Polityka Bezpieczeństwa i Środki Ochrony Danych
Szczegółowy opis technicznych, kryptograficznych i fizycznych mechanizmów zabezpieczających infrastrukturę teleinformatyczną oraz bazy danych Social Forum House.
Architektura Systemów Teleinformatycznych i Kryptografia
Bezpieczeństwo integralności oraz poufności danych cyfrowych naszych gości stanowi dla Social Forum House priorytet technologiczny. Wszystkie połączenia realizowane pomiędzy przeglądarką internetową Użytkownika a serwerem, na którym osadzona jest nasza strona oraz system rezerwacyjny, są bezwzględnie szyfrowane przy użyciu protokołu Hypertext Transfer Protocol Secure (HTTPS).
Do zabezpieczenia transmisji stosujemy zaawansowany certyfikat SSL/TLS z kluczem asymetrycznym o długości 2048 bitów oraz algorytmem szyfrowania SHA-256. Gwarantuje to, że wszelkie informacje wprowadzane w formularzach (dane kontaktowe, szczegóły rezerwacji loży czy zapytania o członkostwo) są całkowicie chronione przed przechwyceniem lub modyfikacją przez podmioty trzecie (ataki typu Man-in-the-Middle).
Bazy danych przechowujące informacje o kontach klubowych, historii turniejowej oraz subskrypcjach newslettera są odizolowane od publicznej sieci internetowej za pomocą wielopoziomowych zapór sieciowych (Firewalls) oraz systemów wykrywania i zapobiegania włamaniom (IDS/IPS), które całodobowo monitorują i blokują nietypowe pakiety sieciowe oraz próby nieautoryzowanego dostępu.
Organizacyjne Środki Ochrony i Restrykcyjna Kontrola Dostępu
Środki techniczne są skuteczne wyłącznie wtedy, gdy towarzyszą im rygorystyczne procedury wewnętrzne. W Social Forum House wdrożyliśmy zasadę minimalnych uprawnień (Principle of Least Privilege). Oznacza to, że dostęp do baz danych osobowych posiadają wyłącznie wyznaczeni, przeszkoleni pracownicy administracji oraz recepcji, dla których te informacje są bezwzględnie konieczne do wykonywania obowiązków służbowych.
Każdy członek personelu posiadający uprawnienia do przetwarzania danych został zobowiązany do podpisania imiennego oświadczenia o zachowaniu poufności, które zachowuje ważność również po ustaniu stosunku pracy z Klubem. Dostęp do paneli administracyjnych jest zabezpieczony za pomocą unikalnych, spersonalizowanych kont uwierzytelniających.
Wprowadziliśmy politykę wymuszania haseł o wysokim stopniu złożoności (minimum 12 znaków, w tym cyfry, znaki specjalne oraz wielkie i małe litery), a także obowiązek stosowania uwierzytelniania dwuskładnikowego (2FA) dla wszystkich kont posiadających uprawnienia menedżerskie i deweloperskie. Systemy automatycznie rejestrują każdą operację edycji lub usunięcia danych w celu audytowym.
Fizyczne Zabezpieczenia Infrastruktury Serwerowej i Lokalu
Ochrona danych to także dbałość o infrastrukturę fizyczną, w której te dane są przetwarzane. Serwery dedykowane obsługujące naszą platformę internetową zlokalizowane są w profesjonalnym, certyfikowanym centrum danych na terenie Unii Europejskiej, spełniającym najwyższe standardy bezpieczeństwa przemysłowego zgodnie z normą ISO/IEC 27001.
Centrum danych zabezpieczone jest całodobową ochroną fizyczną, systemami kontroli dostępu opartej na biometrii, telewizją przemysłową CCTV oraz zaawansowanymi systemami przeciwpożarowymi (wczesna detekcja dymu VESDA oraz gaszenie gazem obojętnym). Infrastruktura posiada pełną redundancję zasilania (systemy UPS oraz generatory prądotwórcze) oraz redundantne łącza światłowodowe.
Na terenie samego Klubu w Słupsku, lokalne stacje robocze, terminale rezerwacyjne oraz rejestratory monitoringu wizyjnego znajdują się w zamkniętych, klimatyzowanych pomieszczeniach technicznych, do których wstęp mają wyłącznie upoważnieni inżynierowie systemowi. Po zakończeniu godzin pracy Klubu, obiekt jest chroniony przez uzbrojony system alarmowy powiązany z całodobową stacją monitorowania agencji ochrony.
Zarządzanie Kopiami Zapasowymi i Ciągłość Działania
W celu zabezpieczenia danych przed skutkami awarii sprzętowych, błędów ludzkich, klęsk żywiołowych czy cyberataków typu Ransomware, w Social Forum House funkcjonuje zautomatyzowany system tworzenia kopii zapasowych (Backup Management).
