Saugumo politika
Paskutinį kartą atnaujinta: 2024 m. gegužės 4 d.
Ši saugumo politika aprašo, kaip „Pescandoli" (pescandoli.biz) užtikrina platformos, jos naudotojų duomenų ir susijusių sistemų saugumą. Saugumo priemonės taikomos visoms paslaugoms, pasiekiamoms per pescandoli.biz.
1. Bendrosios nuostatos
Mūsų tikslas – užtikrinti, kad visi naudotojų duomenys, mokymosi turinys ir sistemos resursai būtų apsaugoti nuo neteisėtos prieigos, praradimo ar pakeitimo. Saugumo politika taikoma visiems darbuotojams, rangovams ir trečiosioms šalims, turinčioms prieigą prie sistemų.
2. Duomenų apsauga
2.1 Duomenų šifravimas
Visi duomenys, perduodami tarp naudotojo naršyklės ir mūsų serverių, šifruojami naudojant TLS (Transport Layer Security) protokolą. Saugomi duomenys taip pat šifruojami naudojant pramonės standartus atitinkančius algoritmus.
2.2 Duomenų saugojimas
Asmens duomenys saugomi tik tiek laiko, kiek reikalinga paslaugų teikimui ir kaip numatyta privatumo politikoje. Pasibaigus saugojimo laikotarpiui, duomenys saugiai ištrinami arba anonimizuojami.
2.3 Prieigos kontrolė
- Prieiga prie naudotojų duomenų suteikiama tik tiems darbuotojams, kuriems ji būtina pareigų vykdymui.
- Taikomas mažiausių privilegijų principas – kiekvienam vartotojui suteikiama minimali reikalinga prieiga.
- Visos prieigos teisės reguliariai peržiūrimos ir atnaujinamos.
3. Autentifikacija ir autorizacija
3.1 Slaptažodžių reikalavimai
Naudotojams rekomenduojama naudoti stiprius slaptažodžius. Sistema reikalauja, kad slaptažodis atitiktų šiuos reikalavimus:
- Ne mažiau kaip 8 simboliai.
- Didžiųjų ir mažųjų raidžių derinys.
- Bent vienas skaičius arba specialus simbolis.
3.2 Dviejų veiksnių autentifikacija
Administratoriaus paskyrose dviejų veiksnių autentifikacija (2FA) yra privaloma. Paprastiems naudotojams ši funkcija siūloma kaip papildoma apsaugos priemonė.
3.3 Seansų valdymas
Neaktyvūs seansai automatiškai užbaigiami po nustatyto laiko. Kiekvienas prisijungimo įvykis registruojamas ir stebimas.
4. Infrastruktūros saugumas
4.1 Serverių apsauga
- Serveriai reguliariai atnaujinami, diegiami saugos pataisymai.
- Naudojamos ugniasienės ir įsilaužimo aptikimo sistemos.
- Techninė infrastruktūra stebima visą parą.
4.2 Atsarginės kopijos
Duomenų atsarginės kopijos daromos reguliariai. Kopijos saugomos šifruotame pavidale atskirose saugojimo vietose. Atsarginių kopijų atkūrimo procedūros periodiškai testuojamos.
4.3 Tinklo saugumas
Vidiniai tinklai segmentuoti, kad būtų apribotas galimas žalos plitimas saugumo incidento atveju. Visi išoriniai ryšiai stebimi ir filtruojami.
5. Programinės įrangos saugumas
5.1 Saugios kūrimo praktikos
Programinės įrangos kūrimo procese taikomi saugaus kodavimo standartai. Prieš išleidžiant naujinimus, atliekami saugumo patikrinimai ir kodo peržiūros.
5.2 Pažeidžiamumų valdymas
Nustatyti pažeidžiamumai klasifikuojami pagal svarbą ir šalinami laikantis šių terminų:
| Kritinis lygis | Šalinimo terminas |
|---|---|
| Kritinis | Per 24 valandas |
| Aukštas | Per 7 dienas |
| Vidutinis | Per 30 dienų |
| Žemas | Per 90 dienų |
5.3 Trečiųjų šalių komponentai
Naudojamos trečiųjų šalių bibliotekos ir komponentai nuolat stebimi dėl žinomų pažeidžiamumų. Saugumo atnaujinimai diegiami kuo greičiau.
6. Fizinis saugumas
Techninė įranga ir duomenų centrai apsaugoti fizinėmis priemonėmis, įskaitant ribotą prieigą, vaizdo stebėjimą ir aplinkos parametrų kontrolę. Prieiga prie fizinės infrastruktūros suteikiama tik įgaliotiems asmenims.
7. Saugumo incidentų valdymas
7.1 Incidentų aptikimas
Sistema stebima automatizuotomis priemonėmis, kurios aptinka neįprastą veiklą ir apie ją praneša. Visi įtartini įvykiai nedelsiant tiriami.
7.2 Reagavimas į incidentus
Saugumo incidento atveju:
- Incidentas nedelsiant identifikuojamas ir izoliuojamas.
- Atliekamas poveikio įvertinimas.
- Imamasi priemonių žalai sumažinti ir sistemai atstatyti.
- Atliekama incidento analizė ir dokumentavimas.
- Diegiamos prevencinės priemonės.
7.3 Pranešimas naudotojams
Jei saugumo incidentas galėjo paveikti naudotojų duomenis, naudotojai informuojami per pagrįstą laikotarpį. Pranešime nurodomas incidento pobūdis, galimas poveikis ir rekomenduojami veiksmai.
8. Darbuotojų saugumas
Visi darbuotojai, turintys prieigą prie sistemų ar naudotojų duomenų, privalo:
- Susipažinti su šia saugumo politika ir jos laikytis.
- Dalyvauti saugumo mokymuose.
- Nedelsiant pranešti apie pastebėtus saugumo pažeidimus ar įtartinus įvykius.
- Naudoti tik patvirtintus įrankius ir sistemas darbui su duomenimis.
9. Atsakingo atskleidimo programa
Jei aptinkate saugumo pažeidžiamumą mūsų platformoje, prašome pranešti apie jį atsakingai. Saugumo tyrinėtojų pranešimai priimami el. paštu [email protected]. Įsipareigojame:
- Patvirtinti pranešimo gavimą per 5 darbo dienas.
- Nesiimti teisinių veiksmų prieš tyrinėtojus, pranešusius atsakingai.
- Informuoti pranešėją apie pažeidžiamumo šalinimo eigą.
10. Trečiųjų šalių paslaugos
Trečiųjų šalių paslaugų teikėjai, turintys prieigą prie mūsų sistemų ar duomenų, privalo laikytis saugumo reikalavimų, ne žemesnių nei nustatytieji šioje politikoje. Trečiųjų šalių saugumo praktikos periodiškai vertinamos.
11. Politikos peržiūra
Ši saugumo politika peržiūrima ne rečiau kaip kartą per metus arba esant reikšmingiems pokyčiams sistemoje, grėsmių aplinkoje ar teisiniuose reikalavimuose. Atnaujinta politikos versija paskelbiama šiame puslapyje.
12. Kontaktai
Klausimais dėl šios saugumo politikos arba norint pranešti apie saugumo incidentą, kreipkitės:
El. paštas: [email protected]
Telefonas: +370 454 33440
Adresas: Saulėtekio g., Plungė 90154, Lietuva