Доверие #
Всичко, от което рецензентът по обществена поръчка, длъжностното лице по защита на данните или правният екип имат нужда, за да оценят EthicsPortal.
Последна актуализация: 2026-05-17.
Договаряща страна #
- Име на услугата: EthicsPortal
- Оператор: Yaroslav Shmarov
- Регистриран адрес: ul. Obrzeżna 1A, 02-691 Варшава, Полша
- Данъчен номер (NIP): 5272755790
- Оправомощен да подписва търговски договори, DPA и въпросници по сигурността: Yaroslav Shmarov
- Търговски контакт: support@ethicsportal.eu
- Контакт по сигурността: security@ethicsportal.eu
- Контакт по защита на данните: privacy@ethicsportal.eu
Регистрационните доказателства и подписаните договорни документи се предоставят при поискване по време на обществена поръчка.
Място на съхранение на данните и роля на обработващ #
В стандартния абонаментен модел клиентът е администратор, а EthicsPortal действа като обработващ на данните по сигналите на клиента.
Основните данни по сигналите — приложението, базата данни и съхранението на файловете — са разположени в Нюрнберг, Германия, в Hetzner . Транзакционната поща се обработва през Mailjet (Франция). Маркетинговият сайт използва един посочен подизпълнител извън ЕС — Cloudflare (CDN), изброен в пълнота на страницата подизпълнители . Порталът за сигнали и порталът на обработващите не зареждат Cloudflare.
Персонал на доставчика и непрекъсваемост #
Персонал. EthicsPortal няма служители или изпълнители. Всички клиентски данни се обработват само от посочения оператор. Затова контролите върху персонала от страна на доставчика — проверка на миналото, обучение по сигурност, процес при постъпване и напускане — се свеждат до документираното резюме на достъпа с повишени права, налично при преглед в рамките на обществена поръчка.
Непрекъсваемост. В случай на неработоспособност на оператора или прекратяване на дейността, клиентските организации имат право на пълно машинно четимо извличане на своите данни и определен период за плавно прекратяване, за да мигрират към друг доставчик. Конкретните уговорки са посочени в Споразумението за обработване на данни и са разгърнати в материалите, налични при преглед в рамките на обществена поръчка.
Състояние на сертифицирането #
EthicsPortal понастоящем не заявява на този сайт сертификат ISO 27001, SOC 2 или еквивалентна сертификация. Понастоящем не е заведен и независим външен тест за проникване. Когато някое от двете се промени, наименованието на сертификата (или обхватът на теста, датата и обобщението на отстраняването) ще бъдат публикувани тук.
Жизнен цикъл на експлоатацията #
| Въпрос | Отговор |
|---|---|
| Текуща наличност | Публикувана на secure.ethicsportal.eu/up за обхванатите повърхности. Вижте Споразумение за ниво на услугата за методиката на измерване и изключенията. |
| Жизнен цикъл на сесиите и достъпа | Сесиите изтичат автоматично след 14 дни неактивност и се прочистват нощно. Потребителите могат по всяко време да преглеждат и да отнемат собствените си сесии. Всяка сесия записва last_seen_at, така че неактивните устройства да са разпознаваеми. Деактивирането на член прекъсва достъпа на ниво заявка, премахва възлагането на отворени сигнали и премахва участията, като запазва историята в одитната следа. Вижте Сигурност
. |
| Архивиране и възстановяване | Ежедневни шифровани дъмпове на PostgreSQL към Hetzner Object Storage (ЕС, 7-дневно съхранение), плюс снимки на сървърно ниво в Hetzner (7-дневно съхранение). RPO 24 часа, RTO 4 часа. Последно учение по възстановяване: 2026-05-14. Вижте Сигурност . |
| Управление на зависимостите и кръпките | Непрекъснат SCA в CI (Brakeman, bundler-audit, importmap audit) плюс седмични обновявания чрез Dependabot. Не се внедряват компоненти, излезли от поддръжка. Вижте Сигурност . |
| Извличане и изтриване | В приложението е налице PDF извличане на всяка преписка (описание, съобщения, одитна следа, прикачени файлове). Машинно четимо обемно извличане на пълния набор данни на организацията се предоставя при поискване по време на прекратяване на договора. Договорните ангажименти са в Споразумението за обработване на данни . |
| Цели за възстановяване | Вижте Споразумение за ниво на услугата . |
Договорни позиции #
Единен източник на истината по договорните въпроси, които корпоративните екипи по обществена поръчка задават най-често. Всеки ред препраща към документа, който урежда въпроса.
| Позиция | Позицията на EthicsPortal |
|---|---|
| Обща горна граница на отговорността | Дванадесет месеца такси, заплатени през последните 12 месеца преди събитието, породило претенцията (Общи условия §11 ). Споразумението за обработване на данни, Споразумението за ниво на услугата и обезщетението за нарушаване на интелектуална собственост попадат под същата обща горна граница. |
| Обезщетение за нарушаване на интелектуална собственост | Операторът ще защитава Администратора срещу претенции на трети лица за нарушаване на авторско право, търговска марка или патент, произтичащи от използването на Услугата съгласно Общите условия, при стандартни изключения (модификации от клиента, неразрешено използване, неразрешени комбинации) и при общата горна граница на отговорността. Вижте Общи условия §12 . |
| Срок за уведомяване при нарушение | Без неоправдано забавяне и във всеки случай в срок от 72 часа от узнаване (DPA §6.6 ), съгласувано с Art. 33 ОРЗД. По-кратък срок не се предлага договорно при самообслужващите се планове, тъй като по-кратките срокове крият риск от преждевременно уведомяване и противоречат на изисквания от ОРЗД праг за криминалистическа оценка. |
| Право на одит | Съгласно Art. 28(3)(h) ОРЗД, с поне 30 дни предварително предизвестие и в нормално работно време (DPA §6.9 ). Обработващият ще отговаря на писмени въпросници за сигурността вместо одит на място, когато прегледът на Администратора може да бъде удовлетворен по този начин. |
| Кредити за услугата | Самообслужващите се планове не включват парични кредити за услугата. Средствата за защита при съществени или повтарящи се откази в наличността са уредени с общата горна граница на отговорността (SLA ). |
| Ключове за криптиране, управлявани от клиента (BYOK / външен KMS) | Не се поддържат. Управлявани от Обработващия ключове са необходими, за да се поддържат разделянето на ключовете подател–обработващ и гаранцията за пълно изтриване. Вижте DPA §6.11 . |
| Депозит на изходен код | Не се предлага. Непрекъсваемостта се гарантира чрез разпоредбите за невъзможност на оператора и правата на Администратора за извличане и изтриване на данни по DPA §6.8 . |
| Уведомяване за смяна на подизпълнител | Поне 30 дни преди добавяне или замяна на подизпълнител; Администраторът може да възрази и да прекрати, ако не се постигне споразумение (DPA §6.4 ). |
| Извличане и изтриване на данни при прекратяване | Самообслужващо PDF извличане на преписка в продукта, плюс машинно четимо обемно извличане при поискване по време на прекратяване, плюс изтриване в срок от 30 дни от прекратяване на абонамента по писмено искане (DPA §6.8 ). |
| Застраховка за киберотговорност | В процес на разглеждане. Сумата на покритието и застрахователят ще бъдат публикувани тук, когато бъдат осигурени. |
| Независим външен тест за проникване | В момента няма наличен. Обхват, дата и обобщение на отстраняването ще бъдат публикувани тук, когато бъде извършен. |
| Приложимо право и юрисдикция | Право на Полша; съдилища във Варшава (Общи условия §13 ). Потребителите в ЕС запазват правото си на производство в държавата си на пребиваване. |
Тези позиции са отразени в публикуваните Общи условия , Споразумение за обработване на данни и Споразумение за ниво на услугата . Съществени отклонения не се предоставят при самообслужващите се планове.
Публични документи #
Всичко, от което рецензентът по обществена поръчка има нужда, е публикувано открито. Групирани по предназначение на документа.
Договорни #
Какво урежда отношенията между EthicsPortal и клиента.
| Документ | Цел |
|---|---|
| Общи условия | Условия за абонамент, прекратяване, възстановяване |
| Споразумение за обработване на данни | Условия за обработващия по чл. 28 от ОРЗД |
| Споразумение за ниво на услугата | Цел за наличност и измерване |
| Политика за поверителност | Как се обработват личните данни |
Оперативни #
Как услугата работи ежедневно и кой друг участва.
| Документ | Цел |
|---|---|
| Сигурност | Технически и организационни мерки |
| Подизпълнители | Поименен списък на подизпълнителите и техният обхват |
| Регистър на инцидентите | Съществени инциденти, засягащи лични данни |
| Достъпност | Състояние на съответствието с Европейския акт за достъпност |
Препратки към директивата #
Как EthicsPortal се отнася към и чете Директива (ЕС) 2019/1937.
| Документ | Цел |
|---|---|
| Покритие на Директива 2019/1937 | Карта функция–член на Директива 2019/1937 |
| Тълкувания на Директива 2019/1937 | Тълкувателни позиции по двусмислени разпоредби |
| Закони за защита на подателите на сигнали по държави | Национални транспозиции и компетентни органи |
| Санкции по държави | Глоби и наказателна отговорност в държавите членки |
Налично при преглед в рамките на обществена поръчка #
Следните материали се споделят чрез контролирано разкриване, а не се публикуват в отворения уеб:
- Подписано DPA
- Регистрационен документ и доказателство за NIP/данъчна регистрация
- Попълнен въпросник по сигурността
- Резюме на достъпа с повишени права в производствената среда
- Резюме на реакцията при инциденти
- Отговори относно непрекъсваемост на дейността, прекратяване и сваляне на данни на клиента
- Резюме на външния тест за проникване (когато е заведен)
За да поискате тези материали, пишете на support@ethicsportal.eu . За въпроси по преглед на сигурността пишете на security@ethicsportal.eu .
Последна актуализация: