Skip to content
Bezpieczeństwo

Bezpieczeństwo

W jaki sposób Alpha Analytics s.r.o. chroni dane powierzone platformie Carsdata.com — nasze zabezpieczenia, hosting i praktyki.

Ostatnia aktualizacja9 czerwca 2026 r.

Nasze podejście do bezpieczeństwa

Carsdata działa jako infrastruktura danych dla europejskiego rynku motoryzacyjnego, a poufność, integralność i dostępność powierzonych nam danych ma fundamentalne znaczenie dla tej roli. Stosujemy podejście dogłębnej obrony (defence-in-depth): bezpieczeństwo jest wbudowane w sposób, w jaki projektujemy, budujemy i obsługujemy platformę, a nie dodawane później. Ta strona podsumowuje środki techniczne i organizacyjne, które utrzymujemy. Jest udostępniana w celach informacyjnych i nie stanowi części żadnej umowy; konkretne zobowiązania określone są w odpowiedniej umowie o świadczenie usług oraz w Umowie o przetwarzaniu danych osobowych.

Ład i zgodność

Nasz program bezpieczeństwa został zaprojektowany w oparciu o zabezpieczenia i kryteria usług zaufania (Trust Services Criteria) określone w uznanych na arenie międzynarodowej standardach — w tym ISO/IEC 27001 oraz SOC 2 — a my nieustannie oceniamy i doskonalimy nasze praktyki w odniesieniu do nich. Przetwarzamy dane osobowe zgodnie z RODO, a przetwarzanie realizowane w imieniu klientów regulowane jest naszą Umową o przetwarzaniu danych osobowych.

Za bezpieczeństwo odpowiada kadra zarządzająca, wspierana przez udokumentowane polityki obejmujące dopuszczalne użytkowanie, kontrolę dostępu, klasyfikację danych, zarządzanie zmianami, zarządzanie dostawcami oraz reagowanie na incydenty. Polityki są okresowo przeglądane oraz po każdej istotnej zmianie naszego środowiska.

Hosting danych i infrastruktura

Platforma działa w oparciu o infrastrukturę uznanych dostawców usług chmurowych, którzy prowadzą certyfikowane, fizycznie zabezpieczone centra danych. Dane osobowe są hostowane przede wszystkim na terenie Unii Europejskiej / Europejskiego Obszaru Gospodarczego. Nasza infrastruktura jest logicznie odseparowana, wdrożona w odpornych strefach dostępności (availability zones) i zarządzana za pomocą infrastruktury jako kodu (infrastructure-as-code), dzięki czemu środowiska są spójne, możliwe do przeglądu i odtwarzalne.

Szyfrowanie

Dane w trakcie przesyłania są szyfrowane przy użyciu protokołu TLS w sieciach publicznych. Dane przechowywane są szyfrowane przy użyciu silnych, branżowych algorytmów standardowych. Klucze szyfrujące są zarządzane za pomocą usług zarządzania kluczami naszych dostawców chmurowych, z dostępem ograniczonym do upoważnionych systemów i personelu.

Kontrola dostępu

Dostęp do systemów i danych odbywa się zgodnie z zasadami najmniejszych uprawnień (least privilege) oraz wiedzy koniecznej (need-to-know). Dostęp administracyjny wymaga uwierzytelniania wieloskładnikowego, jest przyznawany na podstawie roli, jest rejestrowany oraz okresowo przeglądany i niezwłocznie cofany, gdy nie jest już potrzebny. Tam, gdzie jest to obsługiwane, dostęp klienta do platformy może być federowany za pośrednictwem logowania jednokrotnego (SSO).

Bezpieczeństwo sieci i aplikacji

Nasza sieć jest chroniona przez zapory sieciowe, grupy zabezpieczeń i segmentację, które ograniczają ruch do niezbędnego minimum. Aplikacje są chronione przed powszechnymi podatnościami sieciowymi poprzez bezpieczne projektowanie, walidację danych wejściowych oraz utwardzone konfiguracje, a publiczne punkty końcowe są zabezpieczone ochroną przed atakami wolumetrycznymi i atakami na warstwę aplikacji.

Bezpieczny cykl życia oprogramowania

Zmiany w platformie przechodzą przez kontrolę wersji, wzajemny przegląd kodu (peer code review) oraz testy automatyczne przed wydaniem. W naszych potokach (pipelines) wykorzystujemy automatyczne skanowanie zależności i podatności, rozdzielamy środowiska deweloperskie, testowe (staging) i produkcyjne oraz stosujemy kontrolowany proces zarządzania zmianami, dzięki czemu wydania są możliwe do prześledzenia i odwracalne.

Monitorowanie, rejestrowanie i wykrywanie

Centralnie gromadzimy logi aplikacji, infrastruktury i dostępu oraz monitorujemy nietypową aktywność i problemy z dostępnością. Alerty są kierowane do odpowiedzialnego zespołu, dzięki czemu potencjalne problemy mogą być niezwłocznie zbadane i rozwiązane.

Zarządzanie podatnościami i testowanie

Regularnie skanujemy nasze systemy i zależności pod kątem znanych podatności oraz usuwamy je w oparciu o priorytety wynikające z ryzyka. Angażujemy wykwalifikowane podmioty trzecie do przeprowadzania okresowych testów penetracyjnych i usuwamy wykryte nieprawidłowości stosownie do ich poziomu istotności.

Kopie zapasowe i ciągłość działania

Dane są regularnie kopiowane, a kopie zapasowe są szyfrowane i przechowywane oddzielnie od systemów podstawowych. Utrzymujemy plany ciągłości działania i odtwarzania po awarii (disaster recovery) z określonymi celami odtworzenia oraz testujemy naszą zdolność do przywrócenia usługi, dzięki czemu możemy odzyskać sprawność po zakłóceniu przy minimalnym wpływie.

Bezpieczeństwo personelu

Personel jest związany zobowiązaniami do zachowania poufności oraz przechodzi szkolenia z zakresu bezpieczeństwa i ochrony danych odpowiednie do jego roli, zarówno przy wdrożeniu (onboarding), jak i na bieżąco. Dostęp do danych produkcyjnych jest ograniczony do osób, które potrzebują go do swojej pracy, i jest usuwany, gdy zmieniają one rolę lub odchodzą.

Podmioty podprzetwarzające i zarządzanie dostawcami

Angażujemy ograniczoną liczbę starannie wyselekcjonowanych podmiotów podprzetwarzających — przede wszystkim dostawców infrastruktury chmurowej i przechowywania danych — w celu świadczenia Usług. Oceniamy stan bezpieczeństwa naszych dostawców, wiążemy ich odpowiednimi umownymi obowiązkami w zakresie ochrony danych i bezpieczeństwa oraz prowadzimy aktualną listę podmiotów podprzetwarzających, do której odwołuje się nasza Umowa o przetwarzaniu danych osobowych.

Reagowanie na incydenty

Utrzymujemy udokumentowany proces reagowania na incydenty obejmujący wykrywanie, klasyfikację (triage), powstrzymywanie, usuwanie (eradication), odtwarzanie oraz przegląd poincydentalny. W przypadku naruszenia ochrony danych osobowych dotyczącego danych klientów zawiadamiamy dotkniętych klientów bez zbędnej zwłoki i wspieramy ich w wywiązywaniu się z ich własnych obowiązków notyfikacyjnych, zgodnie z RODO oraz naszą Umową o przetwarzaniu danych osobowych.

Ochrona danych i prywatność

Bezpieczeństwo i prywatność są traktowane łącznie. Stosujemy zasady minimalizacji danych i ograniczenia celu, przetwarzamy dane osobowe zgodnie z RODO oraz regulujemy przetwarzanie realizowane w imieniu klientów za pośrednictwem naszej Umowy o przetwarzaniu danych osobowych. Szczegółowe informacje o tym, jak postępujemy z danymi osobowymi, znajdziesz w naszej Polityce prywatności.

Zgłaszanie podatności

Przyjmujemy zgłoszenia od badaczy bezpieczeństwa i użytkowników. Jeżeli uważasz, że wykryłeś podatność w zabezpieczeniach Carsdata.com, prosimy o kontakt pod adresem info@carsdata.com wraz z wystarczającymi szczegółami umożliwiającymi odtworzenie problemu. Prosimy, abyś dał nam rozsądną możliwość zbadania i usunięcia problemu przed jakimkolwiek publicznym ujawnieniem oraz abyś unikał dostępu do danych, które nie są Twoje, lub ich modyfikowania. Potwierdzimy otrzymanie Twojego zgłoszenia i będziemy informować Cię o postępach naszych prac.

Dane spółki
Alpha Analytics s.r.o.
Siedziba
Gustav Mahlerplein 2
1082 MA Amsterdam
Holandia
Numer identyfikacyjny spółki (IČO)
228 01 154
Rejestr handlowy
Krajský soud v Ústí nad Labem
Numer akt C 32406

Masz pytania dotyczące tego dokumentu? Napisz do nas na adres info@carsdata.com.