Oświadczenie o ochronie prywatności

Ochrona w Adyen

Dokładamy wszelkich starań, aby chronić Twoje dane osobowe, a także wdrożyliśmy środki, aby robić to skutecznie. Aby uniemożliwić nieuprawnionym osobom lub stronom dostęp do Twoich danych, wprowadziliśmy szereg środków technicznych i organizacyjnych, które mają na celu ochronę i zabezpieczenie przetwarzanych informacji na Twój temat. Obejmuje to:

1. Program bezpieczeństwa, polityki i personel:

Prowadzimy Program bezpieczeństwa informacji w celu identyfikacji zagrożeń i wdrażania odpowiednich mechanizmów kontroli. Program ten jest poddawany regularnym przeglądom w celu zapewnienia ciągłej skuteczności i dokładności. Posiadamy pracujący na pełny etat zespół ds. bezpieczeństwa odpowiedzialny za monitorowanie, utrzymywanie i ciągłe udoskonalanie naszego bezpieczeństwa. Posiadamy odpowiednie i skuteczne polityki i procedury dotyczące bezpieczeństwa informacji, które są niezbędnym elementem umożliwiającym przestrzeganie odnośnych przepisów.

2. Audyty i certyfikaty:

Zlecamy niezależne weryfikacje naszych mechanizmów kontroli bezpieczeństwa i zgodności, co pomaga nam w spełnianiu celów związanych z przepisami i politykami. Bieżące niezależne audyty zewnętrzne Adyen w zakresie bezpieczeństwa informacji obejmują:

a. Payment Card Industry Data Security Standard (PCI-DSS)

PCI DSS to zbiór wytycznych dotyczących bezpieczeństwa informacji i najlepszych praktyk biznesowych, których zadaniem jest ustanowienie „minimalnego standardu bezpieczeństwa” w celu ochrony informacji o kartach płatniczych klientów. Co najmniej raz w roku Adyen przechodzi zewnętrzny audyt w celu certyfikacji naszych produktów i platformy płatniczej zgodnie ze standardem PCI-DSS.

b. Mechanizmy kontroli systemów i organizacji (System and Organization Controls 2 – SOC 2) Typ 2

SOC 2 to raport bazujący na istniejących kryteriach usług zaufania (Trust Services Criteria – TSC) opracowanych przez Auditing Standards Board of the American Institute of Certified Public Accountants’ (AICPA). Celem tego raportu jest ocena systemów informacyjnych Adyen pod kątem bezpieczeństwa, dostępności, poufności i prywatności. Co najmniej raz w roku Adyen poddaje się zewnętrznemu audytowi w celu sprawdzenia przydatności projektu i skuteczności działania naszych mechanizmów kontroli.

3. Kontrola dostępu i zarządzanie uprawnieniami:

Dostęp administracyjny do naszych systemów produkcyjnych ograniczamy do zatwierdzonego personelu. Po zatrudnieniu nasi zatwierdzeni pracownicy otrzymują niepowtarzalne identyfikatory i dane uwierzytelniania. Po zwolnieniu zatwierdzonego personelu lub w przypadku podejrzenia sprzeniewierzenia tego rodzaju danych uwierzytelniających uprawnień dostęp administracyjny zostaje cofnięty. Prawa i poziomy dostępu bazują na stanowisku i roli naszych pracowników oraz na zasadach „jak najmniejszych uprawnień” i „konieczności poznania”, aby zapewnić, że uprawnienia związane z dostępem są powiązane z określonymi obowiązkami.

4. Szyfrowanie danych:

Szyfrujemy dane i przesyłamy je za pomocą naszych interfejsów użytkownika lub API (przy użyciu TLS lub podobnych technologii) przez Internet.

5. Monitorowanie bezpieczeństwa i reagowanie na incydenty:

Posiadamy proces zarządzania incydentami dla zdarzeń związanych z bezpieczeństwem, które mogą mieć wpływ na poufność, integralność lub dostępność naszych systemów lub danych. Proces ten obejmuje określone czasy reakcji, w ramach których Adyen ma obowiązek powiadomić zainteresowane strony. Proces ten określa kierunki działań, procedury powiadamiania, eskalowania, minimalizowania i dokumentowania. Program reagowania na incydenty obejmuje scentralizowane systemy monitorowania działające przez całą dobę, 7 dni w tygodniu oraz personel dyżurujący w celu reagowania na incydenty związane z bezpieczeństwem.

6. Bezpieczeństwo fizyczne:

W naszych lokalizacjach fizycznych, takich jak centra danych, stosujemy mechanizmy kontroli zapobiegające nieupoważnionemu dostępowi fizycznemu. Obejmuje to: Punkty kontroli bezpieczeństwa, uwierzytelnianie za pomocą identyfikatorów (lub biometryki), obowiązkową rejestrację gości oraz nadzór wideo.

7. Zarządzanie siecią i bezpieczeństwo:

Stosujemy bezpieczną architekturę sieci spełniającą standardy branżowe, wspieraną przez dostatecznie dużą przepustowość i rezerwową infrastrukturę sieciową w celu minimalizacji skutków awarii poszczególnych komponentów. Nasz zespół ds. bezpieczeństwa korzysta ze standardowych narzędzi spełniających standardy branżowe w celu ochrony przed znanymi i powszechnymi formami nieupoważnionej aktywności sieciowej, w celu monitorowania list problemów związanych z bezpieczeństwem pod kątem luk w zabezpieczeniach oraz w celu przeprowadzania regularnych zewnętrznych skanów i audytów pod kątem luk w zabezpieczeniach.

8. Bezpieczeństwo w naszym procesie rozwoju

Nasze produkty i nasza platforma płatnicza są projektowane i rozwijane z uwzględnieniem praktyk w zakresie bezpieczeństwa i prywatności zdefiniowanych na poziomie branżowym. Utrzymujemy udokumentowany cykl rozwoju produktu, zwany cyklem rozwoju bezpiecznego oprogramowania (Secure Software Development Lifecycle – SSDLC), który obejmuje formalne zasady rozwoju.