Trust Center: Bezpieczeństwo, zgodność i jakość zorientowana na człowieka

Wyniki niezależnych testów penetracyjnych (VAPT)

Nasza platforma jest oceniana przez zewnętrznych testerów posiadających certyfikat OSCP/CREST przy użyciu metodologii OWASP i PTES. Ostatnia ocena (wrzesień 2025 r.) nie wykazała żadnych błędów krytycznych/wysokich, a priorytetowe ustalenia zostały naprawione i zweryfikowane podczas ponownego testu. Poproś o dostęp do aktualnego podsumowania dla kierownictwa i pełnego raportu VAPT (dostępnego w ramach NDA).

Wersja 1.2 — 07 sty 2025

Standard kontroli dostępu i uwierzytelniania (SSO/MFA i najmniejsze uprawnienia)

Rygorystyczny standard zarządzania dostępem w przedsiębiorstwie obejmujący domyślnie SSO + MFA, administrację tylko przez bastion, kwartalne przeglądy uprawnień, monitorowanie SIEM, sekrety w skarbcu z zaplanowaną rotacją oraz zabezpieczenia punktów końcowych/sieci typu zero trust. Zaprojektowany pod kątem kontroli ISO 27001/NIST, dowodów audytu i egzekwowania najmniejszych uprawnień w chmurze, SaaS i punktach końcowych.

Wersja 1.2 — 07 sty 2025

Program bezpieczeństwa i ramy kontroli (zgodne z ISO/NIST)

Przegląd ISMS GoTranscript: Zgodność z ISO 27001/27002/27017/27018 i NIST CSF, zarządzanie ryzykiem, model klasyfikacji/przechowywania, zarządzanie incydentami (72-godzinne okno naruszenia), utwardzanie operacji IT i bezpieczny SDLC. Idealny do due diligence, zapytań ofertowych (RFP) i przeglądów dokumentacji przez audytorów.

Wersja 1.2 — 07 sty 2025

Polityka bezpieczeństwa i szkoleń pracowników

Bezpieczeństwo osób w przedsiębiorstwie: zautomatyzowany dostęp dla nowych pracowników/przeniesień/odejść poprzez SSO + MFA, 90-minutowe wdrożenie, szkolenie PII Departamentu Obrony USA w ciągu 30 dni, comiesięczne mikrolekcje, kwartalne testy phishingowe i 4-godzinne SLA wyłączenia dostępu przy odejściach z natychmiastową rotacją sekretów. Gotowe na dowody w audytach i BAA.

Wersja 1.2 — 07 sty 2025

Standard reagowania na incydenty bezpieczeństwa i ochrony przed złośliwym oprogramowaniem

Formalny podręcznik IR (Przygotowanie→Wykrywanie→Powstrzymywanie→Eliminacja→Po incydencie), zasada raportowania w ciągu 15 minut, wytyczne dotyczące powiadamiania ICO/RODO w ciągu 72 godzin, przechowywanie dowodów przez 7 lat i utwardzony stos EDR/AV (Defender, CrowdStrike, ESET, GuardDuty) ze skanowaniem przesłanych plików i kwartalnymi testami EICAR. Zaprojektowany dla środowisk regulowanych.

Rewizja 4 — 27 wrz 2025

Korporacyjna polityka bezpieczeństwa informacji

Polityka zarządzająca poufnością, integralnością i dostępnością w całym przedsiębiorstwie: klasyfikacja, obsługa przez strony trzecie, bezpieczne przechowywanie/utylizacja, zarządzanie zmianami, reagowanie na incydenty, ciągłość i zgodność. Jasny zakres/definicje dla przygotowania do audytu i współpracy z organami regulacyjnymi.

Wersja 1.2 — 07 sty 2025

Ramy odporności operacyjnej i ciągłości działania

Zobowiązania dotyczące czasu pracy i odzyskiwania dla nabywców korporacyjnych: dostępność ≥99,9%, RTO ≤1h, RPO ≤15m, architektura multi-AZ, zaszyfrowane kopie zapasowe między regionami z kontrolą integralności, coroczne przełączenia awaryjne/analizy teoretyczne i integracja IR z powiadomieniami o naruszeniu w ciągu 72 godzin w razie potrzeby.

Wersja 1.2 — 07 sty 2025

Kontrole bezpieczeństwa operacji IT i KPI

Codzienna własność kontroli i strumienie dowodów dla audytów: SLA poprawek (krytyczne ≤14 dni), 100% szyfrowanie/MFA/kopie zapasowe, CMDB w czasie rzeczywistym, kontrola zmian IaC, pulpity nawigacyjne KPI i kadencja szkoleń/ćwiczeń IR. Mapuje wymagania ISMS na odpowiedzialne zadania operacyjne i raportowanie.

Ostatnia aktualizacja — 19 sty 2025

Zapewnienie jakości przez ludzi (Precisa QMS): Weryfikacja i edycja dwuetapowa

Program QA klasy korporacyjnej wykonywany przez ludzi: selektywny dobór, testy językowe w 140 językach, obowiązkowy przegląd przez dwie osoby każdego pliku, ciągła ocena, skalibrowani edytorzy i ścisła obsługa NDA/minimalna ekspozycja, zaprojektowane dla obciążeń wrażliwych na HIPAA/RODO.

Wersja 1.2 — 07 sty 2025

Polityka zarządzania ryzykiem bezpieczeństwa (ISO 27001 / NIST CSF)

Jak identyfikujemy, oceniamy, traktujemy i zarządzamy ryzykiem: kwartalne przeglądy, przegląd kierownictwa ds. bezpieczeństwa, zatwierdzenie ryzyka szczątkowego, mapowanie kontroli na ISO 27001/27017/27018, NIST CSF, PCI DSS i OWASP ASVS; integruje się z kontrolą dostępu, ciągłością, klasyfikacją i reagowaniem na incydenty.

Wersja 1.2 — 07 sty 2025

Polityka przetwarzania wyłącznie przez ludzi (Zero AI, w razie potrzeby)

Jasne stanowisko w zakresie zapewnienia klienta: żadne systemy AI nie przetwarzają danych klientów. Blokady sieci i punktów końcowych, biała lista oprogramowania, comiesięczne audyty, szkolenia wdrożeniowe/roczne i dyscyplinarne egzekwowanie poprzez proces incydentów ISMS. Idealne dla zaangażowań wrażliwych na prywatność i regulowanych.