Action Audit

Polityka Bezpieczenstwa Informacji

Organizacja: Ruby Logic Poland sp. z o.o.

Wersja: 1.1

Data aktualizacji: 2026-05-18

Klasyfikacja: Publiczne

Dokument bazowy: SZBI-PO-01 - Polityka Bezpieczenstwa Informacji (wersja wewnetrzna)

1. Wprowadzenie

Ruby Logic Poland sp. z o.o. (dalej: Organizacja) prowadzi dzialalnosc w zakresie wytwarzania oprogramowania, a takze projektuje, rozwija, utrzymuje i swiadczy uslugi SaaS. Ochrona informacji - wlasnych oraz powierzonych przez klientow i partnerow - jest jednym z kluczowych zobowiazan Organizacji.

Niniejsza Polityka (dalej: Polityka) jest publicznym opisem zasad bezpieczenstwa informacji stosowanych w ramach Systemu Zarzadzania Bezpieczenstwem Informacji (SZBI). Dokument bazuje na wewnetrznej polityce SZBI-PO-01 i jest utrzymywany w spojnosci z jej aktualna wersja.

2. Cel Polityki

Celem Polityki jest okreslenie ram ochrony informacji oraz potwierdzenie, ze Organizacja:

  1. Chroni poufnosc, integralnosc i dostepnosc informacji.
  2. Spelnia wymagania prawne, regulacyjne i umowne dotyczace bezpieczenstwa informacji.
  3. Stosuje podejscie oparte na analizie ryzyka oraz mechanizmy ciaglego doskonalenia.
  4. Zapewnia ciaglosc dzialania kluczowych uslug.
  5. Komunikuje wymagania bezpieczenstwa osobom dzialajacym na rzecz Organizacji.

3. Zakres stosowania

Polityka dotyczy informacji, systemow i procesow zwiazanych z dzialalnoscia SaaS Organizacji, w szczegolnosci:

  • informacji przetwarzanych w dowolnej formie,
  • systemow i infrastruktury IT,
  • uslug zewnetrznych wspierajacych swiadczenie uslug SaaS,
  • procesow biznesowych i operacyjnych wspierajacych SZBI.

Polityka obowiazuje pracownikow, wspolpracownikow, podwykonawcow oraz dostawcow i partnerow w zakresie wynikajacym z umow i nadanych uprawnien.

4. Deklaracja najwyzszego kierownictwa

Najwyzsze kierownictwo Ruby Logic Poland sp. z o.o. deklaruje pelne zaangazowanie w ochrone informacji i zobowiazuje sie do:

  1. Zapewnienia zasobow niezbednych do ustanowienia, wdrozenia, utrzymania i ciaglego doskonalenia SZBI.
  2. Integracji wymagan bezpieczenstwa informacji z procesami biznesowymi i operacyjnymi Organizacji.
  3. Stosowania podejscia opartego na ryzyku przy podejmowaniu decyzji.
  4. Zapewnienia spelniania wymagan prawnych, regulacyjnych i umownych.
  5. Wyznaczania, komunikowania i wspierania rol odpowiedzialnych za bezpieczenstwo informacji.
  6. Regularnego przegladu skutecznosci SZBI i realizacji celow bezpieczenstwa informacji.
  7. Przyjecia odpowiedzialnosci za skutecznosc SZBI.

5. Zgodnosc z normami i przepisami

SZBI Organizacji jest utrzymywany w zgodnosci m.in. z:

  • ISO/IEC 27001:2022 (PN-EN ISO/IEC 27001:2023-08),
  • ISO/IEC 27002:2022,
  • RODO/GDPR oraz wlasciwymi przepisami krajowymi,
  • zobowiazaniami umownymi (w tym NDA, SLA i umowami powierzenia danych).

6. Cele bezpieczenstwa informacji

Organizacja ustanawia i monitoruje cele bezpieczenstwa informacji w obszarach:

  • poufnosci,
  • integralnosci,
  • dostepnosci,
  • zgodnosci i skutecznosci SZBI.

Cele te sa mierzalne i podlegaja okresowemu raportowaniu oraz przegladom zarzadczym.

7. Kluczowe zasady bezpieczenstwa

Organizacja stosuje podejscie warstwowe i proporcjonalne do ryzyka, obejmujace:

  • klasyfikacje informacji i wlasciwe postepowanie z danymi,
  • kontrole dostepu oparta na zasadach need-to-know i least privilege,
  • ochrone kryptograficzna danych w transmisji i spoczynku,
  • bezpieczny cykl zycia oprogramowania,
  • ochrone infrastruktury, sieci i srodowisk operacyjnych,
  • bezpieczenstwo fizyczne i organizacyjne miejsc przetwarzania informacji.

8. Zarzadzanie ryzykiem

Organizacja prowadzi cykliczny proces zarzadzania ryzykiem obejmujacy identyfikacje, analize, postepowanie i monitorowanie ryzyk. Ryzyka rezydualne sa akceptowane zgodnie z przyjetymi kryteriami, a ryzyka istotne wymagaja decyzji Zarzadu.

9. Zarzadzanie incydentami bezpieczenstwa

Organizacja utrzymuje proces zglaszania, klasyfikacji i obslugi incydentow bezpieczenstwa informacji, w tym:

  • obowiazek niezwlocznego zglaszania zdarzen i podejrzen naruszen,
  • analize przyczyn i wdrazanie dzialan korygujacych,
  • spelnianie obowiazkow notyfikacyjnych dotyczacych naruszen danych osobowych.

10. Ciaglosc dzialania

Organizacja utrzymuje zdolnosc do bezpiecznego swiadczenia uslug w warunkach zaklocen, m.in. poprzez:

  • monitorowanie dostepnosci uslug,
  • utrzymywanie redundancji kluczowych elementow infrastruktury wspierajacych uslugi krytyczne,
  • utrzymywanie i testowanie kopii zapasowych,
  • stosowanie rozwiazan wspierajacych odpornosc operacyjna,
  • cykliczne testowanie wybranych scenariuszy ciaglosci dzialania.

11. Bezpieczenstwo osob i dostawcow

Organizacja:

  • wymaga odpowiednich zobowiazan poufnosci i przestrzegania zasad bezpieczenstwa od osob dzialajacych na jej rzecz,
  • prowadzi szkolenia z zakresu bezpieczenstwa informacji,
  • zarzadza uprawnieniami i ich odbieraniem po ustaniu potrzeby biznesowej,
  • ocenia ryzyko dostawcow i nadzoruje bezpieczenstwo wspolpracy z podmiotami zewnetrznymi.

12. Ochrona danych osobowych i wlasnosci intelektualnej

Organizacja chroni dane osobowe i prawa wlasnosci intelektualnej zgodnie z obowiazujacymi przepisami prawa, w szczegolnosci Rozporzadzeniem (UE) 2016/679 (RODO/GDPR), umowami oraz zasadami SZBI.

13. Role, odpowiedzialnosc i egzekwowanie

Za skutecznosc SZBI odpowiada Zarzad, przy wsparciu wyznaczonych rol organizacyjnych. Wszystkie osoby dzialajace na rzecz Organizacji sa zobowiazane do przestrzegania niniejszej Polityki. Naruszenia zasad bezpieczenstwa moga skutkowac konsekwencjami organizacyjnymi, umownymi, a w uzasadnionych przypadkach takze prawnymi.

14. Komunikacja Polityki

Polityka jest komunikowana osobom dzialajacym na rzecz Organizacji. Istotne zmiany sa publikowane i przekazywane w ramach obowiazujacych kanalow komunikacji.

Kontakt

W sprawach dotyczacych bezpieczenstwa informacji prosimy o kontakt poprzez formularz kontaktowy na stronie https://rubylogic.eu/pl/kontakt