Povjerenje #
Sve što pregledatelju u postupku nabave, službeniku za zaštitu podataka ili pravnom timu treba za procjenu EthicsPortala.
Posljednje ažuriranje: 2026-05-24.
Ugovorna strana #
- Naziv usluge: EthicsPortal
- Operater: Yaroslav Shmarov
- Registrirana adresa: ul. Obrzeżna 1A, 02-691 Varšava, Poljska
- Porezni identifikacijski broj (NIP): 5272755790
- Ovlašteni potpisnik za poslovne ugovore, ugovore o obradi podataka i sigurnosne upitnike: Yaroslav Shmarov
- Poslovni kontakt: support@ethicsportal.eu
- Sigurnosni kontakt: security@ethicsportal.eu
- Kontakt za privatnost i zaštitu podataka: privacy@ethicsportal.eu
Dokazi iz registra i potpisani ugovorni dokumenti dostavljaju se na zahtjev tijekom postupka nabave.
Rezidentnost podataka i odnos izvršitelja obrade #
U standardnom modelu pretplate, korisnik je voditelj obrade, a EthicsPortal djeluje kao izvršitelj obrade za podatke iz prijava korisnika.
Temeljni podaci iz prijava nepravilnosti, uključujući aplikaciju, bazu podataka i pohranu datoteka, smješteni su u Nürnbergu u Njemačkoj kod Hetznera . Transakcijska e-pošta odvija se putem Mailjeta (Francuska). Marketinška stranica koristi jednog imenovanog podizvršitelja obrade izvan EU-a, Cloudflare (CDN), navedenog u cijelosti na stranici podizvršitelja obrade . Portal za prijavu i portal za osobe za rješavanje ne učitavaju Cloudflare.
Kontinuitet i osoblje #
Podaci korisnika mogu se vratiti neovisno o dostupnosti operatera. U bilo kojem trenutku tijekom odnosa i pri izlasku iz ugovora, organizacije korisnici imaju pravo na potpun strojno čitljiv izvoz svojih podataka, uz definirano razdoblje obustave za migraciju alternativnom pružatelju. Ti su aranžmani navedeni u Ugovoru o obradi podataka i razrađeni u planu kontinuiteta poslovanja , koji definira okidače aktivacije, RPO 24 sata / RTO 4 sata i postupak za slučaj nesposobnosti operatera.
Sigurnosne kopije. Dnevni enkriptirani PostgreSQL ispisi na Hetzner Object Storage (EU, čuvanje 7 dana) uz Hetznerove snimke na razini poslužitelja (čuvanje 7 dana). Posljednja vježba vraćanja: 2026-05-14.
Opseg osoblja. Sve podatke korisnika obrađuje imenovani operater. Nema drugih zaposlenika ni ugovaratelja — namjerna odluka o opsegu koja iz modela prijetnji uklanja rizike povezane s osobljem na strani pružatelja (nedostaci u provjeri pozadine, curenje pri dolasku/odlasku, razrastanje ugovaratelja). Kontrole povlaštenog pristupa za imenovanog operatera dokumentirane su i dostupne tijekom pregleda u nabavi.
Status certifikacije #
EthicsPortal trenutačno na ovoj stranici ne tvrdi akreditiranu certifikaciju ISO 27001. Neovisni vanjski test prodora trenutačno nije evidentiran. Kada se bilo što od toga promijeni, naziv certifikata (ili opseg testa, datum i sažetak otklanjanja) bit će objavljen ovdje.
Umjesto akreditirane certifikacije, EthicsPortal objavljuje strukturiranu samoprocjenu prema istim skupovima kontrola koje bi procjenjivala vanjska revizija:
- Mapu kontrola Priloga A norme ISO/IEC 27001:2022 koja pokriva svih 93 kontrole, sa statusom (provedeno / samoprocijenjeno / nije primjenjivo / kompenzacijska kontrola) i pokazateljima dokaza za svaku.
- Mapu usklađenosti sa smjernicama norme ISO 37002:2021 koja pokriva životni ciklus upravljanja prijavama nepravilnosti točka po točka, uz navedenu granicu softver/operater. (ISO 37002 norma je sa smjernicama — nijedna se organizacija ne može certificirati prema njoj; usklađenost je jedina poštena tvrdnja koju bilo koji dobavljač može iznijeti.)
- Imenovane dokumente politika na /policies/ : politika informacijske sigurnosti , plan kontinuiteta poslovanja , registar rizika .
- Unaprijed ispunjeni upitnik usklađen s CAIQ-om za pitanja čiji su odgovori već javno dokumentirani.
Samoprocjena je sadržaj koji bi akreditacija potvrdila. EthicsPortal objavljuje je izravno kako bi pregledatelj u postupku nabave mogao procijeniti iste dokaze bez čekanja na revizora.
