Dostęp osób trzecich / poufność danych.
Symfonia dokłada wszelkich starań aby się zabezpieczyć Program przed nieuprawnionym dostępem przez osoby trzecie, który może naruszyć lub zagrozić bezpieczeństwu Programu, a także zawartych w nim poufnych informacji Klienta poprzez stosowanie właściwych zabezpieczeń antywirusowych oraz firewall, w zakresie wynikającym z racjonalnych oczekiwań co do poziomu zagrożeń, na które Program może być narażony.
Szyfrowanie danych
Połączenie pomiędzy Klientem a serwerem Symfonii jest szyfrowane 256 bitowym algorytmem z zabezpieczone certyfikatem SSL. Dodatkowo dane utrzymywane na dyskach w stanie spoczynku (at-rest) są szyfrowane algorytmem przynajmniej AES-256.
Rozwój Programu, testy bezpieczeństwa, podatności.
W okresie korzystania z Programu Symfonia:
a)regularnie prowadzi testy bezpieczeństwa swoich produktów,
b)w sposób ciągły zarządza zidentyfikowanymi podatnościami,
c)na bieżąco uaktualnia, rozwija i poprawia ten Program przez instalowanie odpowiednich Update’ów i Upgrade’ów, mających w szczególności na celu zapewnienie bezpieczeństwa korzystania przez Klienta z Programu.
Kopie zapasowe i usuwanie danych
W celu zabezpieczenia informacji Klienta zgromadzonych w Programie, Symfonia wykonuje backup tego Programu oraz zgromadzonych za jego pomocą Danych Klienta (z wyłączeniem wersji demo). Standardowo backup danych Klienta wykonywany jest raz na dobę o przechowywany przez okres 30 dni, po czym jest trwale usuwany, chyba że warunki umowy mówią inaczej. Na pisemne żądanie Klienta i za dodatkową opłatą istnieje możliwość ustalenia indywidualnej polityki tworzenia kopii bezpieczeństwa wraz z retencją danych dla Klienta. Symfonia nie ponosi odpowiedzialności za usunięcie Danych Klienta po w/w okresie.
Dostęp do danych
W celu kontroli dostępu do danych Klienta w tym danych osobowych Symfonia wykorzystuje zasadę minimalnego uprzywilejowania. Zarządzanie dostępami oparte jest o profile dostępowe, a dostęp do danych nadawany jest na podstawie wniosków i na pisemną prośbę Klienta oraz ma charakter tymczasowy. Proces ten podlega kontroli ze strony kierownictwa.
Synchronizacja czasu
Systemy i urządzenia obsługujące Symfonia w Chmurze są synchronizowane z autoryzowanymi serwerami czasu poziomu STRATUM 3, opartymi na systemie Amazon Time Sync wykorzystującym protokół Network Time Protocol (NTP). Synchronizacja ta jest realizowana w celu zapewnienia spójności czasowej pomiędzy systemami, co jest kluczowe dla integralności danych, zdarzeń i logów w kontekście bezpieczeństwa informacji.
Miejsca przechowywania danych.
Dane Klienta przechowywane są wyłącznie w centrach przetwarzania danych zlokalizowanych na obszarze EOG. Serwerownie należą do jednych z najbardziej zaawansowanych centrów przetwarzania danych w Europie, są certyfikowane w zakresie:
•ISO/IEC 27001 – System Zarządzania Bezpieczeństwem Informacji,
•ISO 9001 – System Zarządzania Jakością.
Dane Klienta są utrzymywane w dedykowanym miejscu na macierzy dyskowej z zachowaniem separacji logicznej danych.
Współpraca z dostawcami
Symfonia podejmując współpracę z dostawcami usług krytycznych stara się korzystać z dostawców posiadających przynajmniej jeden z certyfikatów w zakresie standardów ISO (międzynarodowych norm standaryzujących bezpieczeństwo informacji, potwierdzające jakość i bezpieczeństwo świadczonych usług):
•ISO/IEC 27001 – System Zarządzania Bezpieczeństwem Informacji,
•ISO/IEC 27017 – Bezpieczeństwo w chmurze obliczeniowej,
•ISO/IEC 27018 – Ochrona danych osobowych w chmurze,
•ISO/IEC 22301 – Zarządzanie ciągłością działania.
Powiadomienie o Incydencie bezpieczeństwa
Jeżeli Symfonia uzyska informacje o naruszeniu zabezpieczeń prowadzącym do niezgodnego z prawem wykorzystania, zniszczenia, utraty lub ujawnienia danych Klienta przetwarzanych z wykorzystaniem dostarczanych usług wówczas:
a)bezzwłocznie poinformuje Klienta o Incydencie bezpieczeństwa,
b)zbada zaistniały incydent oraz przekaże Klientowi szczegółowe informacje na jego temat,
c)podejmie odpowiednie działania w celu ograniczenia skutków i zminimalizowania ewentualnych szkód wynikających z incydentu oraz podejmie działania, których celem będzie ograniczenie wystąpienia podobnych incydentów w przyszłości.
Kontakt z Klientem nastąpi z wykorzystaniem danych kontaktowych będących w posiadaniu Symfonii w sposób wybrany przez Symfonię. Klient odpowiedzialny jest za aktualność i dokładność danych kontaktowych.
Obowiązki Klienta
•Klient ponosi wyłączną odpowiedzialność za ustalenie w niezależny sposób, czy środki techniczne i organizacyjne dotyczące Produktów i Usług spełniają wymagania.
•Klienta, w tym pozwalają wykonać obowiązki w zakresie bezpieczeństwa na mocy właściwych Wymogów dotyczących bezpieczeństwa informacji.
•Klient powinien traktować hasła i inne kody dostępu w sposób poufny i niezwłocznie zastąpić hasła dostarczone mu przez Symfonię lub innego administratora systemu własnymi hasłami, które powinny być bezpieczne, tzn. niełatwe do odgadnięcia, obliczenia lub określenia. Zaleca się aby hasła składały się z przynajmniej z 12 znaków (małe, duże listery, cyfry i znaki specjalne).
•Klient podejmie niezbędne środki ostrożności, aby uniemożliwić korzystanie z usług przez osoby nieuprawnione korzystające z jego haseł lub kodów dostępu lub infrastruktury, w szczególności poprzez regularną zmianę haseł oraz wszelkich innych kodów dostępu oraz zabezpieczenie ich przed dostępem osób nieuprawnionych.
•Klient jest zobowiązany do niezwłocznego poinformowania Symfonii w przypadku podejrzenia lub zaistnienia Incydentu bezpieczeństwa, że hasła lub inne kody dostępu mogły zostać ujawnione osobom nieuprawnionym lub że osoby nieuprawnione mogą w inny sposób uzyskać dostęp do systemów Symfonii za pośrednictwem jego infrastruktury.
•Klient powinien stosować się do odpowiednich technicznych i organizacyjnych norm bezpieczeństwa i zapewnić, aby z jego systemów do systemów Symfonii nie przedostały się jakiekolwiek złośliwe oprogramowanie.
•Obowiązkiem Klienta jest również kontrola prawidłowego korzystania z Usług przez jego personel i zobowiązanie ich do działania zgodnego z Umową oraz niewykorzystywanie Oprogramowania ani jakichkolwiek jego elementów do dostarczania treści o charakterze bezprawnym.
•Szczegółowe warunki bezpieczeństwa. Dodatkowe szczegółowe standardy techniczne i środki bezpieczeństwa stosowane przez Symfonię mogą zostać określone w Dokumentacji. Klient zobowiązuje się do zapoznania się ze standardami i środkami bezpieczeństwa wymienionymi w Dokumentacji i stosowania się do tych warunków.
Wstrzymanie świadczenia usług.
Symfonia ma prawo do wstrzymania świadczenia usług objętych Umową i zablokowania dostępu Klienta ze skutkiem natychmiastowym, jeżeli istnieją uzasadnione podejrzenia, że urządzenia Klienta lub sposób wykorzystania Oprogramowania spowoduje lub może spowodować szkody dla Symfonii lub osób trzecich. Dotyczy to w szczególności ryzyka rozprzestrzeniania się złośliwego oprogramowania lub innych zagrożeń dla bezpieczeństwa systemów, urządzeń i danych Symfonii lub jej klientów lub przeciążenia sieci z powodu korzystania z niej niezgodnie z Umową. To samo dotyczy sytuacji, gdy istnieją uzasadnione podstawy, aby podejrzewać, że Oprogramowanie jest wykorzystywane nielegalnie lub z naruszeniem Umowy przez Klienta lub osobę trzecią, która używa haseł Klienta lub jego infrastruktury. W przypadku wstrzymania świadczenia usług zgodnie z niniejszym punktem, obowiązek zapłaty po stronie Klienta pozostaje bez zmian.