Zaufanie #
Wszystko, czego potrzebuje osoba prowadząca ocenę dostawcy, IOD lub zespół prawny, aby ocenić EthicsPortal.
Ostatnia aktualizacja: 2026-05-17
Strona kontraktowa #
- Nazwa usługi: EthicsPortal
- Operator: Yaroslav Shmarov
- Adres rejestrowy: ul. Obrzeżna 1A, 02-691 Warszawa, Polska
- Numer identyfikacji podatkowej (NIP): 5272755790
- Osoba upoważniona do podpisywania umów handlowych, DPA i kwestionariuszy bezpieczeństwa: Yaroslav Shmarov
- Kontakt handlowy: support@ethicsportal.eu
- Kontakt bezpieczeństwa: security@ethicsportal.eu
- Kontakt ds. ochrony danych: privacy@ethicsportal.eu
Aktualne dokumenty rejestrowe i podpisane dokumenty kontraktowe są udostępniane na żądanie w trakcie oceny dostawcy.
Lokalizacja danych i relacja przetwarzającego #
W standardowym modelu subskrypcyjnym klient jest administratorem, a EthicsPortal działa jako podmiot przetwarzający dane zgłoszeń.
Podstawowe dane zgłoszeń sygnalistów — aplikacja, baza danych, przechowywanie plików — są hostowane w Norymberdze w Niemczech na Hetzner . Transakcyjna poczta e-mail obsługiwana jest przez Mailjet (Francja). Strona marketingowa korzysta z jednego wskazanego podwykonawcy spoza UE — Cloudflare (CDN), wymienionego w pełni na stronie podwykonawców . Portal zgłoszeniowy i portal prowadzących nie ładują Cloudflare.
Personel dostawcy i ciągłość działania #
Personel. EthicsPortal nie zatrudnia pracowników ani współpracowników. Wszystkie dane klientów są przetwarzane wyłącznie przez wskazanego operatora. Kontrole personalne po stronie dostawcy — weryfikacja przeszłości, szkolenia z bezpieczeństwa, procedura przyjęcia i odejścia — sprowadzają się zatem do udokumentowanego podsumowania uprzywilejowanego dostępu, dostępnego podczas oceny dostawcy.
Ciągłość. W przypadku niezdolności operatora do działania lub zakończenia działalności gospodarczej organizacje klientów są uprawnione do pełnego maszynowo czytelnego eksportu swoich danych oraz określonego okresu wygaszania umożliwiającego migrację do innego dostawcy. Konkretne ustalenia zawarto w Umowie powierzenia przetwarzania danych oraz rozwinięto w materiałach dostępnych podczas oceny dostawcy.
Status certyfikacji #
EthicsPortal nie deklaruje obecnie na tej stronie ISO 27001, SOC 2 ani równoważnej certyfikacji. Niezależny zewnętrzny test penetracyjny nie jest obecnie udokumentowany. Gdy którakolwiek z tych kwestii się zmieni, nazwa certyfikatu (lub zakres testu, data i podsumowanie działań naprawczych) zostaną tu opublikowane.
Cykl operacyjny #
| Zagadnienie | Odpowiedź |
|---|---|
| Bieżąca dostępność | Publikowana pod adresem secure.ethicsportal.eu/up dla objętych powierzchni. Zob. Umowę o poziomie usług , aby zapoznać się z metodologią pomiaru i wyłączeniami. |
| Cykl sesji i dostępu | Sesje wygasają automatycznie po 14 dniach bezczynności i są usuwane nocą. Użytkownicy mogą w dowolnym momencie przeglądać i unieważniać własne sesje. Każda sesja rejestruje last_seen_at, dzięki czemu nieaktywne urządzenia są identyfikowalne. Dezaktywacja członka odcina dostęp na granicy żądania, zdejmuje przypisania do otwartych zgłoszeń oraz usuwa uczestnictwa, zachowując jednocześnie historię audytu. Zob. Bezpieczeństwo
. |
| Kopie zapasowe i przywracanie | Codzienne szyfrowane zrzuty PostgreSQL do Hetzner Object Storage (UE, retencja 7 dni) oraz migawki serwera Hetzner (retencja 7 dni). RPO 24 godziny, RTO 4 godziny. Ostatni test przywracania: 2026-05-14. Zob. Bezpieczeństwo . |
| Zarządzanie zależnościami i poprawkami | Ciągłe SCA w CI (Brakeman, bundler-audit, importmap audit) oraz cotygodniowe aktualizacje Dependabot. Brak wdrożonych komponentów po zakończeniu wsparcia. Zob. Bezpieczeństwo . |
| Eksport i usuwanie | Eksport sprawy do PDF jest dostępny w aplikacji dla każdej sprawy (opis, wiadomości, dziennik audytu, załączniki). Maszynowo czytelny eksport zbiorczy pełnego zbioru danych organizacji jest dostępny na żądanie w trakcie zakończenia umowy. Zobowiązania umowne zawarto w Umowie powierzenia przetwarzania danych . |
| Cele odzyskiwania | Zob. Umowę o poziomie usług . |
Stanowiska umowne #
Pojedyncze źródło prawdy w kwestiach umownych, które działy zakupów w przedsiębiorstwach zadają najczęściej. Każdy wiersz odsyła do dokumentu rozstrzygającego.
| Pozycja | Stanowisko EthicsPortal |
|---|---|
| Łączny limit odpowiedzialności | Dwanaście miesięcy opłat uiszczonych w okresie 12 miesięcy poprzedzających zdarzenie będące podstawą roszczenia (Regulamin §11 ). Umowa powierzenia przetwarzania danych, Umowa o poziomie usług oraz odszkodowanie z tytułu naruszenia praw własności intelektualnej podlegają temu samemu łącznemu limitowi. |
| Odszkodowanie z tytułu naruszenia praw własności intelektualnej | Operator będzie bronić Administratora przed roszczeniami osób trzecich z tytułu naruszenia praw autorskich, znaków towarowych lub patentów wynikającymi z korzystania z Usługi zgodnie z Regulaminem, z zastrzeżeniem standardowych wyłączeń (modyfikacje klienta, nieuprawnione korzystanie, niedozwolone połączenia) oraz łącznego limitu odpowiedzialności. Zob. Regulamin §12 . |
| Termin powiadomienia o naruszeniu | Bez zbędnej zwłoki i w każdym przypadku w ciągu 72 godzin od powzięcia wiadomości (DPA §6.6 ), zgodnie z Art. 33 RODO. Krótszy termin nie jest umownie oferowany w planach samoobsługowych, ponieważ krótsze okna grożą przedwczesnym zgłoszeniem i kolidują z progiem oceny kryminalistycznej wymaganym przez RODO. |
| Prawo do audytu | Zgodnie z Art. 28(3)(h) RODO, z co najmniej 30-dniowym wyprzedzeniem i w normalnych godzinach pracy (DPA §6.9 ). Podmiot przetwarzający odpowie na pisemne kwestionariusze bezpieczeństwa zamiast audytu na miejscu, jeśli ocena Administratora może być w ten sposób spełniona. |
| Kredyty usługowe | Plany samoobsługowe nie obejmują pieniężnych kredytów usługowych. Środki ochrony w przypadku istotnych lub powtarzających się awarii dostępności podlegają łącznemu limitowi odpowiedzialności (SLA ). |
