Workai wygrywa Nielsen Norman Group Intranet Design Annual 2023!

Zobacz case study

Bezpieczeństwo – ISO 27001, GDPR i Polityka Prywatności

W Workai priorytetowo traktujemy bezpieczeństwo i prywatność naszych klientów, niezależnie od branży w jakiej działają. Zarówno nasza platforma, jak i wizja skupiają się wokół tych kluczowych aspektów, zapewniając najwyższy poziom ochrony.

Dzięki solidnym założeniom „privacy by design” i „security by design” naszego produktu oraz procesów bezpieczeństwa dostawcy infrastruktury, zapewniamy najwyższej jakości ochronę na każdym kroku. Infrastruktura Microsoft Azure chroni dane klienta na każdym etapie ich cyklu życia na platformie.

Wiemy, że bezpieczeństwo już dawno stało się kluczowym zagadnieniem w aplikacjach dla biznesu. Dzięki spełnieniu wyśrubowanych wymagań „enterprise-ready”, wszyscy nasi klienci mogą polegać na bezpiecznej i niezawodnej platformie oraz procesach i procedurach gwarantowanych przez Workai.

Kopia naszego Certyfikatu Rejestracji Systemu Zarządzania Bezpieczeństwem Informacji znajduje się tu.

Deklaracja najwyższego kierownictwa

1.1    Jednym z celów organizacji jest systematyczne podnoszenie jakości świadczonych usług i bezpieczeństwa projektowanych rozwiązań informatycznych. Warunkiem realizacji tej strategii jest m.in. zapewnienie bezpieczeństwa informacji dotyczącego danych powierzanych przez klientów oraz posiadanego know-how poprzez:

1.1.1    identyfikację i analizę ryzyka związanego z bezpieczeństwem informacji, prowadzenie przeglądów i podejmowanie działań w celu ich obniżenia;
1.1.2    kształtowanie świadomości pracowników oraz uwrażliwienie na sprawy bezpieczeństwa informacji;
1.1.3    zapewnienie bezpieczeństwa fizycznego aktywów firmy i przechowywanych danych;
1.1.4    bezpieczeństwo łączy internetowych i systemów teleinformatycznych;
1.1.5    odpowiednie uregulowania bezpieczeństwa informacji w umowach z wszystkimi zainteresowanymi stronami;
1.1.6    przydzielenie odpowiedzialności w zakresie zapewnienia bezpieczeństwa informacji;
1.1.7    systemowe podejście do kwestii zarządzania bezpieczeństwem informacji.

1.2    Zarząd spółki deklaruje swoje pełne zaangażowanie w stworzenie warunków dla skutecznego funkcjonowania SZBI oraz jego doskonalenia. Zarząd spółki zobowiązuje się spełnienia mających zastosowanie wymagań dotyczących bezpieczeństwa informacji. Tym samym, zobowiązuje wszystkich pracowników oraz współpracowników organizacji do stosowania oraz przestrzegania zasad SZBI.

Certyfikacja ISO 27001

ISO 27001 to powszechnie uznawany na całym świecie standard zarządzania bezpieczeństwem informacji. W roku 2022 Workai wdrożył System Zarządzania Bezpieczeństwem Informacji (SZBI), a w roku 2023 uzyskało certyfikat ISO 27001.

W ramach certyfikacji ISO 27001 regularnie przeprowadzane są oceny ryzyka i opracowywane odpowiednie plany zarządzania ryzykiem w celu złagodzenia wszelkich zidentyfikowanych zagrożeń. To proaktywne podejście pozwala stale ulepszać mechanizmy kontroli bezpieczeństwa. Zespół ds. bezpieczeństwa w Workai konsekwentnie pracuje nad poprawą przydatności, adekwatności i skuteczności SZBI.

Struktura i nadzór w organizacji

Bezpieczeństwo i Prywatność w Workai

Workai zatrudnia Pełnomocnika Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) oraz Inspektora Ochrony Danych Osobowych (IODO). Ich kluczowym zadaniem jest ocena i wdrażanie środków kontroli bezpieczeństwa w całej organizacji.