Procedury backupu realizowane są w następującym cyklu technologicznym:
- Kopie przyrostowe: Wykonywane automatycznie co 6 godzin i przechowywane przez okres 7 dni.
- Kopie pełne (Full Backup): Wykonywane codziennie w godzinach nocnych (o najniższym natężeniu ruchu) i przechowywane w bezpiecznej, zewnętrznej strukturze chmurowej przez okres 30 dni.
Wszystkie pliki kopii zapasowych są przed wysyłką na serwer backupowy kompresowane i szyfrowane silnym algorytmem AES-256. Dostęp do nich jest odizolowany od głównego środowiska produkcyjnego (zasada Air-Gapped Backup). Raz w miesiącu zespół IT przeprowadza testowe odtworzenie systemów z kopii (Disaster Recovery Test), aby zweryfikować spójność danych i zagwarantować minimalny czas przestoju w przypadku realnej awarii.
Procedura Reagowania na Incydenty Bezpieczeństwa (Data Breach)
Na wypadek wykrycia jakiegokolwiek naruszenia ochrony danych osobowych (np. nieuprawniony dostęp, wyciek, utrata lub zniszczenie danych), Administrator wdrożył rygorystyczny Plan Reagowania na Incenty (Incident Response Plan), zgodny z wytycznymi art. 33 i 34 RODO.
W przypadku zaistnienia sytuacji kryzysowej, powołany zespół ds. bezpieczeństwa IT niezwłocznie przystępuje do lokalizacji źródła naruszenia, odizolowania dotkniętych systemów od sieci i zminimalizowania skutków zdarzenia. W terminie do 72 godzin od momentu stwierdzenia naruszenia, fakt ten jest formalnie zgłaszany do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Jeżeli zaistniałe naruszenie mogłoby powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (np. kradzież tożsamości), Social Forum House bez zbędnej zwłoki zawiadomi o tym fakcie bezpośrednio wszystkie osoby, których dane dotyczą. W komunikacie przesłanym drogą mailową lub SMS przedstawione zostaną szczegółowe informacje o charakterze wycieku, potencjalnych konsekwencjach oraz zalecanych krokach naprawczych (np. zmiana haseł).
Retencja Danych, Anonimizacja i Bezpieczne Niszczenie Nośników
Przetwarzanie danych osobowych w strukturach Social Forum House odbywa się w oparciu o zasadę ograniczenia przechowywania. Dane nie są magazynowane „na zapas” i po upływie okresów wskazanych w Polityce Prywatności (lub po wycofaniu zgody przez użytkownika) są trwale usuwane z systemów.
Proces usuwania danych cyfrowych z produkcyjnych baz danych realizowany jest poprzez nadpisanie rekordów uniemożliwiające ich późniejsze odzyskanie za pomocą specjalistycznego oprogramowania śledczego. W przypadku całkowitego wycofania systemów z eksploatacji lub wymiany dysków twardych w stacjach roboczych recepcji, nośniki fizyczne są niszczone mechanicznie lub poddawane demagnetyzacji w wyspecjalizowanych firmach zewnętrznych, potwierdzonej certyfikatem zniszczenia mienia.
Dokumenty papierowe (np. formularze zgłoszeniowe członków klubu, pisemne wnioski o samowykluczenie) są przechowywane w zamkniętych szafach ognioodpornych o określonej klasie odporności, a ich utylizacja odbywa się wyłącznie przy użyciu niszczarek spełniających rygorystyczną normę DIN 66399 na poziomie bezpieczeństwa minimum P-4 (ścinek o wymiarach uniemożliwiających odtworzenie tekstu).
Okresowe Audyty Bezpieczeństwa i Aktualizacje Standardów
Infrastruktura techniczna oraz procedury ochrony danych osobowych w Social Forum House podlegają regularnej weryfikacji. Raz w roku zlecamy zewnętrznym, niezależnym audytorom IT przeprowadzenie kompleksowych testów penetracyjnych (Penetration Tests) naszej witryny internetowej oraz systemu rezerwacji online. Pozwala to na proaktywne wykrywanie potencjalnych podatności na ataki typu SQL Injection, Cross-Site Scripting (XSS) czy błędy konfiguracji serwera, zanim zostaną one wykorzystane przez cyberprzestępców.
Niniejsza Polityka Bezpieczeństwa jest dokumentem żywym. Zmiany w architekturze sieciowej, wdrażanie nowych modułów lojalnościowych, a także ewolucja zagrożeń w cyberprzestrzeni wymuszają stałą optymalizację naszych standardów ochronnych.
We wszystkich sprawach związanych z techniczną stroną ochrony Twoich danych, konfiguracją zapór sieciowych lub w celu zgłoszenia zaobserwowanej nieprawidłowości w działaniu strony, możesz skontaktować się bezpośrednio z naszym zespołem wsparcia technicznego pod adresem e-mail: [email protected]. Data weryfikacji i wejścia w życie bieżących procedur: 20.05.2026 r.