| Klucze szyfrowania zarządzane przez klienta (BYOK / zewnętrzny KMS) | Nieobsługiwane. Klucze zarządzane przez Przetwarzającego są wymagane do zachowania rozdziału kluczy zgłaszający–prowadzący sprawę oraz gwarancji pełnego usunięcia. Zob. DPA §6.11 . |
| Depozyt kodu źródłowego | Nie oferujemy. Ciągłość zapewniają postanowienia dotyczące niezdolności operatora zawarte w planie ciągłości działania oraz prawa Administratora do eksportu i usunięcia danych na podstawie DPA §6.8 . |
| Powiadomienie o zmianie podwykonawcy | Co najmniej 30 dni przed dodaniem lub zastąpieniem podwykonawcy; Administrator może wnieść sprzeciw i rozwiązać umowę, jeśli nie zostanie osiągnięte porozumienie (DPA §6.4 ). |
| Eksport i usunięcie danych w momencie zakończenia umowy | Samoobsługowy eksport sprawy do PDF w produkcie, plus maszynowo czytelny eksport zbiorczy na żądanie w trakcie zakończenia, plus usunięcie w ciągu 30 dni od zakończenia subskrypcji na pisemne żądanie (DPA §6.8 ). |
| Ubezpieczenie odpowiedzialności cybernetycznej | W trakcie weryfikacji. Kwota pokrycia i ubezpieczyciel zostaną opublikowani tutaj po uzyskaniu polisy. |
| Niezależny zewnętrzny test penetracyjny | Obecnie nie został przeprowadzony. Zakres, data i podsumowanie działań naprawczych zostaną opublikowane tutaj po jego przeprowadzeniu. |
| Prawo właściwe i jurysdykcja | Prawo polskie; sądy w Warszawie (Regulamin §13 ). Konsumenci z UE zachowują prawo do postępowań w kraju zamieszkania. |
Stanowiska te są odzwierciedlone w opublikowanym Regulaminie , Umowie powierzenia przetwarzania danych i Umowie o poziomie usług . Istotne odstępstwa nie są przyznawane w planach samoobsługowych.
Dokumenty publiczne #
Wszystko, czego potrzebuje osoba oceniająca dostawcę, jest opublikowane otwarcie. Pogrupowane według funkcji dokumentu.
Umowne #
Co reguluje relację między EthicsPortal a klientem.
| Dokument | Cel |
|---|---|
| Regulamin | Warunki subskrypcji, anulowanie, zwroty |
| Umowa powierzenia przetwarzania danych | Warunki przetwarzania zgodnie z art. 28 RODO |
| Umowa o poziomie usług | Cel dostępności i sposób pomiaru |
| Polityka prywatności | Sposób postępowania z danymi osobowymi |
Operacyjne #
Jak usługa działa na co dzień i kto jeszcze jest zaangażowany.
| Dokument | Cel |
|---|---|
| Bezpieczeństwo | Środki techniczne i organizacyjne |
| Podwykonawcy | Wskazani podwykonawcy i ich zakres |
| Rejestr incydentów | Istotne incydenty dotyczące danych osobowych |
| Dostępność | Status zgodności z EAA |
Odniesienia do dyrektywy #
Jak EthicsPortal odnosi się do i interpretuje Dyrektywę (UE) 2019/1937.
| Dokument | Cel |
|---|---|
| Pokrycie Dyrektywy 2019/1937 | Mapa funkcja–artykuł Dyrektywy 2019/1937 |
| Interpretacje Dyrektywy 2019/1937 | Pozycje interpretacyjne wobec niejednoznacznych przepisów Dyrektywy |
| Ustawy o ochronie sygnalistów według kraju | Transpozycje krajowe i organy właściwe |
| Kary według kraju | Grzywny i odpowiedzialność karna w państwach członkowskich |
Dostępne w trakcie oceny dostawcy #
Następujące materiały są udostępniane w kontrolowanym trybie ujawnienia, a nie publikowane otwarcie:
- Podpisane DPA
- Odpis rejestrowy oraz potwierdzenie NIP / podatkowe
- Wypełniony kwestionariusz bezpieczeństwa
- Podsumowanie uprzywilejowanego dostępu do środowiska produkcyjnego
- Podsumowanie procedur reagowania na incydenty
- Odpowiedzi dotyczące ciągłości działania, zakończenia współpracy i eksportu danych klienta
- Podsumowanie zewnętrznego testu penetracyjnego (gdy jest udokumentowane)
Aby poprosić o te materiały, napisz na support@ethicsportal.eu . W sprawach przeglądu bezpieczeństwa napisz na security@ethicsportal.eu .
Ostatnia aktualizacja: