Polityka prywatności - załącznik do "Regulamin świadczenia usług Serwisant Online"

W aplikacji przetwarzamy dane osobowe w trzech obszarach:

Twoje dane osobowe: są to nazwa firmy, imię i nazwisko osoby która zarejestrowała konto i jest odpowiedzialna za kontakt pomiędzy nami a tobą, numer NIP, email, telefon oraz dane adresowe. Podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy o świadczenie usługi drogą elektroniczną. Dane będziemy przetwarzali na czas świadczenia usługi. Po zakończeniu świadczenia usługi usuniemy te dane nie później niż 3 miesiące od momentu zakończenia świadczenia usługi. Na podstawie art. 6 ust. 1 lit. c RODO: wypełnienie prawnego obowiązku ciążącego na administratorze, użyjemy tych danych także do rozliczeń między Tobą a nami. Dane, na potrzeby tego celu będą przetwarzane przez okres czasu, wymagany przez przepisy prawa.

Dane osobowe Twoich pracowników: imię, nazwisko, adresy email, numery telefonów, dane adresowe, opis stanowiska, adresy sieciowe IP terminali, z których nastąpiło logowanie lub akcja modyfikująca dane w bazie.

Dane osobowe Twoich klientów: imię, nazwisko, adresy email, numery telefonów, dane adresowe, wizerunek, adresy sieciowe IP terminali, z których nastąpiło logowanie lub akcja modyfikująca dane w bazie.

Podstawą przetwarzania przez nas danych z dwóch ostatnich grup jest Art. 29 RODO, zrealizowany na podstawie umowy powierzenia przetwarzania danych. Dane przetwarzamy na Twoje polecenie tak długo jak samodzielnie to określisz, przy czym nie dłużej niż 3 miesiące od daty zakończenia świadczenia przez nas usługi na Twoją rzecz. Oznacza to, że po 3 miesiącach nieaktywności Twojego konta usuniemy konto wraz ze wszystkimi danymi osobowymi z trzech wymienionych obszarów. Poprzez nieaktywność konta rozumiemy czas, jaki upłynął od wygaśnięcia ostatniego okresu subskrypcji.

Dane statystyczne, analityczne, diagnostyczne.

Aby dostarczyć jak najlepszą jakość usług stale monitorujemy Serwis. W tym celu prowadzimy statystyki korzystania z poszczególnych funkcji i stron używając:

• wewnętrznych narzędzi analitycznych, logujących i diagnostycznych,
• narzędzi statystycznych i logujących dostarczanych przez partnerów.

Dla zrealizowania tego celu, przetwarzamy dane dotyczące Twojej aktywności w Serwisie (odwiedzane strony, ilość czasu spędzonego na stronie, adres IP, lokalizacja, ID urządzenia oraz dane dotyczące przeglądarki i systemu operacyjnego, z którego korzystasz). Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. f RODO, czyli nasz prawnie uzasadniony interes, polegający na ułatwieniu użytkownikom korzystania z usług świadczonych przez nas drogą elektroniczną oraz na poprawie funkcjonalności tych usług.

Pliki cookie.

W Serwisie stosujemy cookies, tj. dane informatyczne, w szczególności pliki tekstowe zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego.

Oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej, bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego.

Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej).

Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji. Wyłączenie stosowania cookies może spowodować utrudnienia w korzystaniu z niektórych usług w ramach serwisów internetowych.

Pliki cookies wykorzystywane są w szczególności w celu:

• przechowywania danych sesyjnych,
• przechowywania informacji o konfiguracji interfejsu aplikacji,
• zbierania danych analitycznych, statystycznych i diagnostycznych.

Powinieneś mieć świadomość, że korzystając z usług świadczonych drogą elektroniczną w momencie nieodpowiedniego zadbania o bezpieczeństwo, narażasz się m.in. na ryzyko:

• ingerencji w dane przez osoby niepowołane, które mogą przeglądać, skopiować, zmodyfikować i skasować dane których jesteś administratorem,
• ingerencji osób trzecich w transmisję informacji między Twoim systemem a naszym systemem,
• zainfekowania Twojego systemu złośliwym oprogramowaniem (malware) co może doprowadzić do wykradzenia danych dostępowych (login, hasło) do naszego systemu lub danych do których sam masz dostęp,
• próby pozyskania danych dostępowych do Serwisu poprzez podszywanie się pod pracowników naszej lub Twojej firmy (ataki socjotechniczne)
• próby fałszowania faktur, korespondencji związanej z płatnością za subskrypcję, mające na celu wyłudzenie nienależnych środków pieniężnych,

Aby zminimalizować powyższe ryzyka:

