Autonomi logo

Polityka bezpieczeństwa

Firma:
AUTONOMi
Strona internetowa:
goautonomi.com
Data wejścia w życie:
March 10, 2026
Ostatnia aktualizacja:
March 10, 2026
Compliance: Niniejsza polityka jest zgodna z obowiązującymi amerykańskimi wymogami bezpieczeństwa, technicznymi i organizacyjnymi środkami bezpieczeństwa zgodnie z art. 32 RODO oraz najlepszymi praktykami branżowymi, w tym ISO 27001 i SOC 2.

1. Wprowadzenie

AUTONOMi zobowiązuje się do ochrony bezpieczeństwa, poufności, integralności i dostępności wszystkich danych powierzonych nam przez naszych klientów, pracowników i użytkowników. Niniejsza Polityka Bezpieczeństwa opisuje środki techniczne i organizacyjne, które wdrażamy w celu ochrony danych osobowych i infrastruktury platformy.

Niniejsza polityka ma zastosowanie do:

  • Wszystkich systemów, infrastruktury i aplikacji AUTONOMi
  • Wszystkich pracowników, podwykonawców i usługodawców mających dostęp do systemów AUTONOMi
  • Wszystkich danych klientów przetwarzanych przez platformę AUTONOMi

2. Zarządzanie bezpieczeństwem

2.1 Odpowiedzialność

Bezpieczeństwo jest wspólną odpowiedzialnością w AUTONOMi. Kierownictwo ponosi ostateczną odpowiedzialność za bezpieczeństwo informacji. Bieżące operacje bezpieczeństwa są zarządzane przez wyznaczoną funkcję bezpieczeństwa pod nadzorem kierownictwa.

2.2 Przeglądy bezpieczeństwa

AUTONOMi przeprowadza:

  • Coroczne przeglądy polityki bezpieczeństwa
  • Okresowe oceny ryzyka systemów i czynności przetwarzania
  • Przeglądy bezpieczeństwa dla wszystkich nowych produktów, funkcji i istotnych zmian infrastrukturalnych

2.3 Ocena dostawców i stron trzecich

Przed zaangażowaniem zewnętrznych podmiotów przetwarzających lub dostawców mających dostęp do danych klientów lub danych osobowych, AUTONOMi ocenia ich stan bezpieczeństwa i wymaga zobowiązań umownych do utrzymania odpowiednich środków bezpieczeństwa.

3. Szyfrowanie danych

3.1 Szyfrowanie w trakcie przesyłu

Wszystkie dane przesyłane między użytkownikami a systemami AUTONOMi są szyfrowane przy użyciu:

  • TLS 1.2 lub wyższy dla całego ruchu internetowego i komunikacji API
  • TLS 1.3 dla nowych połączeń, gdy jest obsługiwany
  • HSTS (HTTP Strict Transport Security) wymuszany na wszystkich publicznie dostępnych domenach
  • Wszystkie połączenia z platformami reklamowymi stron trzecich (Google, Meta, TikTok, LinkedIn itp.) są szyfrowane w trakcie przesyłu

Nieszyfrowane połączenia HTTP są przekierowywane na HTTPS i nie są akceptowane.

3.2 Szyfrowanie w stanie spoczynku

Dane osobowe i dane klientów przechowywane w infrastrukturze AUTONOMi są szyfrowane w stanie spoczynku przy użyciu:

  • AES-256 lub równoważnego dla przechowywania w bazach danych
  • Szyfrowanych kopii zapasowych
  • Szyfrowania wrażliwych pól na poziomie aplikacji, gdy ma to zastosowanie

3.3 Zarządzanie kluczami

Klucze szyfrowania są zarządzane zgodnie z najlepszymi praktykami branżowymi:

  • Klucze są rotowane według zdefiniowanego harmonogramu
  • Dostęp do kluczy szyfrowania jest ograniczony do autoryzowanych systemów i personelu
  • Materiał kluczowy nigdy nie jest przechowywany w postaci jawnej obok danych, które chroni

4. Kontrola dostępu

4.1 Zasada najmniejszych uprawnień

Dostęp do systemów i danych jest przyznawany na zasadzie need-to-know i najmniejszych uprawnień. Pracownikom i podwykonawcom przyznawane są wyłącznie uprawnienia niezbędne do pełnienia ich roli.

4.2 Uwierzytelnianie

  • Uwierzytelnianie wieloskładnikowe (MFA) jest wymagane dla wszystkich wewnętrznych dostępów do systemów, kont administracyjnych i dostępu do środowiska produkcyjnego
  • Stosowane są silne polityki haseł (minimalna długość, złożoność, brak ponownego używania ostatnich haseł)
  • Konta usługowe używają rotowanych kluczy lub certyfikatów zamiast statycznych haseł, gdy jest to możliwe

4.3 Dostęp do konta klienta

  • Konta klientów na platformie są chronione indywidualnymi danymi uwierzytelniającymi i MFA, gdy jest włączone
  • Klienci kontrolują, którzy użytkownicy w ich organizacji mają dostęp do ich konta AUTONOMi
  • Dostęp pracowników AUTONOMi do kont klientów jest ograniczony do kontekstów wsparcia, rejestrowany i ograniczony do upoważnionego personelu

4.4 Przeglądy dostępu

Uprawnienia dostępu są okresowo przeglądane i niezwłocznie odbierane, gdy pracownik opuszcza organizację lub zmienia rolę.

4.5 Dostęp uprzywilejowany

Uprzywilejowany dostęp do systemów produkcyjnych jest:

  • Ograniczony do niewielkiej liczby upoważnionego personelu
  • Rejestrowany i audytowany
  • Regularnie przeglądany

5. Bezpieczeństwo sieci

5.1 Segmentacja sieci

Systemy produkcyjne są oddzielone od środowisk deweloperskich i testowych. Dane klientów są odizolowane od wewnętrznych systemów AUTONOMi poprzez logiczną i, gdzie ma to zastosowanie, fizyczną segmentację sieci.

5.2 Zapora sieciowa i kontrola obwodowa

  • Zapory sieciowe są skonfigurowane tak, aby odrzucać cały ruch, który nie jest wyraźnie dozwolony
  • Usługi publiczne udostępniają tylko niezbędne porty
  • Interfejsy administracyjne nie są dostępne z publicznego Internetu

5.3 Wykrywanie i zapobieganie włamaniom

AUTONOMi stosuje narzędzia monitorowania w celu wykrywania nietypowej lub nieautoryzowanej aktywności w swoich sieciach i systemach, w tym:

  • Wykrywanie anomalii w dziennikach dostępu
  • Alerty dotyczące nieoczekiwanych wzorców uwierzytelniania
  • Monitorowanie ruchu sieciowego

6. Bezpieczeństwo aplikacji

6.1 Bezpieczne tworzenie oprogramowania

AUTONOMi stosuje praktyki bezpiecznego tworzenia oprogramowania, w tym:

  • Wymagania bezpieczeństwa włączone w cykl życia tworzenia oprogramowania (SDLC)
  • Procesy przeglądu kodu uwzględniające aspekty bezpieczeństwa
  • Ochrona przed podatnościami OWASP Top 10 (injection, XSS, CSRF, niebezpieczna deserializacja itp.)
  • Skanowanie zależności i bibliotek stron trzecich pod kątem znanych podatności

6.2 Testy bezpieczeństwa

AUTONOMi przeprowadza:

  • Oceny podatności aplikacji dostępnych z Internetu w regularnych odstępach czasu
  • Testy penetracyjne przeprowadzane przez wykwalifikowanych wewnętrznych lub zewnętrznych specjalistów ds. bezpieczeństwa co najmniej raz w roku
  • Usuwanie zidentyfikowanych podatności na podstawie poziomu ryzyka

6.3 Walidacja danych wejściowych

Wszystkie dane otrzymane ze źródeł zewnętrznych są weryfikowane i oczyszczane przed przetwarzaniem w celu zapobiegania atakom typu injection i innym atakom opartym na danych wejściowych.

