Pescandoli logotipas
Pescandoli
Biudžeto pagrindai kiekvienam

Saugumo politika

Paskutinį kartą atnaujinta: 2024 m. gegužės 4 d.

Ši saugumo politika aprašo, kaip „Pescandoli" (pescandoli.biz) užtikrina platformos, jos naudotojų duomenų ir susijusių sistemų saugumą. Saugumo priemonės taikomos visoms paslaugoms, pasiekiamoms per pescandoli.biz.

1. Bendrosios nuostatos

Mūsų tikslas – užtikrinti, kad visi naudotojų duomenys, mokymosi turinys ir sistemos resursai būtų apsaugoti nuo neteisėtos prieigos, praradimo ar pakeitimo. Saugumo politika taikoma visiems darbuotojams, rangovams ir trečiosioms šalims, turinčioms prieigą prie sistemų.

2. Duomenų apsauga

2.1 Duomenų šifravimas

Visi duomenys, perduodami tarp naudotojo naršyklės ir mūsų serverių, šifruojami naudojant TLS (Transport Layer Security) protokolą. Saugomi duomenys taip pat šifruojami naudojant pramonės standartus atitinkančius algoritmus.

2.2 Duomenų saugojimas

Asmens duomenys saugomi tik tiek laiko, kiek reikalinga paslaugų teikimui ir kaip numatyta privatumo politikoje. Pasibaigus saugojimo laikotarpiui, duomenys saugiai ištrinami arba anonimizuojami.

2.3 Prieigos kontrolė

3. Autentifikacija ir autorizacija

3.1 Slaptažodžių reikalavimai

Naudotojams rekomenduojama naudoti stiprius slaptažodžius. Sistema reikalauja, kad slaptažodis atitiktų šiuos reikalavimus:

3.2 Dviejų veiksnių autentifikacija

Administratoriaus paskyrose dviejų veiksnių autentifikacija (2FA) yra privaloma. Paprastiems naudotojams ši funkcija siūloma kaip papildoma apsaugos priemonė.

3.3 Seansų valdymas

Neaktyvūs seansai automatiškai užbaigiami po nustatyto laiko. Kiekvienas prisijungimo įvykis registruojamas ir stebimas.

4. Infrastruktūros saugumas

4.1 Serverių apsauga

4.2 Atsarginės kopijos

Duomenų atsarginės kopijos daromos reguliariai. Kopijos saugomos šifruotame pavidale atskirose saugojimo vietose. Atsarginių kopijų atkūrimo procedūros periodiškai testuojamos.

4.3 Tinklo saugumas

Vidiniai tinklai segmentuoti, kad būtų apribotas galimas žalos plitimas saugumo incidento atveju. Visi išoriniai ryšiai stebimi ir filtruojami.

5. Programinės įrangos saugumas

5.1 Saugios kūrimo praktikos

Programinės įrangos kūrimo procese taikomi saugaus kodavimo standartai. Prieš išleidžiant naujinimus, atliekami saugumo patikrinimai ir kodo peržiūros.

5.2 Pažeidžiamumų valdymas

Nustatyti pažeidžiamumai klasifikuojami pagal svarbą ir šalinami laikantis šių terminų:

Kritinis lygis Šalinimo terminas
Kritinis Per 24 valandas
Aukštas Per 7 dienas
Vidutinis Per 30 dienų
Žemas Per 90 dienų

5.3 Trečiųjų šalių komponentai

Naudojamos trečiųjų šalių bibliotekos ir komponentai nuolat stebimi dėl žinomų pažeidžiamumų. Saugumo atnaujinimai diegiami kuo greičiau.

6. Fizinis saugumas

Techninė įranga ir duomenų centrai apsaugoti fizinėmis priemonėmis, įskaitant ribotą prieigą, vaizdo stebėjimą ir aplinkos parametrų kontrolę. Prieiga prie fizinės infrastruktūros suteikiama tik įgaliotiems asmenims.

7. Saugumo incidentų valdymas

7.1 Incidentų aptikimas

Sistema stebima automatizuotomis priemonėmis, kurios aptinka neįprastą veiklą ir apie ją praneša. Visi įtartini įvykiai nedelsiant tiriami.

7.2 Reagavimas į incidentus

Saugumo incidento atveju:

  1. Incidentas nedelsiant identifikuojamas ir izoliuojamas.
  2. Atliekamas poveikio įvertinimas.
  3. Imamasi priemonių žalai sumažinti ir sistemai atstatyti.
  4. Atliekama incidento analizė ir dokumentavimas.
  5. Diegiamos prevencinės priemonės.

7.3 Pranešimas naudotojams

Jei saugumo incidentas galėjo paveikti naudotojų duomenis, naudotojai informuojami per pagrįstą laikotarpį. Pranešime nurodomas incidento pobūdis, galimas poveikis ir rekomenduojami veiksmai.

8. Darbuotojų saugumas

Visi darbuotojai, turintys prieigą prie sistemų ar naudotojų duomenų, privalo:

9. Atsakingo atskleidimo programa

Jei aptinkate saugumo pažeidžiamumą mūsų platformoje, prašome pranešti apie jį atsakingai. Saugumo tyrinėtojų pranešimai priimami el. paštu [email protected]. Įsipareigojame:

10. Trečiųjų šalių paslaugos

Trečiųjų šalių paslaugų teikėjai, turintys prieigą prie mūsų sistemų ar duomenų, privalo laikytis saugumo reikalavimų, ne žemesnių nei nustatytieji šioje politikoje. Trečiųjų šalių saugumo praktikos periodiškai vertinamos.

11. Politikos peržiūra

Ši saugumo politika peržiūrima ne rečiau kaip kartą per metus arba esant reikšmingiems pokyčiams sistemoje, grėsmių aplinkoje ar teisiniuose reikalavimuose. Atnaujinta politikos versija paskelbiama šiame puslapyje.

12. Kontaktai

Klausimais dėl šios saugumo politikos arba norint pranešti apie saugumo incidentą, kreipkitės:

El. paštas: [email protected]
Telefonas: +370 454 33440
Adresas: Saulėtekio g., Plungė 90154, Lietuva