Wersja dokumentu: 1.0
Data obowiązywania: 01.01.2026
§1. Cel dokumentu
- Dokument opisuje podstawowe środki techniczne i organizacyjne stosowane przez ROVENS w celu ochrony danych przetwarzanych w ramach usługi ROVENS Integracja Wapro.
- Środki te mają na celu zapewnienie poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania.
- Dokument może być aktualizowany wraz z rozwojem Usługi, zmianami technologicznymi, zmianami organizacyjnymi lub zmianami poziomu ryzyka.
§2. Kontrola dostępu
- Dostęp do systemów ROVENS jest ograniczony do osób upoważnionych.
- Konta administracyjne są nadawane zgodnie z zasadą minimalnych uprawnień.
- Dostęp administracyjny jest ograniczany do zakresu niezbędnego do realizacji obowiązków.
- Dostęp do Panelu wymaga uwierzytelnienia.
- ROVENS może stosować dodatkowe mechanizmy ochrony kont, w szczególności silne hasła, uwierzytelnianie wieloskładnikowe, ograniczenia dostępu, logowanie zdarzeń oraz monitorowanie nietypowej aktywności.
- Dostęp do kont administracyjnych oraz kont posiadających dostęp do danych osobowych, konfiguracji integracji, tokenów API lub funkcji eksportu danych może wymagać uwierzytelniania wieloskładnikowego albo innego równoważnego mechanizmu podwyższonego poziomu bezpieczeństwa.
§3. Bezpieczeństwo transmisji
- Komunikacja pomiędzy Connectorem a Usługą odbywa się z wykorzystaniem szyfrowanego połączenia HTTPS/TLS, o ile nie uzgodniono inaczej.
- Connector autoryzuje się przy użyciu tokena API lub innego mechanizmu dostępowego.
- Tokeny i klucze dostępowe powinny być chronione przez Klienta przed dostępem osób nieuprawnionych.
- W przypadku podejrzenia ujawnienia tokena Klient powinien niezwłocznie unieważnić token lub skontaktować się z ROVENS.
§4. Separacja danych
- ROVENS stosuje logiczną separację danych klientów.
- Dostęp do danych klienta jest ograniczony do uprawnionych użytkowników i procesów technicznych.
- Dane klientów nie są wykorzystywane do celów innych niż świadczenie Usługi, chyba że Klient wyraził zgodę lub wynika to z przepisów prawa.
§5. Logowanie i monitoring
- ROVENS może prowadzić logi techniczne, aplikacyjne i bezpieczeństwa.
- Logi mogą obejmować w szczególności:
a) datę i godzinę zdarzenia,
b) identyfikator konta,
c) adres IP,
d) identyfikator integracji,
e) informacje o błędach synchronizacji,
f) informacje o użyciu tokena,
g) zdarzenia administracyjne,
h) zdarzenia bezpieczeństwa. - Logi są wykorzystywane do diagnostyki, zapewnienia ciągłości działania, wykrywania nadużyć, analizy incydentów oraz ochrony Usługi.
§6. Kopie zapasowe
- ROVENS może wykonywać kopie zapasowe systemów i danych niezbędnych do świadczenia Usługi.
- Kopie zapasowe są przechowywane przez okres zgodny z przyjętą retencją backupów.
- Dostęp do kopii zapasowych jest ograniczony do osób upoważnionych.
- Dane znajdujące się w kopiach zapasowych są usuwane zgodnie z cyklem retencji, chyba że dłuższe przechowywanie jest wymagane prawem lub konieczne ze względów bezpieczeństwa.
§7. Aktualizacje i utrzymanie
- ROVENS podejmuje działania mające na celu utrzymanie aktualności i bezpieczeństwa wykorzystywanych systemów.
- Aktualizacje mogą obejmować system operacyjny, komponenty aplikacyjne, biblioteki, konfigurację serwera, zabezpieczenia i elementy infrastruktury.
- W przypadku wykrycia podatności ROVENS podejmuje działania adekwatne do poziomu ryzyka.
§8. Ochrona przed nadużyciami
- ROVENS może stosować mechanizmy ochrony przed nadużyciami, w szczególności:
a) ograniczenia liczby zapytań,
b) blokady kont lub tokenów,
c) filtrowanie ruchu,
d) monitoring błędów,
e) analizę logów,
f) reguły bezpieczeństwa,
g) alertowanie o nietypowych zdarzeniach. - ROVENS może czasowo ograniczyć dostęp do Usługi, jeżeli działanie konta, Connectora lub integracji może zagrażać bezpieczeństwu Usługi lub danych.
§9. Poufność i upoważnienia
- Osoby mające dostęp do danych są zobowiązane do zachowania poufności.
- Dostęp do danych jest nadawany wyłącznie w zakresie niezbędnym do realizacji zadań.
- ROVENS ogranicza dostęp do danych produkcyjnych, jeżeli nie jest on konieczny do obsługi Usługi, diagnostyki lub usunięcia awarii.
§10. Incydenty bezpieczeństwa
- ROVENS posiada procedurę reagowania na incydenty bezpieczeństwa.
- W przypadku stwierdzenia naruszenia ochrony danych osobowych dotyczącego danych powierzonych przez Klienta, ROVENS informuje Klienta bez zbędnej zwłoki.
- ROVENS podejmuje działania mające na celu ograniczenie skutków incydentu, zabezpieczenie dowodów, usunięcie przyczyny oraz zmniejszenie ryzyka ponownego wystąpienia.
§11. Minimalizacja danych
- ROVENS przetwarza dane w zakresie niezbędnym do świadczenia Usługi.
- Zakres danych przesyłanych do Usługi zależy od konfiguracji integracji oraz danych przekazywanych przez Klienta.
- Klient powinien konfigurować integrację w sposób ograniczający przekazywanie danych nadmiarowych.
§12. Usuwanie danych
- Po zakończeniu korzystania z Usługi dane Klienta mogą zostać usunięte albo zwrócone zgodnie z Umową powierzenia.
- Usuwanie danych z kopii zapasowych odbywa się zgodnie z cyklem retencji backupów.
- ROVENS może zachować dane, których dalsze przechowywanie jest wymagane przez prawo lub konieczne do obrony przed roszczeniami.
