Încredere #
Tot ce îi este necesar unei echipe de achiziții, unui DPO sau unei echipe juridice pentru a evalua EthicsPortal.
Ultima actualizare: 2026-05-17.
Partea contractantă #
- Denumirea serviciului: EthicsPortal
- Operator: Yaroslav Shmarov
- Adresa înregistrată: ul. Obrzeżna 1A, 02-691 Varșovia, Polonia
- Cod de identificare fiscală (NIP): 5272755790
- Semnatar autorizat pentru contracte comerciale, acorduri de prelucrare a datelor și chestionare de securitate: Yaroslav Shmarov
- Contact comercial: support@ethicsportal.eu
- Contact de securitate: security@ethicsportal.eu
- Contact pentru protecția datelor: privacy@ethicsportal.eu
Dovezile de înregistrare și documentele contractuale semnate sunt furnizate la cerere în etapa de achiziții.
Regiunea de găzduire și relația de prelucrare #
În modelul standard de abonament, clientul este operatorul de date, iar EthicsPortal acționează ca persoană împuternicită pentru datele din raportările clientului.
Datele principale ale raportărilor avertizorilor — aplicația, baza de date și stocarea de fișiere — sunt găzduite la Nürnberg, Germania, pe Hetzner . E-mailul tranzacțional este transmis prin Mailjet (Franța). Site-ul de marketing folosește un singur subprocesator publicat din afara UE, Cloudflare (CDN), listat integral pe pagina subprocesatori . Portalul de raportare și portalul responsabililor nu încarcă Cloudflare.
Personalul furnizorului și continuitatea #
Personal. EthicsPortal nu are angajați sau colaboratori. Toate datele clienților sunt prelucrate exclusiv de operatorul desemnat. Controalele de personal pe partea furnizorului — verificări de fond, instruiri de securitate, procesul de intrare/ieșire — se reduc, prin urmare, la rezumatul documentat privind accesul privilegiat, disponibil în etapa de revizuire pentru achiziții.
Continuitate. În cazul incapacității operatorului sau al încetării activității, organizațiile-client au dreptul la un export complet, în format prelucrabil automat, al datelor lor, precum și la o perioadă definită de tranziție pentru a migra către un furnizor alternativ. Modalitățile concrete sunt prevăzute în Acordul de prelucrare a datelor și sunt detaliate în materialele disponibile în etapa de revizuire pentru achiziții.
Statutul actual al certificărilor #
EthicsPortal nu revendică în prezent pe acest site certificări ISO 27001, SOC 2 sau echivalente. În prezent nu este înregistrat niciun test independent extern de penetrare. Atunci când oricare dintre aceste situații se schimbă, numele certificării (sau domeniul testului, data și rezumatul măsurilor corective) vor fi publicate aici.
Ciclul de viață operațional #
| Întrebare | Răspuns |
|---|---|
| Disponibilitate în timp real | Publicată la secure.ethicsportal.eu/up pentru suprafețele acoperite. Vezi Acordul de nivel de serviciu pentru metodologia de măsurare și excluderi. |
| Ciclul de viață al sesiunilor și al accesului | Sesiunile expiră automat după 14 zile de inactivitate și sunt curățate nocturn. Utilizatorii își pot examina și revoca propriile sesiuni în orice moment. Fiecare sesiune înregistrează last_seen_at astfel încât dispozitivele inactive să poată fi identificate. Dezactivarea unui membru întrerupe accesul la limita cererii, anulează atribuirea raportărilor deschise și elimină participările, păstrând în același timp istoricul de audit. Vezi Securitate
. |
| Copii de rezervă și restaurare | Copii zilnice criptate ale bazei de date PostgreSQL în Hetzner Object Storage (UE, retenție 7 zile), plus instantanee la nivel de server Hetzner (retenție 7 zile). RPO 24 de ore, RTO 4 ore. Ultimul exercițiu de restaurare: 2026-05-14. Vezi Securitate . |
| Gestionarea dependențelor și a actualizărilor | SCA continuă în CI (Brakeman, bundler-audit, importmap audit), plus actualizări săptămânale Dependabot. Niciun component ajuns la sfârșitul ciclului de viață nu este implementat. Vezi Securitate . |
| Export și ștergere | Exportul PDF al cazului este disponibil în aplicație pentru fiecare caz (descriere, mesaje, jurnal de audit, atașamente). Exportul în masă, în format prelucrabil automat, al întregului set de date al organizației este disponibil la cerere, în etapa de ieșire din contract. Angajamentele contractuale sunt prevăzute în Acordul de prelucrare a datelor . |
| Obiective de recuperare | Vezi Acordul de nivel de serviciu . |
Poziții contractuale #
O singură sursă de adevăr pentru întrebările contractuale pe care echipele de achiziții ale companiilor le adresează cel mai des. Fiecare rând trimite la documentul care reglementează aspectul.
| Element | Poziția EthicsPortal |
|---|---|
| Plafon agregat al răspunderii | Douăsprezece luni de tarife plătite în cele 12 luni care preced evenimentul care a dat naștere pretenției (Termeni §11 ). Acordul de prelucrare a datelor, Acordul de nivel de serviciu și despăgubirea pentru încălcarea drepturilor de proprietate intelectuală se încadrează toate în același plafon agregat. |
| Despăgubire pentru încălcarea drepturilor de proprietate intelectuală | Operatorul va apăra Operatorul de date împotriva pretențiilor terților pentru încălcarea drepturilor de autor, a mărcilor sau a brevetelor rezultate din utilizarea Serviciului conform Termenilor, sub rezerva excluderilor uzuale (modificări ale clientului, utilizare neautorizată, combinații neautorizate) și a plafonului agregat al răspunderii. Vezi Termeni §12 . |
| Termen de notificare a breșei | Fără întârzieri nejustificate și în orice caz în 72 de ore de la luarea la cunoștință (DPA §6.6 ), aliniat cu Art. 33 GDPR. Un termen mai scurt nu este oferit contractual în planurile de autoservire, deoarece ferestrele mai scurte riscă o notificare prematură și intră în conflict cu pragul de evaluare criminalistică impus de GDPR. |
| Drepturi de audit | Conform Art. 28(3)(h) GDPR, cu cel puțin 30 de zile de preaviz și în timpul programului normal de lucru (DPA §6.9 ). Persoana împuternicită va răspunde la chestionare scrise de securitate în locul auditului la fața locului, atunci când evaluarea Operatorului de date poate fi satisfăcută astfel. |
| Credite de serviciu | Planurile de autoservire nu includ credite monetare de serviciu. Remediile pentru indisponibilitățile materiale sau repetate sunt guvernate de plafonul agregat al răspunderii (SLA ). |
| Chei de criptare gestionate de client (BYOK / KMS extern) | Nu sunt acceptate. Cheile gestionate de Persoana împuternicită sunt necesare pentru a menține separarea cheilor dintre avertizor și responsabilul de caz, precum și garanția ștergerii de la un capăt la altul. Vezi DPA §6.11 . |
| Depozit de cod sursă | Nu este oferit. Continuitatea este asigurată prin prevederile privind incapacitatea operatorului din planul de continuitate a activității și prin drepturile de export și ștergere a datelor ale Operatorului de date conform DPA §6.8 . |
| Notificarea schimbării subprocesatorului | Cu cel puțin 30 de zile înainte de adăugarea sau înlocuirea unui subprocesator; Operatorul de date poate obiecta și înceta contractul dacă nu se ajunge la o rezoluție (DPA §6.4 ). |
| Export și ștergere a datelor la ieșire | Export PDF al cazului în autoservire în produs, plus export în masă în format prelucrabil automat la cerere, în etapa de ieșire, plus ștergere în 30 de zile de la încetarea abonamentului la cerere scrisă (DPA §6.8 ). |
| Asigurare de răspundere cibernetică | În curs de analiză. Suma de acoperire și asigurătorul vor fi publicate aici după încheiere. |
| Test de penetrare extern independent | În prezent nu există unul înregistrat. Domeniul de aplicare, data și rezumatul remedierilor vor fi publicate aici după efectuare. |
| Lege aplicabilă și jurisdicție | Dreptul polonez; instanțele din Varșovia (Termeni §13 ). Consumatorii din UE păstrează dreptul la procedură în țara lor de reședință. |
Aceste poziții se reflectă în Termenii de utilizare , Acordul de prelucrare a datelor și Acordul de nivel de serviciu publicate. Abaterile substanțiale nu sunt acordate în planurile de autoservire.
Documente publice #
Tot ce are nevoie un evaluator de achiziții este publicat în mod deschis. Grupate după funcția documentului.
Contractuale #
Ce reglementează relația dintre EthicsPortal și client.
| Document | Scop |
|---|---|
| Termeni de utilizare | Termeni de abonament, anulare, rambursări |
| Acord de prelucrare a datelor | Termeni de prelucrare conform GDPR art. 28 |
| SLA | Țintă de disponibilitate și măsurare |
| Politică de confidențialitate | Modul în care sunt prelucrate datele cu caracter personal |
Operaționale #
Cum funcționează serviciul zilnic și cine mai este implicat.
| Document | Scop |
|---|---|
| Securitate | Măsuri tehnice și organizatorice |
| Subprocesatori | Subprocesatori desemnați și domeniul lor |
| Registru al incidentelor | Incidente materiale care afectează datele cu caracter personal |
| Accesibilitate | Statut de conformitate cu EAA |
Referință directivă #
Cum cartografiază și interpretează EthicsPortal Directiva (UE) 2019/1937.
| Document | Scop |
|---|---|
| Acoperirea Directivei 2019/1937 | Cartografierea funcție–articol din Directiva 2019/1937 |
| Interpretări ale Directivei 2019/1937 | Poziții interpretative privind dispozițiile ambigue ale Directivei |
| Legislație avertizori pe țări | Transpuneri naționale și autorități competente |
| Sancțiuni pe țări | Amenzi și răspundere penală în statele membre |
Disponibile în etapa de revizuire pentru achiziții #
Următoarele materiale sunt furnizate într-un cadru de divulgare controlată, nu publicate deschis:
- DPA semnat
- extras de registru și dovadă NIP / fiscală
- chestionar de securitate completat
- rezumat privind accesul privilegiat în producție
- rezumat privind răspunsul la incidente
- răspunsuri privind continuitatea activității, ieșirea din serviciu și exportul datelor clientului
- rezumatul testului extern de penetrare (atunci când este înregistrat)
Pentru a le solicita, scrieți la support@ethicsportal.eu . Pentru întrebări legate de revizuirea de securitate, scrieți la security@ethicsportal.eu .
Ultima actualizare: