Jakie dane osobowe przetwarzamy?
W aplikacji przetwarzamy dane osobowe w trzech obszarach:
Twoje dane osobowe: są to nazwa firmy, imię i nazwisko osoby która zarejestrowała konto i jest
odpowiedzialna za kontakt pomiędzy nami a tobą, numer NIP, email, telefon oraz dane adresowe. Podstawą prawną
przetwarzania tych danych jest art. 6 ust. 1 lit. b RODO - niezbędność do wykonania umowy o świadczenie usługi drogą
elektroniczną. Dane będziemy przetwarzali na czas świadczenia usługi. Po zakończeniu świadczenia usługi usuniemy te
dane nie później niż 3 miesiące od momentu zakończenia świadczenia usługi. Na podstawie art. 6 ust. 1 lit. c RODO:
wypełnienie prawnego obowiązku ciążącego na administratorze, użyjemy tych danych także do rozliczeń między Tobą a
nami. Dane, na potrzeby tego celu będą przetwarzane przez okres czasu, wymagany przez przepisy prawa.
Dane osobowe Twoich pracowników: imię, nazwisko, adresy email, numery telefonów, dane adresowe,
opis stanowiska, adresy sieciowe IP terminali, z których nastąpiło logowanie lub akcja modyfikująca dane w bazie.
Dane osobowe Twoich klientów: imię, nazwisko, adresy email, numery telefonów, dane adresowe,
wizerunek, adresy sieciowe IP terminali, z których nastąpiło logowanie lub akcja modyfikująca dane w bazie.
Podstawą przetwarzania przez nas danych z dwóch ostatnich grup jest Art. 29 RODO, zrealizowany na podstawie umowy
powierzenia przetwarzania danych. Dane przetwarzamy na Twoje polecenie tak długo jak samodzielnie to określisz, przy
czym nie dłużej niż 3 miesiące od daty zakończenia świadczenia przez nas usługi na Twoją rzecz. Oznacza to, że po 3
miesiącach nieaktywności Twojego konta usuniemy konto wraz ze wszystkimi danymi osobowymi z trzech wymienionych
obszarów. Poprzez nieaktywność konta rozumiemy czas, jaki upłynął od wygaśnięcia ostatniego okresu subskrypcji.
Jakie inne dane możemy przetwarzać?
Dane statystyczne, analityczne, diagnostyczne.
Aby dostarczyć jak najlepszą jakość usług stale monitorujemy Serwis. W tym celu prowadzimy statystyki korzystania z
poszczególnych funkcji i stron używając:
- wewnętrznych narzędzi analitycznych, logujących i diagnostycznych,
- narzędzi statystycznych i logujących dostarczanych przez partnerów.
Dla zrealizowania tego celu, przetwarzamy dane dotyczące Twojej aktywności w Serwisie (odwiedzane strony, ilość
czasu spędzonego na stronie, adres IP, lokalizacja, ID urządzenia oraz dane dotyczące przeglądarki i systemu
operacyjnego, z którego korzystasz). Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. f RODO, czyli nasz
prawnie uzasadniony interes, polegający na ułatwieniu użytkownikom korzystania z usług świadczonych przez nas drogą
elektroniczną oraz na poprawie funkcjonalności tych usług.
Pliki cookie.
W Serwisie stosujemy cookies, tj. dane informatyczne, w szczególności pliki tekstowe zapisywane przez serwery na
urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia
końcowego.
Oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza
przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy serwisu mogą dokonać w każdym czasie
zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby
blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej, bądź informować o ich
każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego.
Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania
(przeglądarki internetowej).
Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym
użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do
tych informacji. Wyłączenie stosowania cookies może spowodować utrudnienia w korzystaniu z niektórych usług w ramach
serwisów internetowych.
Pliki cookies wykorzystywane są w szczególności w celu:
- przechowywania danych sesyjnych,
- przechowywania informacji o konfiguracji interfejsu aplikacji,
- zbierania danych analitycznych, statystycznych i diagnostycznych.
Jakie ryzyka wiążą się z korzystaniem z usług świadczonych drogą elektroniczną?
Powinieneś mieć świadomość, że korzystając z usług świadczonych drogą elektroniczną w momencie nieodpowiedniego
zadbania o bezpieczeństwo, narażasz się m.in. na ryzyko:
- ingerencji w dane przez osoby niepowołane, które mogą przeglądać, skopiować, zmodyfikować i skasować dane
których jesteś administratorem,
- ingerencji osób trzecich w transmisję informacji między Twoim systemem a naszym systemem,
- zainfekowania Twojego systemu złośliwym oprogramowaniem (malware) co może doprowadzić do wykradzenia danych
dostępowych (login, hasło) do naszego systemu lub danych do których sam masz dostęp,
- próby pozyskania danych dostępowych do Serwisu poprzez podszywanie się pod pracowników naszej lub Twojej firmy
(ataki socjotechniczne)
- próby fałszowania faktur, korespondencji związanej z płatnością za subskrypcję, mające na celu wyłudzenie
nienależnych środków pieniężnych,
Aby zminimalizować powyższe ryzyka:
- nie podawaj nikomu swojego hasła i loginu,
- miej świadomość, że nikt z naszej firmy nigdy nie będzie prosił Cię o podanie hasła lub kodu 2FA, sytuacje, w
których ktoś próbuje pozyskać te informacje traktuj jako atak i raportuj do nas,
- zmieniaj okresowo hasło,
- aktywuj uwierzytelnianie dwuskładnikowe,
- używaj zawsze aktualnych wersji oprogramowania np. przeglądarki,
- używaj programu antywirusowego, osobistej zapory sieciowej, zalecanych w Twoim systemie operacyjnym ustawień
bezpieczeństwa,
- używaj blokady ekranowej wymagającej podania hasła, nie pozostawiaj terminala (komputera) z którego logujesz się
do aplikacji odblokowanego bez nadzoru.
- sprawdzaj czy połączenie z Serwisem jest zabezpieczone protokołem SSL (zielona kłódka)
- usuwaj nieaktywne konta pracowników z aplikacji, usuwaj konta pracowników w momencie zakończenia współpracy,
- monitoruj logowania pracowników,
- szkól i uświadamiaj swoich pracowników w zakresie bezpieczeństwa i ochrony danych,
- weryfikuj w systemie transakcyjnym Serwisu otrzymane faktury, płatność realizuj wyłącznie na podstawie faktur,
które są w systemie transakcyjnym, na numer konta podany na fakturze, w przypadku wątpliwości kontaktuj się z
nami,
Jakie środki bezpieczeństwa stosujemy?
Mając na uwadze Art. 24 ust. 1 oraz Art. 32 ust. 1 RODO stosujemy następujące środki minimalizujące ryzyko wycieku,
nieuprawnionego dostępu lub utraty danych:
Dla Administratorów danych:
- autoryzację dostępu do danych w postaci logowania,
- kontrolę dostępu do systemu w postaci dzienników logowania, zawierających czas i adres sieciowy terminala,
- automatyczne wygaszanie nieaktywnych sesji - użytkownik jest automatycznie wylogowywany po 3h bezczynności,
- wzmocnione środki bezpieczeństwa w postaci kontroli złożoności haseł oraz uwierzytelniania dwuskładnikowego,
- zabezpieczenie transmisji poprzez zastosowanie szyfrowania SSL,
Jako Procesor:
- współpraca w zakresie usług cloud-computing z usługodawcami z terenu UE zrzeszonymi z CISPE
- przeszkolenie pracowników w zakresie ochrony danych osobowych,
- prowadzenie ewidencji osób (pracowników) upoważnionych do dostępu do danych osobowych,
- użytkowanie systemów operacyjnych o wysokim poziomie bezpieczeństwa po stronie serwerów a także po stronie
terminali dostępowych,
- kontrola dostępu do systemów operacyjnych w postaci zabezpieczeń systemowych i sieciowych,
- regularna aktualizacja oprogramowania na wszystkich serwerach udostępniających składniki Usługi,
- maskowanie lokalizacji i adresów sieciowych serwerów udostępniających składniki usługi z użyciem oprogramowania
firm trzecich,
- ochrona przed atakami DOS z użyciem oprogramowana firm trzecich,
- zastosowanie mechanizmów firewall z domyślną polityką białej listy - wszystkie serwery będące składnikami Usługi
akceptują połączenia wyłącznie z adresów sieciowych znajdujących sie na autoryzowanej liście,
- wydzielenie zamkniętej, prywatnej sieci, służącej do komunikacji pomiędzy serwerami udostępniającymi składniki
Usługi w której komunikacja odbywa się z użyciem szyfrowania SSL,
- redundancja serwerów aplikacyjnych - w każdym momencie działają co najmniej cztery serwery aplikacyjne,
- redundancja baz danych w postaci klastra z replikacją master-master: w każdym momencie aktywne są co najmniej
trzy identyczne kopie głównej bazy danych, z których każda może w dowolnym momencie pełnić rolę bazy obsługującej
aplikację,
- redundancja serwerów plików w postaci klastra z replikacją: każdy przesłany plik istnieje w co najmniej 2
kopiach,
- mechanizmy fail-over: automatyczne, bezzwłoczne wykluczanie uszkodzonych elementów infrastruktury oraz
zastąpienie ich sprawnymi elementami,
- szyfrowane kopie zapasowe plików oraz stanów baz danych (snapshot) realizowane nie rzadziej niż raz na 24h,
przechowywane w serwerowni niezależnej od dostawcy podstawowej usługi serwerowej, w osobnej lokalizacji
geograficznej,
- środki zabezpieczenia fizycznego, i ochrony fizycznej, dostarczane przez naszych partnerów w zakresie usług
cloud-computing