Operativni životni ciklus #
| Pitanje | Odgovor |
|---|---|
| Dostupnost uživo | Objavljena na secure.ethicsportal.eu/up za obuhvaćene površine. Za metodologiju mjerenja i iznimke vidjeti Ugovor o razini usluge . |
| Životni ciklus sesije i pristupa | Sesije automatski isteknu nakon 14 dana neaktivnosti i čiste se noću. Korisnici mogu pregledati i opozvati vlastite sesije u bilo kojem trenutku. Svaka sesija bilježi last_seen_at pa su zastarjeli uređaji prepoznatljivi. Deaktivacija člana prekida pristup na granici zahtjeva, poništava otvorene dodjele prijava i uklanja sudioništva uz čuvanje povijesti zapisa aktivnosti. Vidjeti Sigurnost
. |
| Sigurnosne kopije i vraćanje | Dnevni enkriptirani PostgreSQL ispisi na Hetzner Object Storage (EU, čuvanje 7 dana) uz Hetznerove snimke na razini poslužitelja (čuvanje 7 dana). RPO 24 sata, RTO 4 sata. Posljednja vježba vraćanja: 2026-05-14. Vidjeti Sigurnost . |
| Upravljanje ovisnostima i zakrpama | Kontinuirana SCA analiza u CI-ju (Brakeman, bundler-audit, importmap audit) uz tjedna Dependabot ažuriranja. Bez komponenata kojima je istekao životni vijek. Vidjeti Sigurnost . |
| Izvoz i brisanje | PDF izvoz predmeta dostupan je u aplikaciji za svaki predmet (opis, poruke, zapis aktivnosti, prilozi). Strojno čitljiv skupni izvoz cijelog skupa podataka organizacije dostupan je na zahtjev pri izlasku iz ugovora. Ugovorne obveze nalaze se u Ugovoru o obradi podataka . |
| Ciljevi oporavka | Vidjeti Ugovor o razini usluge . |
Ugovorna stajališta #
Jedinstven izvor istine za ugovorna pitanja koja timovi za nabavu u poduzećima najčešće postavljaju. Svaki redak povezuje s dokumentom koji vrijedi.
| Stavka | Stajalište EthicsPortala |
|---|---|
| Gornja granica agregirane odgovornosti | 12 mjeseci naknada plaćenih u 12 mjeseci koji su prethodili događaju koji je doveo do zahtjeva (Uvjeti §11 ). Ugovor o obradi podataka, Ugovor o razini usluge i odšteta za intelektualno vlasništvo svi se ulijevaju u istu agregiranu gornju granicu. |
| Odšteta za povredu intelektualnog vlasništva | Operater će braniti Voditelja obrade od zahtjeva trećih strana zbog autorskog prava, žiga ili patenta koji proizlaze iz korištenja Usluge u skladu s Uvjetima, podložno standardnim izuzecima (izmjene korisnika, neovlašteno korištenje, neodobrene kombinacije) i gornjoj granici agregirane odgovornosti. Vidjeti Uvjeti §12 . |
| Rok za obavješćivanje o povredi | Bez nepotrebne odgode i u svakom slučaju unutar 72 sata od saznanja (DPA §6.6 ), usklađeno s Art. 33 GDPR-a. Kraći rok ne nudi se ugovorno na standardnim planovima jer kraći rokovi riskiraju preuranjeno obavješćivanje i u suprotnosti su s forenzičkim pragom koji nalaže GDPR. |
| Prava na reviziju | Prema Art. 28(3)(h) GDPR-a, uz najmanje 30 dana prethodne obavijesti i tijekom uobičajenoga radnog vremena (DPA §6.9 ). Izvršitelj obrade odgovorit će na pisane sigurnosne upitnike umjesto revizije na licu mjesta kada se pregled Voditelja obrade može na taj način zadovoljiti. |
| Krediti za uslugu | Standardni planovi ne uključuju novčane kredite za uslugu. Pravni lijekovi za značajne ili ponovljene propuste u dostupnosti uređeni su gornjom granicom agregirane odgovornosti (SLA ). |
| Ključevi za enkripciju kojima upravlja korisnik (BYOK / vanjski KMS) | Nije podržano. Ključevi kojima upravlja Izvršitelj obrade potrebni su za održavanje granice ključa prijavitelj–osoba za rješavanje i jamstva brisanja od kraja do kraja. Vidjeti DPA §6.11 . |
| Pohrana izvornog koda kod treće strane (escrow) | Nije ponuđeno. Kontinuitet se rješava odredbama o nesposobnosti operatera iz plana kontinuiteta poslovanja te pravima Voditelja obrade na izvoz i brisanje podataka prema DPA §6.8 . |
| Obavijest o promjeni podizvršitelja obrade | Najmanje 30 dana prije dodavanja ili zamjene podizvršitelja obrade; Voditelj obrade može prigovoriti i raskinuti ako se rješenje ne postigne (DPA §6.4 ). |
| Izvoz i brisanje podataka pri izlasku | Samostalan PDF izvoz predmeta u proizvodu, uz strojno čitljiv skupni izvoz na zahtjev pri izlasku, uz brisanje unutar 30 dana od prestanka pretplate na pisani zahtjev (DPA §6.8 ). |
| Osiguranje od kibernetičke odgovornosti | U pregledu. Iznos pokrića i osiguratelj bit će objavljeni ovdje kada budu uspostavljeni. |
| Neovisni vanjski test prodora | Trenutačno nije evidentiran. Opseg, datum i sažetak otklanjanja bit će objavljeni ovdje kada se provede. |
| Mjerodavno pravo i nadležnost | Pravo Poljske; sudovi u Varšavi (Uvjeti §13 ). Potrošači u EU-u zadržavaju pravo na postupak u svojoj državi prebivališta. |
Ova su stajališta odražena u objavljenim Uvjetima usluge , Ugovoru o obradi podataka i Ugovoru o razini usluge . Značajna odstupanja ne odobravaju se na standardnim planovima.
Javni dokumenti #
Sve što pregledatelju u postupku nabave treba objavljeno je otvoreno. Grupirano prema tome što dokument čini.
Ugovorno #
Ono što uređuje odnos između EthicsPortala i korisnika.
| Dokument | Svrha |
|---|---|
| Uvjeti usluge | Uvjeti pretplate, otkazivanje, povrat sredstava, gornja granica odgovornosti, odšteta za intelektualno vlasništvo |
| Ugovor o obradi podataka | Uvjeti izvršitelja obrade prema članku 28. GDPR-a |
| Ugovor o razini usluge | Cilj dostupnosti i mjerenje |
| Politika privatnosti | Kako se postupa s osobnim podacima |
Operativno #
Kako Usluga radi iz dana u dan i tko je još uključen.
| Dokument | Svrha |
|---|---|
| Sigurnost | Tehničke i organizacijske mjere |
| Podizvršitelji obrade | Imenovani podizvršitelji obrade i njihov opseg |
| Registar incidenata | Značajni incidenti koji utječu na osobne podatke |
| Pristupačnost | Status usklađenosti s EAA-om / EN 301 549 |
Referenca Direktive #
Kako se EthicsPortal povezuje s Direktivom (EU) 2019/1937 i kako je čita.
| Dokument | Svrha |
|---|---|
| Mapa pokrivenosti Direktive 2019/1937 | Mapa značajka–članak Direktive 2019/1937 |
| Tumačenja Direktive 2019/1937 | Tumačenja dvosmislenih odredbi Direktive |
| Zakoni o zaštiti prijavitelja nepravilnosti po državama | Nacionalni prijenosi, tijela za izvršenje |
| Kazne po državama | Novčane kazne i kaznena odgovornost po državi članici |
Samoprocjena #
Imenovani dokumenti politika i mape kontrola koje bi procjenjivala vanjska revizija.
| Dokument | Svrha |
|---|---|
| Politika informacijske sigurnosti | Izjava o namjeri, opseg, uloge, obveze prema kontrolama |
| Plan kontinuiteta poslovanja | Okidači aktivacije, ciljevi oporavka, otkrivanje za slučaj nesposobnosti operatera |
| Registar rizika | Glavni rizici, postupanje, preostalo stanje |
| Mapa kontrola Priloga A norme ISO/IEC 27001:2022 | Strukturirana samoprocjena prema svih 93 kontrole |
| Upitnik usklađen s CAIQ-om | Unaprijed ispunjena sigurnosna procjena dobavljača (struktura domena CSA CAIQ v4) |
Dostupno tijekom pregleda u nabavi #
Sljedeći se materijali dijele kontroliranim otkrivanjem umjesto otvorenog objavljivanja:
- Potpisani ugovor o obradi podataka
- Izvadak iz registra i dokaz NIP-a / poreza
- Ispunjeni sigurnosni upitnik
- Sažetak povlaštenog produkcijskog pristupa
- Sažetak odgovora na incidente
- Odgovori o kontinuitetu poslovanja, izlasku i izvozu podataka korisnika
- Sažetak vanjskog testa prodora (kada bude evidentiran)
Za zahtjev tih materijala pišite na support@ethicsportal.eu . Za pitanja o sigurnosnom pregledu pišite na security@ethicsportal.eu .
Posljednje ažuriranje: