Informacje o ochronie danych Użytkownika i ich udostępnianiu

  1. Informacje ogólne

inFakt przykłada dużą wagę do bezpieczeństwa danych Użytkowników. Dlatego stale podejmuje działania mające na celu ich ochronę. W celu zapewnienia przejrzystości dotyczącej przetwarzanych danych naszych Użytkowników, publikujemy istotne informacje dotyczące ich przetwarzania.

  1. Jurysdykcje, którym podlega infrastruktura wykorzystywana do świadczenia usług przez inFakt
Podmiot dostarczający infrastrukturęJurysdykcjaUsługi powiązane z infrastrukturą
Amazon Web Services EMEA s.a.r.l.Niemcy, Irlandia, Finlandia (ze względu na lokalizację serwerów), Luksemburg (ze względu na siedzibę spółki)Hosting aplikacji inFakt
IDENTT sp. z o.o.Niemcy (ze względu na lokalizację serwerów), Polska (ze względu na siedzibę spółki)Narzędzie do weryfikacji tożsamości klientów
Centrum Informatyki „ZETO” S.A.PolskaHosting kreatora wniosków do CEIDG
Pipedrive OUNiemcy, Irlandia (ze względu na lokalizację serwerów), Estonia (ze względu na siedzibę spółki)System wsparcia sprzedaży
Zendesk Inc.Niemcy (ze względu na lokalizację serwerów), Stany Zjednoczone (ze względu na siedzibę spółki)Zarządzanie obsługą klienta
Google Ireland Ltd.IrlandiaDostarczanie pakietu Google Workspace
Positive Group Polska sp. z o.o.Polska, Niemcy, Irlandia, Francja, Malta (ze względu na lokalizację serwerów), Polska (ze względu na siedzibę spółki)Narzędzie do automatyzacji wysyłki powiadomień
Vercom S.A.Polska, Niemcy (ze względu na lokalizację serwerów), Polska (ze względu na lokalizację spółkiNarzędzie do automatyzacji wysyłki powiadomień
Autopay S.A.PolskaObsługa płatności, automatyzacja wysyłki powiadomień
Link Mobility Poland sp. z o.o.Austria, Belgia,Bułgaria, Chorwacja,Cypr, Czechy, Dania,Estonia, Finlandia,Francja, Grecja,Hiszpania, Holandia,Irlandia, Litwa,Luksemburg, Łotwa,Malta, Niemcy,Polska, Portugalia,Rumunia, Słowacja,Słowenia, Szwecja,Węgry, Włochy,Islandia,Liechtenstein,NorwegiaNarzędzie do automatyzacji wysyłki powiadomień
Cloudflare Inc.Stany Zjednoczone, Kanada, Wielka Brytania (ze względu na lokalizację serwerów), Stany Zjednoczone (ze względu na lokalizację spółki)Firewall, serwer cache, ochrona przed atakami DDoS, (dane w formie niezaszyfrowanej są dostępne wyłącznie z poziomu urządzeń znajdujących się w ramach Europejskiego Obszaru Gospodarczego)
Microsoft Ireland Operations LimitedIrlandiaUsługi hostingowe, korzystanie z rozwiązania Microsoft Azure, usługi przechowywania danych w chmurze
Merit Aktiva Sp. z o.o.Irlandia, Estonia (ze względu na lokalizację serwerów), Polska (ze względu na siedzibę spółki)Dostarczanie oprogramowania do prowadzenia pełnej księgowości i obsługi kadrowej
Comarch S.A.PolskaDostarczanie oprogramowania do prowadzenia pełnej księgowości i obsługi kadrowej
Visma Software International ASNiemcy, Irlandia, Stany Zjednoczone (ze względu na lokalizację serwerów) Norwegia (ze względu na siedzibę spółki) Usługi hostingowe, usługi IT, usługi przechowywania danych w chmurze
Orca Security Ltd.Niemcy (ze względu na lokalizację serwerów), Izrael (ze względu na siedzibę spółki)Wykrywanie podatności i zagrożeń w infrastrukturze
Callpage sp. z o.o.PolskaNarzędzie do zamawiania rozmów telefonicznych z działem sprzedaży
Twilio Inc.Stany Zjednoczone, IrlandiaNarzędzie do obsługi sprzedażowych rozmów telefonicznych i sporządzania nagrań
Zapier Inc.Stany ZjednoczoneTworzenie automatyzacji, przekazywanie informacji między poszczególnymi systemami informatycznymi
Savangard sp. z o.o.PolskaDostawca narzędzia służącego do integracji z Polish API, co umożliwia skorzystanie z usługi dostępu do informacji o rachunku bankowym, (połączenie konta w aplikacji inFakt z rachunkiem bankowym)
DataDog Inc.Niemcy (ze względu na lokalizację serwerów), Kanada (ze względu na siedzibę spółki)Narzędzie do rejestrowania zdarzeń w aplikacji inFakt
Appsignal B.V.Niemcy, Irlandia (ze względu na lokalizację serwerów), Holandia (ze względu na siedzibę spółki)Narzędzie do rejestrowania zdarzeń w aplikacji inFakt i wykrywania podatności
Krajowa Izba Rozliczeniowa S.A.PolskaNarzędzie do podpisywania wniosków do CEIDG
  1. Środki techniczne, organizacyjne i umowne przyjęte przez inFakt w celu zapobiegania międzynarodowemu dostępowi do danych na terenie Unii Europejskiej lub ich przekazania administracji rządowej z naruszeniem prawa polskiego lub prawa Unii Europejskiej

inFakt wdrożył liczne środki bezpieczeństwa mające na celu ochronę danych przed nieuprawnionym dostępem, w tym dostępem ze strony organów państwowych. W szczególności:

  1. inFakt wdrożył procedurę zarządzania dostawcami ICT, zgodnie z którą przed wdrożeniem nowej usługi ICT, warunki świadczenia usług przez każdego dostawcę są weryfikowane pod kątem zgodności z obowiązującymi przepisami prawa, któremu podlega inFakt. inFakt ocenia również ryzyko związane z udostępnieniem danych tym dostawcom.
  2. inFakt każdorazowo zobowiązuje dostawców usług do zapewnienia odpowiednich standardów bezpieczeństwa danych.
  3. W przypadku, gdy dostawcy usług ICT, z których korzysta inFakt przetwarzają dane poza Europejskim Obszarem Gospodarczym albo ze względu na powiązania korporacyjne z podmiotami mającymi siedzibę poza Europejskim Obszarem Gospodarczym istnieje możliwość dostępu do danych spoza EOG, inFakt każdorazowo ocenia, uwzględniając ustawodawstwo obowiązujące w kraju, gdzie dane są przetwarzane, treść umowy zawartej z dostawcą usług ICT oraz środki techniczne i organizacyjne wdrożone przez tych dostawców, czy przekazanie tych danych nie wiąże się z ryzykiem ujawnienia danych Użytkownika z naruszeniem prawa polskiego lub prawa Unii Europejskiej – w szczególności ryzykiem niezgodnego z prawem udostępnienia danych organom administracji publicznej państw trzecich.
  4. inFakt wdrożył mechanizmy zautomatyzowanego rejestrowania zdarzeń w swojej infrastrukturze w postaci logów.
  5. inFakt wdrożył mechanizmy zautomatyzowanego wykrywania podatności i cyberzagrożeń.
  6. inFakt regularnie, nie rzadziej niż raz na 18 miesięcy testuje skuteczność stosowanych zabezpieczeń.
  7. inFakt regularnie – nie rzadziej niż raz w roku przeprowadza dla pracowników i współpracowników szkolenia z zakresu ochrony danych osobowych oraz cyberbezpieczeństwa.
  8. inFakt stosuje fizyczne środki kontroli dostępu do pomieszczeń biurowych, z których korzysta.
  9. inFakt uruchomił program Bug bounty, w ramach którego można zgłaszać podatności i zagrożenia w obszarze bezpieczeństwa.
  10. inFakt wdrożył politykę bezpieczeństwa, która kompleksowo reguluje kwestie związane z zabezpieczeniem danych znajdujących się w ramach systemów inFakt.
  11. inFakt wdrożył politykę zarządzania zmianą, która kompleksowo reguluje kwestię bezpiecznego dokonywania zmian w systemach informatycznych inFakt.
  12. inFakt wdrożył procedury oraz rozwiązania techniczne w celu ograniczania dostępu do danych na zasadzie need-to-know.
  13. inFakt wdrożył politykę udostępniania informacji organom administracji publicznej, organom ścigania, organom egzekucyjnym oraz sądom. W przypadku otrzymania żądania ze strony ww. podmiotówsądów i organów, dział prawny inFakt weryfikuje, czy żądania te są oparte na ważnej podstawie prawnej. inFakt każdorazowo ogranicza zakres informacji przedkładanych informacji ww. sądom i organom do informacji, na do których udostępnienia inFakt jest zobowiązany.
  14. Pracownicy, współpracownicy, podwykonawcy, a także klienci inFakt zawierają z inFakt umowę o zachowaniu w poufności danych przekazanych przez inFakt.
  15. inFakt wdrożył obowiązek korzystania przez personel i księgowych współpracujących z inFakt z dwuskładnikowego uwierzytelniania podczas logowania do systemów informatycznych.
  16. inFakt udostępnił użytkownikom możliwość uruchomienia dwuskładnikowego uwierzytelniania podczas logowania do aplikacji inFakt.
  17. inFakt wdrożył szyfrowanie w zakresie in-transit oraz at-rest, co oznacza, że dane użytkowników są szyfrowane na drodze transmisji między użytkownikiem a infrastrukturą ICT, a także są szyfrowane na urządzeniach infrastruktury ICT, które te dane przetwarzają.