Edukacja w zakresie świadomości bezpieczeństwa

Firma Workai zapewnia pracownikom coroczne szkolenia z zakresu świadomości bezpieczeństwa, które są uzupełniane o regularne aktualizacje dotyczące najnowszych zagrożeń i najlepszych praktyk w zwalczaniu tych zagrożeń. Każdy programista w Workai regularnie uczestniczy w szkoleniach z zakresu bezpieczeństwa, aby być zawsze na bieżąco z powszechnymi zagrożeniami bezpieczeństwa podczas tworzenia oprogramowania i chronić prywatność danych naszych klientów. Zarówno nasi pracownicy, jak i kontrahenci są zobowiązani do przestrzegania ściśle określonych zasad bezpieczeństwa, które obejmują poufność, ochronę danych i obowiązek zgłaszania incydentów.

Poufność danych

Klauzule poufności są nieodłącznym elementem wszystkich umów, jakie Workai zawiera z klientami. Ponadto, wszyscy pracownicy i kontrahenci Workai są zobowiązani do podpisania umów o zachowaniu poufności w celu ochrony danych klientów. Podobne wymogi poufności obowiązują również wszystkich dostawców przetwarzających dane osobowe lub poufne informacje o klientach, jako część naszego procesu oceny dostawców.

Raportowanie i zarządzanie incydentami

Wszyscy pracownicy, kontrahenci i główni dostawcy Workai są zobowiązani do zgłaszania wszelkich incydentów związanych z bezpieczeństwem. Workai posiada spójny plan reagowania na incydenty bezpieczeństwa, który gwarantuje szybką i skuteczną reakcję na wszelkie zdarzenia. Ten plan składa się z trzech etapów, które obejmują zapobieganie, identyfikację, naprawę i rozwiązanie incydentów bezpieczeństwa.

Nasz plan reagowania na incydenty obejmuje również proces zarządzania problemami, który ma na celu identyfikację przyczyn i rozwiązanie incydentów związanych z bezpieczeństwem, które nie zostały wcześniej zidentyfikowane. Cały Zespół ds. Bezpieczeństwa jest przeszkolony w celu skutecznego działania zgodnie z ustalonym planem reagowania na incydenty. Plan ten jest regularnie oceniany i aktualizowany, aby spełniać wymagania certyfikatu ISO 27001.

Planowanie awaryjne i redundancja systemu

Workai opracowało system, który ma na celu minimalizowanie zakłóceń w świadczeniu usług wynikających z klęsk żywiołowych, awarii sprzętu oraz innych nieprzewidywalnych zdarzeń.

Nasze podejście do przywracanie sprawności  po awarii opiera się na:

  • współpracy z wiodącymi dostawcami infrastruktury chmurowej, którzy pomagają nam w dostarczaniu usług Workai. Zaufało im tysiące firm w zakresie przechowywania danych i świadczenia usług.
  • programie przywracania sprawności po awarii. Obejmuje on szczegółowe plany dla różnych scenariuszy, które umożliwiają zachowanie ciągłości działania i skuteczne odzyskanie danych w sytuacjach awaryjnych.

Hosting w Unii Europejskiej

Hosting w Unii Europejskiej gwarantuje, że dane Workai są przechowywane w zgodzie z obowiązującym w UE i Polsce systemem prawnym. Zaimplementowane procedury ściśle przestrzegają rygorystycznych wymogów UE dotyczących prywatności i ogólnego rozporządzenia o ochronie danych (RODO). Dzięki partnerstwu z renomowanym dostawcą usług chmurowych, Microsoft Azure, Workai może skorzystać z serwerów zlokalizowanych w UE, co zapewnia zwiększone środki ochrony danych. Centra Danych Microsoft Azure są zgodne z normami ISO 27001, co oznacza, że dane Workai pozostają bezpieczne i są zgodne z surowymi przepisami UE dotyczącymi prywatności.

Hosting poza Unią Europejską

Mimo że serwery Workai mogą być hostowane poza granicami Unii Europejskiej, istotne jest uwzględnienie potencjalnych skutków dla prywatności danych i zgodności z RODO. Jeśli Klient Workai zdecyduje się na wybór dostawcy usług hostingowych spoza UE, przeprowadzona jest dokładna ocena ryzyka i ustalenie ram prawnych w celu zapewnienia odpowiedniego poziomu ochrony danych osobowych. Może to obejmować wprowadzenie odpowiednich zabezpieczeń, takich jak standardowe klauzule umowne lub uzyskanie wyraźnej zgody użytkownika na przekazywanie danych za granicę. Należy jednak pamiętać, że hosting poza UE może stanowić wyzwanie w spełnieniu szczególnych wymagań RODO i może potencjalnie wpływać na poziom ochrony danych zapewniany użytkownikom Workai.

