carVertical

Polityka bezpieczeństwa informacji

1. Polityka bezpieczeństwa informacji (zwana dalej „Polityką”) jest głównym dokumentem Systemu Zarządzania Bezpieczeństwem Informacji (zwanego dalej „SZBI”) w spółce z ograniczoną odpowiedzialnością prawa litewskiego cV Group (zwanej dalej „cV Group” lub „Spółką”). Dostęp do dokumentów SZBI i/lub ich fragmentów mają podmioty, których dotyczą informacje posiadane przez cV Group.

2. Celem niniejszej Polityki jest określenie stanowiska kierownictwa cV Group w kwestiach bezpieczeństwa informacji oraz ochrona wszelkich informacji ustnych, pisemnych i informacji w postaci elektronicznej otrzymywanych, wysyłanych, tworzonych, przetwarzanych i wykorzystywanych przez cV Group przed wszelkimi potencjalnymi zagrożeniami: zewnętrznymi, wewnętrznymi, zarówno celowymi, jak i przypadkowymi, które mogą mieć wpływ na działalność i dobre imię cV Group.

3. W dążeniu do zapewnienia skutecznego funkcjonowania SZBI określono następujące cele w zakresie bezpieczeństwa informacji:

  • zapewnienie i zarządzanie bezpieczeństwem informacji z uwzględnieniem strategicznych celów cV Group w zakresie świadczenia usług przez Spółkę;
  • zapewnienie i zarządzanie zgodnością z zewnętrznymi i wewnętrznymi wymogami bezpieczeństwa informacji poprzez okresowe oceny zgodności i eliminowanie wykrytych nieprawidłowości;
  • zapewnienie, by przypadki naruszenia bezpieczeństwa informacji zostały naprawione, a ich przyczyny usunięte, oraz wdrożenie zarządzania incydentami związanymi z bezpieczeństwem informacji;
  • zapewnienie odpowiedniego doboru i wdrożenia środków bezpieczeństwa informacji i zarządzania poprzez coroczne oceny ryzyka i wdrożenie odpowiednich środków bezpieczeństwa informacji;
  • zapewnienie skuteczności stosowanych środków bezpieczeństwa informacji;
  • opracowanie dostosowanego planu zarządzania nieprzerwaną działalnością poprzez okresowy jego przegląd i testowanie.

4. Informacje są strategicznym zasobem cV Group, a ich utrata, nieuprawniona zmiana, naruszenie poufności, integralności lub dostępności, ujawnienie lub przerwanie ich przetwarzania może zakłócić działalność cV Group. Dlatego też niniejsza Polityka zarządzania bezpieczeństwem informacji określa podstawowe wytyczne, które obowiązują wszystkich pracowników cV Group, wykonawców i inne strony współpracujące z cV Group.

5. Polityka zarządzania bezpieczeństwem informacji ma zastosowanie do wszelkich procesów operacyjnych cV Group związanych ze świadczonymi usługami i obejmuje informacje ustne i pisemne, systemy informatyczne, sieci komputerowe, środowisko fizyczne, środowisko wirtualne, pracowników, podmioty powiązane, partnerów, wykonawców lub inne osoby pracujące dla cV Group, w tym pracowników stron trzecich oraz tych, którzy przetwarzają informacje cV Group zgodnie z prawem. 

6. Bezpieczeństwo informacji obejmuje trzy główne aspekty:

  • poufność informacji - ochrona informacji przed nieuprawnionym ujawnieniem;
  • integralność informacji - ochrona informacji przed nieuprawnioną lub przypadkową modyfikacją;
  • dostępność informacji – zapewnienie dostępu do informacji, gdy są one potrzebne do prawidłowego prowadzenia działalności CV Group.

7. Celem zasad i wymogów są:

  • objęcie ochroną zasobów informacyjnych, w tym danych klientów uzyskanych z różnych źródeł, jak też od osób trzecich, obejmującą poufność, integralność, dostępność oraz aspekty zarówno materialne (np. komputery i urządzenia komunikacyjne, pomieszczenia itp.), jak i niematerialne (np. dobre imię, wizerunek);
  • określenie odpowiedzialności za bezpieczeństwo informacji;
  • zamieszczenie odsyłaczy do dokumentów z zakresu bezpieczeństwa, które są elementami systemu zarządzania bezpieczeństwem informacji.

8. Dokumentacja SZBI powinna być poddawana przeglądowi co najmniej raz w roku.

9. Wdrażanie wymogów bezpieczeństwa informacji cV Group jest zapewniane i zarządzane poprzez konsekwentne planowanie, wdrażanie, ocenę i doskonalenie SZBI zgodnie z wymaganiami normy ISO/IEC 27001 (i jej najnowszych wersji).

10. Certyfikacja SZBI cV Group obejmuje wszystkie produkty informatyczne i powiązane projekty realizowane w ramach Grupy.

11. Zarządzanie bezpieczeństwem informacji w cV Group opiera się na zarządzaniu ryzykiem. Ocena ryzyka związanego z bezpieczeństwem informacji pomaga zapewnić, że środki zarządzania bezpieczeństwem informacji stosowane w działalności cV Group osiągają kluczowe cele operacyjne i cele związane z bezpieczeństwem informacji cV Group.

12. Ryzyko związane z bezpieczeństwem informacji w cV Group podlega ocenie w każdym roku kalendarzowym zgodnie z zatwierdzoną polityką oceny ryzyka. Ocena ryzyka bezpieczeństwa informacji powinna obejmować przegląd sytuacji Spółki.

13. Niniejsza Polityka ma również zastosowanie do carVertical OÜ, która wymagania opisane w Polityce stosuje wobec stron trzecich.