Sigurnosna Politika

ASYNC INTEGRATIONS d.o.o. je posvećen održavanju sigurnosti i povjerljivosti klijentskih podataka i podataka o plaćanju.

Ova Sigurnosna politika objašnjava naše prakse zaštite osjetljivih informacija, posebno u odnosu na obradu plaćanja i prijenos podataka.

Provodimo sigurnosne mjere u skladu s industrijskim standardima i postupamo u skladu s primjenjivim propisima o zaštiti podataka uključujući GDPR.

Koristimo Wise Europe SA kao naš procesor plaćanja za sve transakcije karticama i online plaćanja.

Usklađenost s Payment Card Industry Data Security Standard (PCI DSS):

• Wise ima PCI DSS Level 1 certifikat

• MI NE pohranjujemo, obrađujemo niti prenosimo podatke o platnim karticama na našim sustavima

• Sve informacije o platnim karticama obrađuje isključivo Wise

• Platne transakcije obrađuju se putem Wise-ovog sigurnog platnog gateway-a

Kada izvršite plaćanje:

• Preusmjeravate se na Wise-ovu sigurnu platnu platformu

• Podaci o plaćanju prenose se izravno Wise-u koristeći enkripciju

• Mi primamo samo potvrdu statusa plaćanja, ne vaše podatke o kartici

Nikada ne tražimo vaše podatke o platnoj kartici putem e-pošte, telefona ili nesigurnih kanala.

Svi podaci koji se prenose između vas i naših sustava su zaštićeni:

• Naša web stranica koristi HTTPS/TLS enkripciju za sve veze

• E-pošta komunikacija sadrži samo neosjetljive informacije kada je to moguće

• Osjetljive projektne datoteke dijele se putem sigurnih, enkriptiranih kanala

• Koristimo sigurne protokole za prijenos datoteka za isporuke

• Pristup našim sustavima zahtijeva snažnu autentifikaciju

Preporučujemo da klijenti također koriste sigurne metode komunikacije pri dijeljenju osjetljivih informacija.

Provodimo stroge kontrole pristupa za zaštitu vaših podataka:

• Pristup klijentskim podacima ograničen je samo na ovlašteno osoblje

• Članovima tima dodjeljuje se minimalno potreban pristup (princip najmanjih privilegija)

• Sav pristup se bilježi i prati

• Potrebne su jake lozinke i višefaktorska autentifikacija

• Redoviti pregledi pristupa osiguravaju da samo trenutni članovi tima imaju pristup

• Izvođači i podizvođači vezani su ugovorima o povjerljivosti

Naša tehnička infrastruktura uključuje više slojeva sigurnosti:

• Sigurni, redovito ažurirani poslužitelji i hosting okruženja

• Vatrozidi i sustavi za otkrivanje upada

• Redovite sigurnosne zakrpe i ažuriranja

• Enkriptirana pohrana podataka gdje je primjenjivo

• Redovite sigurnosne kopije s enkriptiranom pohranom

• Planovi oporavka od katastrofe i kontinuiteta poslovanja

Projekti klijenata mogu biti smješteni na renomiranim cloud platformama (AWS, DigitalOcean, itd.) koje održavaju ISO 27001 i SOC 2 certifikate.

Slijedimo sigurne prakse kodiranja u svim razvojnim radovima:

• Pregledi koda i sigurnosno testiranje

• Redovita ažuriranja ovisnosti i skeniranje ranjivosti

• Zaštita od uobičajenih ranjivosti (OWASP Top 10)

• Sigurne implementacije autentifikacije i autorizacije

• Validacija ulaza i kodiranje izlaza

• Sigurno upravljanje sesijama

• Redovite sigurnosne revizije naših isporuka

Dizajniramo sustave sa sigurnošću kao temeljnim principom, a ne kao naknadnim dodatkom.

Aktivno pratimo sigurnosne prijetnje:

• Dnevnici sustava prate se za sumnjive aktivnosti

• Automatizirane obavijesti za potencijalne sigurnosne incidente

• Redovite sigurnosne procjene i testiranje penetracije

• Plan odgovora na incidente za brzi odgovor na povrede

U slučaju sigurnosnog incidenta:

• Odmah istražujemo kako bismo suzbili i otklonili problem

• Pogođeni klijenti su obaviješteni u roku od 72 sata (kako zahtijeva GDPR)

• Radimo s klijentima na minimiziranju utjecaja

• Izvješćujemo nadležna tijela prema potrebi zakona

• Provodimo mjere za sprječavanje ponovnog nastanka

Svi članovi tima primaju sigurnosnu obuku:

• GDPR i svijest o zaštiti podataka

• Sigurne prakse kodiranja

• Prepoznavanje phishinga i socijalnog inženjeringa

• Postupci za prijavu incidenata

• Obveze povjerljivosti i neotkrivanja

Članovi tima potpisuju ugovore o povjerljivosti i vezani su našim sigurnosnim politikama.

Klijenti dijele odgovornost za sigurnost:

• Održavajte jake lozinke za sve račune koje pružamo

• Ne dijelite podatke za prijavu

• Odmah prijavite sumnjive aktivnosti

• Održavajte svoje sustave i softver ažurirane

• Slijedite naše sigurnosne preporuke za implementirane aplikacije

• Pregledajte i odobrite sigurnosne mjere u projektnim ugovorima

Pružamo sigurnosne smjernice i preporuke, ali ne možemo kontrolirati sigurnost na strani klijenta.

Postupamo u skladu s relevantnim sigurnosnim i privatnim propisima:

• EU Opća uredba o zaštiti podataka (GDPR)

• Hrvatski zakon o zaštiti podataka

• PCI DSS (putem našeg procesora plaćanja Wise)

• Direktiva o platnim uslugama 2 (PSD2) gdje je primjenjivo

Pratimo izmjene propisa i ažuriramo naše prakse sukladno tome.

Kada koristimo usluge trećih strana u ime klijenata:

• Provjeravamo dobavljače za sigurnosne prakse

• Zahtijevamo ugovore o obradi podataka (DPA) gdje je to prikladno

• Provjeravamo usklađenost s relevantnim standardima (ISO 27001, SOC 2, itd.)

• Ograničavamo dijeljenje podataka na ono što je potrebno

Ključne usluge trećih strana:

• Wise (obrada plaćanja) - PCI DSS Level 1, GDPR usklađen

• Pružatelji hostinga - ISO 27001, SOC 2 certificirani

• Usluge e-pošte - GDPR usklađene

Ova Sigurnosna politika se redovito pregledava i ažurira prema potrebi.

Promjene odražavaju razvijajuće sigurnosne prijetnje, nove tehnologije i regulatorne zahtjeve.

Materijalne promjene bit će priopćene aktivnim klijentima.

Datum 'Zadnje ažurirano' na vrhu ove politike označava najnoviju reviziju.

Ako imate sigurnosne zabrinutosti ili želite prijaviti sigurnosni problem:

E-pošta: hello@asyncintegrations.hr

Predmet: 'SIGURNOST - [Kratak opis]'

Telefon: +385 97 7877 127

Sve sigurnosne prijave uzimamo ozbiljno i brzo odgovaramo.

Za odgovorno otkrivanje ranjivosti u našim sustavima, kontaktirajte nas privatno prije javnog objavljivanja.