• nie podawaj nikomu swojego hasła i loginu,
• miej świadomość, że nikt z naszej firmy nigdy nie będzie prosił Cię o podanie hasła lub kodu 2FA, sytuacje, w których ktoś próbuje pozyskać te informacje traktuj jako atak i raportuj do nas,
• zmieniaj okresowo hasło,
• aktywuj uwierzytelnianie dwuskładnikowe,
• używaj zawsze aktualnych wersji oprogramowania np. przeglądarki,
• używaj programu antywirusowego, osobistej zapory sieciowej, zalecanych w Twoim systemie operacyjnym ustawień bezpieczeństwa,
• używaj blokady ekranowej wymagającej podania hasła, nie pozostawiaj terminala (komputera) z którego logujesz się do aplikacji odblokowanego bez nadzoru.
• sprawdzaj czy połączenie z Serwisem jest zabezpieczone protokołem SSL (zielona kłódka)
• usuwaj nieaktywne konta pracowników z aplikacji, usuwaj konta pracowników w momencie zakończenia współpracy,
• monitoruj logowania pracowników,
• szkól i uświadamiaj swoich pracowników w zakresie bezpieczeństwa i ochrony danych,
• weryfikuj w systemie transakcyjnym Serwisu otrzymane faktury, płatność realizuj wyłącznie na podstawie faktur, które są w systemie transakcyjnym, na numer konta podany na fakturze, w przypadku wątpliwości kontaktuj się z nami,

Mając na uwadze Art. 24 ust. 1 oraz Art. 32 ust. 1 RODO stosujemy następujące środki minimalizujące ryzyko wycieku, nieuprawnionego dostępu lub utraty danych:

Dla Administratorów danych:

• autoryzację dostępu do danych w postaci logowania,
• kontrolę dostępu do systemu w postaci dzienników logowania, zawierających czas i adres sieciowy terminala,
• automatyczne wygaszanie nieaktywnych sesji - użytkownik jest automatycznie wylogowywany po 3h bezczynności,
• wzmocnione środki bezpieczeństwa w postaci kontroli złożoności haseł oraz uwierzytelniania dwuskładnikowego,
• zabezpieczenie transmisji poprzez zastosowanie szyfrowania SSL,

Jako Procesor:

• współpraca w zakresie usług cloud-computing z usługodawcami z terenu UE zrzeszonymi z CISPE
• przeszkolenie pracowników w zakresie ochrony danych osobowych,
• prowadzenie ewidencji osób (pracowników) upoważnionych do dostępu do danych osobowych,
• użytkowanie systemów operacyjnych o wysokim poziomie bezpieczeństwa po stronie serwerów a także po stronie terminali dostępowych,
• kontrola dostępu do systemów operacyjnych w postaci zabezpieczeń systemowych i sieciowych,
• regularna aktualizacja oprogramowania na wszystkich serwerach udostępniających składniki Usługi,
• maskowanie lokalizacji i adresów sieciowych serwerów udostępniających składniki usługi z użyciem oprogramowania firm trzecich,
• ochrona przed atakami DOS z użyciem oprogramowana firm trzecich,
• zastosowanie mechanizmów firewall z domyślną polityką białej listy - wszystkie serwery będące składnikami Usługi akceptują połączenia wyłącznie z adresów sieciowych znajdujących sie na autoryzowanej liście,
• wydzielenie zamkniętej, prywatnej sieci, służącej do komunikacji pomiędzy serwerami udostępniającymi składniki Usługi w której komunikacja odbywa się z użyciem szyfrowania SSL,
• redundancja serwerów aplikacyjnych - w każdym momencie działają co najmniej cztery serwery aplikacyjne,
• redundancja baz danych w postaci klastra z replikacją master-master: w każdym momencie aktywne są co najmniej trzy identyczne kopie głównej bazy danych, z których każda może w dowolnym momencie pełnić rolę bazy obsługującej aplikację,
• redundancja serwerów plików w postaci klastra z replikacją: każdy przesłany plik istnieje w co najmniej 2 kopiach,
• mechanizmy fail-over: automatyczne, bezzwłoczne wykluczanie uszkodzonych elementów infrastruktury oraz zastąpienie ich sprawnymi elementami,
• szyfrowane kopie zapasowe plików oraz stanów baz danych (snapshot) realizowane nie rzadziej niż raz na 24h, przechowywane w serwerowni niezależnej od dostawcy podstawowej usługi serwerowej, w osobnej lokalizacji geograficznej,
• środki zabezpieczenia fizycznego, i ochrony fizycznej, dostarczane przez naszych partnerów w zakresie usług cloud-computing