Bezpieczeństwo Produktu

Cykl życia rozwoju oprogramowania (SDLC) w Workai definiuje procedury i narzędzia stosowane podczas tworzenia oprogramowania, tak aby wzmocnić bezpieczeństwo platformy. Wykorzystywane techniki i zasoby są zgodne z uznawanymi standardami branżowymi oraz odpowiadającym im dobrymi praktykami.

Zapewnienie jakości

W celu osiągnięcia najwyższego poziomu zapewnienia jakości (QA – Quality Assurance), w Workai przeprowadzane są liczne testy automatyczne na podstawowym kodzie platformy. Dodatkowo, każda zmiana wprowadzona przez programistów jest poddawana wzajemnej ocenie.

Środowiska izolowane

Systemy testowe i wersje oprogramowania w Workai są logicznie odseparowane od systemów produkcyjnych. W ramach testów, Workai generuje wyłącznie dane testowe.

Testy bezpieczeństwa

Workai nawiązuje współpracę z zewnętrznymi zespołami ds. testów penetracyjnych w celu regularnego przeprowadzania niezależnych testów co najmniej raz w roku. W ramach oceny, Workai korzysta z ustalonej punktacji Common Vulnerability Scoring System (CVSS) do określenia wagi wszelkich wykrytych podatności.

Prywatność i Ochrona Danych

Jako firma działająca na obszarze UE, Workai przywiązuje ogromną wagę do prywatności i ochrony danych w kontekście rozwoju naszych produktów, oferty usług i wewnętrznego zarządzania. Mając na uwadze, że UE wprowadza jedne z najbardziej rygorystycznych przepisów dotyczących prywatności danych na świecie, nasza metodyka tworzenia i rozwijania produktów uwzględnia nasze doświadczenia zdobyte w Europie.

Umowy powierzenia przetwarzania danych (DPA) zgodne z RODO

Workai zapewnia swoim klientom umowy przetwarzania danych osobowych (DPA) zgodne z Rozporządzeniem Ogólnym o Ochronie Danych Osobowych (RODO). Ponadto, w ramach procesu oceny dostawców, Workai podpisuje umowy DPA z wszystkimi podwykonawcami przetwarzającymi dane osobowe.

Zgodność z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych UE (RODO)

Workai spełnia wymogi Ogólnego Rozporządzenia o Ochronie Danych Osobowych UE (RODO), oferując bezpieczną platformę komunikacji, która w równym stopniu chroni dane pracowników i klientów. Najwyższym priorytetem Workai jest prawo do prywatności klientów i pracowników, a także bezpieczeństwo ich danych osobowych.

Lokalizacja Danych

Nasze serwery znajdujące się na platformie Microsoft Azure w Europie, posiadają następujące certyfikaty: ISO 27001:2013, ISO 27017:2015, ISO 27018:2014, ISO 20000-1:2011, ISO 22301:2012, ISO 9001:2015 i CSA STAR.

Fizyczna pamięć masowa jest poddawana szyfrowaniu, a dyski oznaczone do wymiany są bezpiecznie zastępowane zgodnie z metodami zgodnymi z NIST 800-88, zapewniającymi odpowiednie zabezpieczenie.

Usługi Azure wykorzystują wielowarstwowe mechanizmy, które zapewniają klientom najwyższe standardy ochrony dostępu do ich zasobów, co gwarantuje zabezpieczenia przed nieautoryzowanym dostępem innych użytkowników, a także ataków z zewnątrz. Zasoby klientów są chronione, a dedykowane mechanizmy zapobiegają nadmiernemu zużyciu zasobów. Szczegółowy opis zastosowanych mechanizmów można znaleźć w odpowiedniej dokumentacji.

  • Izolacja jest egzekwowana na różnych poziomach, w tym:
  • Izolacja klientów na poziomie subskrypcji i usług autoryzacji.
  • Izolacja zasobów na poziomie warstwy obliczeniowej (maszyny wirtualne, usługi).
  • Izolacja na poziomie sieci i kont przechowywania danych.
  • Izolacja na poziomie sieci od świata zewnętrznego, w tym Internetu.
Chcesz dowiedzieć się więcej o naszych protokołach bezpieczeństwa? Porozmawiajmy.