DAST automatycznie wykrywające podatności.
  • Monitoring i alerty: Infrastruktura jest monitorowana 24/7 – korzystamy z systemów wykrywania intruzji (IDS) i SIEM, które analizują logi w poszukiwaniu podejrzanych wzorców (np. próby siłowego łamania haseł, skanowania portów). W razie wykrycia incydentu lub anomalii automatycznie powiadamiany jest zespół bezpieczeństwa (on-call).
  • Backupy i odtwarzanie awaryjne: Codziennie tworzone są szyfrowane kopie zapasowe kluczowych baz danych, przechowywane w odseparowanej lokalizacji (inny region chmury). Testy odtwarzania z backupu przeprowadzamy co kwartał, by upewnić się, że procedury DR (Disaster Recovery) działają. Posiadamy plan ciągłości działania (BCP) – w tym klastrę fail-over w innym regionie na wypadek awarii głównej lokalizacji.
  • Bezpieczeństwo fizyczne: Korzystamy z renomowanych centrów danych (Google), które zapewniają fizyczne zabezpieczenia budynków (ochrona 24/7, kontrola dostępu, monitoring, redundancja zasilania, systemy gaszenia pożaru etc.).
  • Bezpieczeństwo aplikacji: W kodzie zaimplementowano liczne walidacje i mechanizmy ochronne: np. ograniczenie liczby prób logowania (brute-force protection), filtry treści (filtrowanie potencjalnie niebezpiecznych treści wprowadzanych do chatbota, by unikać ataków injekcji na model AI), sandboxing integracji (np. odcięcie bota od systemu operacyjnego). Używamy aktualnych wersji frameworków i zależności, reagujemy na nowe CVE (aktualizacje na bieżąco).
  • Segregacja środowisk: Środowisko produkcyjne jest odizolowane od testowego/deweloperskiego. Dane produkcyjne nigdy nie są używane w środowisku testowym.
  • Kopie dzienników (logów): Logi systemowe przechowujemy bez danych wrażliwych (np. hasła nigdy nie są logowane). W logach aplikacyjnych dane osobowe są maskowane tam, gdzie nie są potrzebne do diagnozy problemu.

7.3. Polityki i procedury organizacyjne

  • Szkolenia personelu: Wszyscy członkowie zespołu Asystio przechodzą szkolenia z zakresu bezpieczeństwa danych i cyberhigieny. Mamy wdrożoną politykę bezpiecznego haseł, ochrony urządzeń (szyfrowanie dysków laptopów, VPN do dostępu do zasobów wewnętrznych).
  • Polityka czystego biurka/ekranu: Nie notujemy haseł na papierze, nie pozostawiamy otwartych sesji, urządzenia blokują się po krótkiej bezczynności.
  • Zarządzanie podatnościami: Mamy proces reagowania na nowe podatności – monitorujemy ogłoszenia (np. mailing CERT, CVE feeds), w razie pojawienia się krytycznej luki w używanym oprogramowaniu – natychmiast stosujemy poprawki lub obejścia.
  • Incident response plan: Opracowaliśmy plan reagowania na incydenty bezpieczeństwa. Wyznaczono zespół reagowania (Security Incident Response Team). Procedura obejmuje: identyfikację incydentu, zgromadzenie dowodów, powstrzymanie i eliminację zagrożenia, przywrócenie normalnego działania, analizę przyczyn i raportowanie. Czas na rozpoczęcie działań – natychmiast po wykryciu; powiadomienie klienta i organu (UODO) – jeśli incydent dotyczy danych osobowych – nie później niż 72h. Po incydencie wykonujemy post-mortem i udoskonalamy zabezpieczenia.

7.4. Zgłaszanie podatności – Responsible Disclosure

Chociaż dokładamy starań, by eliminować wszelkie luki, dopuszczamy możliwość, że osoby trzecie (researcherzy, użytkownicy) mogą wykryć nieznane nam podatności lub błędy wpływające na bezpieczeństwo. Doceniamy takie zgłoszenia i zobowiązujemy się odpowiednio reagować. Nasza Polityka zgłaszania podatności (Responsible Disclosure Policy) zawiera następujące wytyczne:

  • Zgłoszenia należy kierować na dedykowany adres e-mail: [email protected] lub poprzez formularz security.txt (/.well-known/security.txt) dostępny na naszej stronie. Można je zaszyfrować naszym kluczem PGP (dostępnym w security.txt).
  • Prosimy, by w zgłoszeniu zawrzeć jak najwięcej szczegółów: opis podatności, kroki do reprodukcji, potencjalny wpływ. Jeżeli to możliwe – nie ujawniać publicznie problemu, dopóki go nie naprawimy (tzw. non-public disclosure).
  • Zgłaszający zobowiązują się działać w dobrej wierze: np. nie niszczyć danych, nie wpływać na użytkowników, wykorzystywać luk tylko do minimalnego zakresu koniecznego dla demonstracji. Działania takie w ramach testów nie będą przez nas dochodzone na drodze prawnej, o ile mieszczą się w granicach dozwolonego testowania (np. testowanie własnego konta, nie ekstrakcja cudzych danych).
  • Obiecujemy potwierdzić otrzymanie zgłoszenia w ciągu 72h i przekazać wstępną ocenę oraz plan naprawy. W zależności od krytyczności, staramy się załatać lukę jak najszybciej – zwykle w ciągu kilku dni dla krytycznych, do 30 dni dla mniej istotnych.
  • Po załataniu, możemy poprosić zgłaszającego o weryfikację poprawki. Jeśli zgłaszający wyrazi zgodę, opublikujemy informację podziękowania (Hall of Fame) lub drobne wynagrodzenie (np. w formie nagrody rzeczowej lub rabatu na usługę) – nie prowadzimy formalnego programu bug bounty z wypłatami, ale doceniamy wkład.
  • Zastrzegamy sobie prawo do podjęcia działań prawnych jedynie w przypadku, gdy ktoś działałby w złej wierze (np. wykorzystał podatność do kradzieży danych, szantażu itp.). Każdy uczciwy researcher jest mile widziany i bezpieczny prawnie z naszej strony.
  • Zakres testów: dozwolone jest testowanie aplikacji webowej Asystio (portal, API) z poszanowaniem prywatności innych użytkowników. Niedozwolone: ataki powodujące masowe zakłócenia (DoS), socjotechnika na pracownikach, fizyczne próby włamania. Jeśli masz wątpliwości, skontaktuj się przed testami.

7.5. Zgodność ze standardami

Dążymy do spełniania branżowych standardów bezpieczeństwa. Nasze praktyki bezpieczeństwa są zgodne z wymaganiami normy ISO/IEC 27001 (System Zarządzania Bezpieczeństwem Informacji), choć formalny proces certyfikacji nie został jeszcze rozpoczęty. Nasza infrastruktura (Google Cloud) spełnia wymogi norm SOC 2 Type II oraz ISO 27001 (gwarantowane przez dostawcę chmury); sama spółka Asystio nie posiada jeszcze własnej, niezależnej atestacji SOC 2/ISO 27001 — dążymy do niej (readiness). W zakresie bezpieczeństwa danych osobowych stosujemy się do wytycznych EROD (Europejskiej Rady Ochrony Danych) i zaleceń UODO, w tym w zakresie polityki haseł, pseudonimizacji i szyfrowania. Regularnie monitorujemy rozwój standardów bezpieczeństwa i dostosowujemy nasze praktyki.

7.6. Dane kontaktowe w sprawach bezpieczeństwa

  • Zespół Bezpieczeństwa Asystio: [email protected] (preferowany kontakt).
  • Inspektor Ochrony Danych: [email protected] (w sprawach incydentów danych osobowych).
  • Adres do pilnych zgłoszeń telefonicznych (tylko w krytycznych sytuacjach): +48 666 232 120 (wewn. 2).

English summary

Asystio implements robust security measures to protect user data and system integrity. We use encryption (TLS 1.3 in transit, AES-256 at rest), strict access controls with multi-factor authentication, regular backups and disaster recovery, continuous monitoring and intrusion detection. Our staff is trained in security, and we run periodic penetration tests. Incident response procedures are in place to handle breaches promptly (notification to authorities and clients within 72h if personal data is involved). We invite security researchers to report any vulnerabilities responsibly via our dedicated channel ([email protected]) and commit to not pursue legal action against good-faith reports. We will acknowledge and fix issues swiftly, possibly offering recognition or a token reward. Testers should avoid disruptive or malicious actions (no data theft, no DoS). Asystio is working towards ISO 27001 certification to formalize its security program. Users can contact our security team or DPO for any security concerns.