7. Bezpieczeństwo infrastruktury

7.1 Infrastruktura chmurowa

AUTONOMi korzysta z wiodących dostawców infrastruktury chmurowej posiadających certyfikaty SOC 2 Type II, ISO 27001 i PCI DSS. Bezpieczeństwo fizyczne infrastruktury bazowej (centra danych, sprzęt) leży w gestii tych dostawców.

Do obowiązków AUTONOMi należą:

  • Konfiguracja i hartowanie zasobów chmurowych
  • Zarządzanie tożsamością i dostępem w środowiskach chmurowych
  • Kontrola sieci i konfiguracja grup bezpieczeństwa
  • Rejestrowanie i monitorowanie aktywności w chmurze

7.2 Hartowanie systemów

  • Obrazy serwerów i systemów są hartowane w celu usunięcia zbędnych usług i domyślnych danych uwierzytelniających
  • Poprawki oprogramowania i bezpieczeństwa są stosowane według zdefiniowanego harmonogramu; krytyczne poprawki są stosowane jak najszybciej po wydaniu
  • Systemy są inwentaryzowane i monitorowane

7.3 Rejestrowanie i monitorowanie

  • Zdarzenia istotne z punktu widzenia bezpieczeństwa są rejestrowane, w tym zdarzenia uwierzytelniania, dostęp do wrażliwych danych, działania administracyjne i błędy systemowe
  • Logi są przechowywane przez minimum 12 miesięcy i chronione przed nieautoryzowaną modyfikacją
  • Alerty są skonfigurowane dla zdarzeń istotnych z punktu widzenia bezpieczeństwa i przeglądane przez upoważniony personel

8. Obsługa i klasyfikacja danych

8.1 Klasyfikacja danych

AUTONOMi klasyfikuje dane w następujące kategorie:

KlasyfikacjaOpisPrzykłady
PoufneNajwyższa wrażliwość — ograniczony dostępDane klientów, dane płatnicze, dane uwierzytelniające, klucze szyfrowania
WewnętrzneDane operacyjne — wyłącznie do użytku wewnętrznegoDane pracowników, strategia biznesowa, dane finansowe
PubliczneZatwierdzone do publicznego ujawnieniaMateriały marketingowe, opublikowana dokumentacja

8.2 Obsługa danych klientów

Dane klientów są:

  • Przetwarzane wyłącznie w celu świadczenia usług objętych umową
  • Nigdy nie są sprzedawane, licencjonowane ani udostępniane stronom trzecim na ich korzyść
  • Logicznie oddzielone od danych innych klientów
  • Dostępne dla pracowników AUTONOMi wyłącznie w razie potrzeby wsparcia, z zastrzeżeniem rejestrowania

8.3 Bezpieczne usuwanie

Dane, które nie są już potrzebne, są bezpiecznie usuwane:

  • Dane cyfrowe są usuwane metodami uniemożliwiającymi odzyskanie
  • Kopie zapasowe są czyszczone zgodnie z harmonogramem przechowywania
  • Nośniki fizyczne są niszczone za pomocą certyfikowanych metod bezpiecznego usuwania

9. Reagowanie na incydenty

9.1 Plan reagowania na incydenty

AUTONOMi utrzymuje plan reagowania na incydenty, który definiuje procedury:

  • Identyfikacji i klasyfikacji incydentów bezpieczeństwa
  • Ograniczania i eliminowania zagrożeń
  • Przywracania dotkniętych systemów
  • Przeglądu poincydentalnego i wyciągniętych wniosków

9.2 Klasyfikacja incydentów

Poziom krytycznościOpisCzas reakcji
KrytycznyAktywne naruszenie, eksfiltracja danych, ransomwareNatychmiast — w ciągu 1 godziny
WysokiPodejrzenie naruszenia, nieautoryzowany dostęp, istotna podatnośćW ciągu 4 godzin
ŚredniOgraniczony incydent, podatność o ograniczonej ekspozycjiW ciągu 24 godzin
NiskiDrobne naruszenie polityki, podatność o niskim ryzykuW ciągu 72 godzin

9.3 Powiadamianie o naruszeniu ochrony danych — UE (RODO)

W przypadku naruszenia ochrony danych osobowych dotyczącego osób w UE, AUTONOMi:

  • Powiadomi właściwy organ nadzorczy w ciągu 72 godzin od powzięcia wiadomości o naruszeniu (art. 33 RODO)
  • Powiadomi osoby, których dane dotyczą, bez zbędnej zwłoki, gdy naruszenie może skutkować wysokim ryzykiem dla ich praw i wolności (art. 34 RODO)
  • Będzie prowadzić rejestr wszystkich naruszeń ochrony danych osobowych, niezależnie od tego, czy wymagane jest powiadomienie

W przypadku danych klientów z UE, dla których AUTONOMi działa jako podmiot przetwarzający, powiadomimy administratora niezwłocznie, aby umożliwić mu wypełnienie jego własnych obowiązków powiadamiania.

9.4 Powiadamianie o naruszeniu ochrony danych — Stany Zjednoczone

W przypadku naruszenia ochrony danych dotyczącego rezydentów USA, AUTONOMi zastosuje się do obowiązujących stanowych przepisów o powiadamianiu o naruszeniach, które mogą wymagać powiadomienia:

  • Poszkodowanych osób (terminy różnią się w zależności od stanu, zwykle 30–90 dni)
  • Prokuratorów generalnych stanów lub organów regulacyjnych
  • Agencji informacji konsumenckiej (w niektórych stanach w przypadku naruszeń na dużą skalę)

Kalifornia (CCPA/CPRA): Powiadomienie rezydentów Kalifornii i California Attorney General, gdy jest to wymagane.
Inne stany: Powiadomienie zgodnie z obowiązującymi przepisami o powiadamianiu o naruszeniach.

9.5 Zgłaszanie wewnętrzne

Pracownicy i podwykonawcy, którzy dowiedzą się o podejrzanym incydencie bezpieczeństwa lub naruszeniu, muszą natychmiast zgłosić to pod adres security@goautonomi.com.

10. Ciągłość działania i odzyskiwanie po awarii

10.1 Kopie zapasowe

Dane klientów i dane operacyjne są archiwizowane:

  • Automatycznie według zdefiniowanego harmonogramu (minimum codzienne kopie zapasowe)
  • Przechowywane w formie zaszyfrowanej w geograficznie rozdzielonych lokalizacjach
  • Okresowo testowane w celu weryfikacji możliwości odtworzenia

10.2 Cele odtwarzania

AUTONOMi dąży do:

  • Recovery Time Objective (RTO): Przywrócenie systemów do stanu operacyjnego w określonym oknie czasowym po ogłoszeniu awarii
  • Recovery Point Objective (RPO): Utrata danych ograniczona do maksymalnie 24 godzin danych w scenariuszu poważnej awarii

Szczegółowe zobowiązania RTO i RPO dla klientów korporacyjnych mogą być zdefiniowane w umowach o poziomie usług.

10.3 Dostępność

AUTONOMi wykorzystuje redundantną infrastrukturę w celu minimalizacji przestojów:

  • Równoważenie obciążenia i automatyczne skalowanie w środowiskach produkcyjnych
  • Redundantne ścieżki sieciowe, gdy ma to zastosowanie
  • Monitorowanie z automatycznym alertowaniem w przypadku degradacji usług

11. Bezpieczeństwo kadrowe

11.1 Przed zatrudnieniem

Weryfikacja przeszłości jest przeprowadzana dla pracowników na stanowiskach z dostępem do wrażliwych danych lub systemów produkcyjnych, z zastrzeżeniem obowiązującego prawa.

11.2 Szkolenia z bezpieczeństwa

  • Wszyscy pracownicy przechodzą szkolenie z zakresu świadomości bezpieczeństwa przy zatrudnieniu i corocznie
  • Pracownicy z podwyższonym dostępem (inżynierowie, operacje) otrzymują dodatkowe szkolenia techniczne z bezpieczeństwa
  • Okresowo przeprowadzane są ćwiczenia symulacji phishingu

11.3 Dopuszczalne użytkowanie

Pracownicy są zobowiązani do przestrzegania Polityki Dopuszczalnego Użytkowania regulującej korzystanie z systemów, danych i zasobów AUTONOMi. Naruszenia podlegają postępowaniu dyscyplinarnemu, włącznie z rozwiązaniem umowy o pracę.

11.4 Offboarding

Po odejściu pracownika dostęp do wszystkich systemów AUTONOMi jest niezwłocznie odbierany. Urządzenia firmowe są zwracane, a dane usuwane.

12. Bezpieczeństwo fizyczne

Fizyczny dostęp do biur AUTONOMi i obiektów centrów danych (gdzie ma to zastosowanie) jest kontrolowany poprzez:

  • Kontrolę dostępu ograniczającą fizyczny wstęp do upoważnionego personelu
  • Bezpieczne usuwanie nośników fizycznych i sprzętu
  • Procedury zarządzania odwiedzającymi w strefach wrażliwych

Bezpieczeństwo fizyczne infrastruktury chmurowej leży w gestii odpowiedniego dostawcy usług chmurowych (AWS, Google Cloud itp.) w ramach ich certyfikatów bezpieczeństwa.

13. Zgodność i certyfikaty

13.1 Zgodność regulacyjna

Program bezpieczeństwa AUTONOMi jest zaprojektowany w celu wsparcia zgodności z:

  • RODO (UE) — Art. 32 techniczne i organizacyjne środki bezpieczeństwa
  • BDSG (Niemcy) — Wymagania dotyczące ochrony danych i bezpieczeństwa
  • CCPA/CPRA (Kalifornia) — Rozsądne środki bezpieczeństwa
  • NIST Cybersecurity Framework — Wytyczne zarządzania ryzykiem

13.2 Zgodność ze standardami bezpieczeństwa

AUTONOMi dostosowuje swoje praktyki bezpieczeństwa do branżowych ram, w tym:

  • ISO/IEC 27001 — Zarządzanie bezpieczeństwem informacji
  • SOC 2 Type II — Bezpieczeństwo, dostępność i poufność (ramy docelowe)
  • OWASP — Standardy bezpieczeństwa aplikacji

13.3 Certyfikaty

AUTONOMi pracuje nad uzyskaniem formalnej certyfikacji i audytu zewnętrznego. Klienci wymagający dowodów certyfikacji (raporty SOC 2, podsumowania testów penetracyjnych lub odpowiedzi na kwestionariusze bezpieczeństwa) mogą skontaktować się pod adresem security@goautonomi.com.

14. Ujawnianie podatności

AUTONOMi zachęca do odpowiedzialnego ujawniania podatności bezpieczeństwa. Jeśli uważasz, że odkryłeś podatność bezpieczeństwa w naszych systemach, skontaktuj się z nami pod adresem:

E-mail: security@goautonomi.com

Prosimy o podanie:

  • Opisu podatności i dotkniętego systemu
  • Kroków do odtworzenia problemu
  • Potencjalnych skutków

Potwierdzimy otrzymanie zgłoszenia w ciągu 3 dni roboczych i podejmiemy działania w celu zbadania i usunięcia zweryfikowanych podatności. Prosimy o niepublikowanie informacji o podatności do czasu, aż będziemy mieli rozsądną możliwość jej usunięcia.

15. Aktualizacje polityki

Niniejsza Polityka Bezpieczeństwa jest przeglądana i aktualizowana co najmniej raz w roku lub po znaczącym incydencie bezpieczeństwa, istotnej zmianie w naszej infrastrukturze lub czynnościach przetwarzania, bądź zmianach obowiązującego prawa.

16. Kontakt

W sprawie obaw dotyczących bezpieczeństwa, zgłaszania incydentów lub zapytań związanych z bezpieczeństwem:

Bezpieczeństwo AUTONOMi

E-mail: security@goautonomi.com

W sprawie RODO i ochrony danych:
E-mail: gdpr@goautonomi.com

Ogólne zapytania dotyczące prywatności:
E-mail: privacy@goautonomi.com

Strona internetowa: goautonomi.com