Ruby Logic

Polityka Bezpieczeństwa Informacji

Ruby Logic Poland sp. z o.o.
OrganizacjaRuby Logic Poland sp. z o.o.
Wersja1.1
Data aktualizacji2026-05-18
KlasyfikacjaPubliczne
Dokument bazowySZBI-PO-01 - Polityka Bezpieczeństwa Informacji (wersja wewnętrzna)
1. Wprowadzenie

Ruby Logic Poland sp. z o.o. (dalej: Organizacja) prowadzi działalność w zakresie wytwarzania oprogramowania, a także projektuje, rozwija, utrzymuje i świadczy usługi SaaS. Ochrona informacji - własnych oraz powierzonych przez klientów i partnerów - jest jednym z kluczowych zobowiązań Organizacji.

Niniejsza Polityka (dalej: Polityka) jest publicznym opisem zasad bezpieczeństwa informacji stosowanych w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Dokument bazuje na wewnętrznej polityce SZBI-PO-01 i jest utrzymywany w spójności z jej aktualną wersją.

2. Cel Polityki

Celem Polityki jest określenie ram ochrony informacji oraz potwierdzenie, że Organizacja:

  1. Chroni poufność, integralność i dostępność informacji.
  2. Spełnia wymagania prawne, regulacyjne i umowne dotyczące bezpieczeństwa informacji.
  3. Stosuje podejście oparte na analizie ryzyka oraz mechanizmy ciągłego doskonalenia.
  4. Zapewnia ciągłość działania kluczowych usług.
  5. Komunikuje wymagania bezpieczeństwa osobom działającym na rzecz Organizacji.
3. Zakres stosowania

Polityka dotyczy informacji, systemów i procesów związanych z działalnością SaaS Organizacji, w szczególności:

  • informacji przetwarzanych w dowolnej formie,
  • systemów i infrastruktury IT,
  • usług zewnętrznych wspierających świadczenie usług SaaS,
  • procesów biznesowych i operacyjnych wspierających SZBI.

Polityka obowiązuje pracowników, współpracowników, podwykonawców oraz dostawców i partnerów w zakresie wynikającym z umów i nadanych uprawnień.

4. Deklaracja najwyższego kierownictwa

Najwyższe kierownictwo Ruby Logic Poland sp. z o.o. deklaruje pełne zaangażowanie w ochronę informacji i zobowiązuje się do:

  1. Zapewnienia zasobów niezbędnych do ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia SZBI.
  2. Integracji wymagań bezpieczeństwa informacji z procesami biznesowymi i operacyjnymi Organizacji.
  3. Stosowania podejścia opartego na ryzyku przy podejmowaniu decyzji.
  4. Zapewnienia spełniania wymagań prawnych, regulacyjnych i umownych.
  5. Wyznaczania, komunikowania i wspierania ról odpowiedzialnych za bezpieczeństwo informacji.
  6. Regularnego przeglądu skuteczności SZBI i realizacji celów bezpieczeństwa informacji.
  7. Przyjęcia odpowiedzialności za skuteczność SZBI.
5. Zgodność z normami i przepisami

SZBI Organizacji jest utrzymywany w zgodności m.in. z:

  • ISO/IEC 27001:2022 (PN-EN ISO/IEC 27001:2023-08),
  • ISO/IEC 27002:2022,
  • RODO/GDPR oraz właściwymi przepisami krajowymi,
  • zobowiązaniami umownymi (w tym NDA, SLA i umowami powierzenia danych).
6. Cele bezpieczeństwa informacji

Organizacja ustanawia i monitoruje cele bezpieczeństwa informacji w obszarach:

  • poufności,
  • integralności,
  • dostępności,
  • zgodności i skuteczności SZBI.

Cele te są mierzalne i podlegają okresowemu raportowaniu oraz przeglądom zarządczym.

7. Kluczowe zasady bezpieczeństwa

Organizacja stosuje podejście warstwowe i proporcjonalne do ryzyka, obejmujące:

  • klasyfikację informacji i właściwe postępowanie z danymi,
  • kontrolę dostępu opartą na zasadach need-to-know i least privilege,
  • ochronę kryptograficzną danych w transmisji i spoczynku,
  • bezpieczny cykl życia oprogramowania,
  • ochronę infrastruktury, sieci i środowisk operacyjnych,
  • bezpieczeństwo fizyczne i organizacyjne miejsc przetwarzania informacji.
8. Zarządzanie ryzykiem

Organizacja prowadzi cykliczny proces zarządzania ryzykiem obejmujący identyfikację, analizę, postępowanie i monitorowanie ryzyk. Ryzyka rezydualne są akceptowane zgodnie z przyjętymi kryteriami, a ryzyka istotne wymagają decyzji Zarządu.

9. Zarządzanie incydentami bezpieczeństwa

Organizacja utrzymuje proces zgłaszania, klasyfikacji i obsługi incydentów bezpieczeństwa informacji, w tym:

  • obowiązek niezwłocznego zgłaszania zdarzeń i podejrzeń naruszeń,
  • analizę przyczyn i wdrażanie działań korygujących,
  • spełnianie obowiązków notyfikacyjnych dotyczących naruszeń danych osobowych.
10. Ciągłość działania

Organizacja utrzymuje zdolność do bezpiecznego świadczenia usług w warunkach zakłóceń, m.in. poprzez:

  • monitorowanie dostępności usług,
  • utrzymywanie redundancji kluczowych elementów infrastruktury wspierających usługi krytyczne,
  • utrzymywanie i testowanie kopii zapasowych,
  • stosowanie rozwiązań wspierających odporność operacyjną,
  • cykliczne testowanie wybranych scenariuszy ciągłości działania.
11. Bezpieczeństwo osób i dostawców

Organizacja:

  • wymaga odpowiednich zobowiązań poufności i przestrzegania zasad bezpieczeństwa od osób działających na jej rzecz,
  • prowadzi szkolenia z zakresu bezpieczeństwa informacji,
  • zarządza uprawnieniami i ich odbieraniem po ustaniu potrzeby biznesowej,
  • ocenia ryzyko dostawców i nadzoruje bezpieczeństwo współpracy z podmiotami zewnętrznymi.
12. Ochrona danych osobowych i własności intelektualnej

Organizacja chroni dane osobowe i prawa własności intelektualnej zgodnie z obowiązującymi przepisami prawa, w szczególności Rozporządzeniem (UE) 2016/679 (RODO/GDPR), umowami oraz zasadami SZBI.

13. Role, odpowiedzialność i egzekwowanie

Za skuteczność SZBI odpowiada Zarząd, przy wsparciu wyznaczonych ról organizacyjnych. Wszystkie osoby działające na rzecz Organizacji są zobowiązane do przestrzegania niniejszej Polityki. Naruszenia zasad bezpieczeństwa mogą skutkować konsekwencjami organizacyjnymi, umownymi, a w uzasadnionych przypadkach także prawnymi.

14. Komunikacja Polityki

Polityka jest komunikowana osobom działającym na rzecz Organizacji. Istotne zmiany są publikowane i przekazywane w ramach obowiązujących kanałów komunikacji.

Kontakt

W sprawach dotyczących bezpieczeństwa informacji prosimy o kontakt poprzez formularz kontaktowy na stronie https://rubylogic.eu/pl/kontakt