# FAQ DORA
{% hint style="danger" %}
**UWAGA**: Vercom S.A. jako dostawca ICT podlega wymogom DORA wyłącznie w ramach współpracy z Podmiotami Finansowymi i pod warunkiem zawarcia stosownego aneksu DORA do umowy z danym Podmiotem Finansowym. Poniższe odpowiedzi opisują gotowość Vercom do spełnienia tych wymogów w takim zakresie.
{% endhint %}
Czym jest DORA i w jakim zakresie dotyczy Vercom?
**DORA (Digital Operational Resilience Act)** to rozporządzenie UE nakładające na podmioty finansowe obowiązek zapewnienia odporności cyfrowej, w tym zarządzania ryzykiem ICT związanym z dostawcami zewnętrznymi.
Vercom S.A. jako dostawca usług ICT podlega wymogom DORA wyłącznie w zakresie współpracy z Podmiotami Finansowymi, pod warunkiem zawarcia stosownego aneksu DORA do umowy z danym Podmiotem. Aneks ten precyzuje m.in. wzajemne zobowiązania w zakresie bezpieczeństwa, ciągłości działania, raportowania incydentów i prawa do audytu. Z pełnym zaangażowaniem wdrażamy standardy DORA.\
\
**Co to oznacza dla naszych Klientów i Partnerów?**
DORA nakłada **rygorystyczne normy** w zakresie zarządzania ryzykiem ICT, raportowania incydentów oraz testowania odporności systemów. Dzięki dostosowaniu naszych procesów do tych wytycznych, zapewniamy:
* Ciągłość świadczenia usług nawet w sytuacjach kryzysowych.
* Najwyższy poziom ochrony danych i stabilność infrastruktury.
* Transparentność w relacjach z dostawcami i podwykonawcami.
*Poniżej prezentujemy szczegółowe zestawienie naszych działań*
Jak często raportujemy naruszenia Zarządowi?
**Każdorazowo po wystąpieniu naruszenia.** Dodatkowo sporządzamy zbiorczy **raport półroczny (raport CERT)** obejmujący wszystkie incydenty oraz podjęte działania korygujące.
Czy Vercom korzysta z odseparowanego środowiska testowego?
**Tak.** Środowisko testowe jest **w pełni izolowane** od środowiska produkcyjnego. Nowe funkcjonalności i zmiany systemowe są weryfikowane **wyłącznie** w środowisku testowym, bez wpływu na dane i operacje klientów. Ponadto wykorzystujemy nowoczesne technologie (np. **Kubernetes**), które izolują poszczególne części infrastruktury.
Czy wykonujemy testy penetracyjne i testy odporności infrastruktury?
**Tak.**
* **Zewnętrzne Testy Penetracyjne**: Raz w roku poddajemy naszą infrastrukturę rygorystycznym testom przeprowadzanym przez niezależne, akredytowane podmioty zewnętrzne. Pozwala to na obiektywną ocenę skuteczności naszych zabezpieczeń z perspektywy potencjalnego napastnika. Rozumiemy, że kluczowe usługi wymagają najwyższego poziomu transparentności i specyficznych gwarancji. Szczegółowy zakres, metodyka oraz częstotliwość testów dla usług świadczonych znajdują się **w Polityce zarządzania podatnościami**.
* **Regularne Testy Wewnętrzne**: Nasz zespół ds. bezpieczeństwa prowadzi cykliczne testy planowe oraz kontrole typu **ad hoc**. Dzięki temu na bieżąco monitorujemy integralność systemów.
Jak identyfikujemy i usuwamy podatności w infrastrukturze ICT?
Zgodnie z Polityką zarządzania podatnościami przeprowadzamy:
1. **Regularne skanowanie** (Nessus Professional, SIEM – tygodniowo/miesięcznie);
2. **Testy penetracyjne wewnętrzne i zewnętrzne** (min. raz/rok);
3. **Klasyfikację podatności** wg krytyczności i ustalenie czasu reakcji;
4. **Naprawy i retesty**;
5. Aktualizowaną na bieżąco dokumentację w formie rejestru podatności.
Wdrożono integrację z **systemami CERT** oraz **systemem Artemis**, który cyklicznie skanuje kluczowe domeny i informuje o nowych zagrożeniach oraz potencjalnych wyciekach. Automatyzacja skanowania i orkiestracji z użyciem dedykowanych narzędzi wpływa na redukcję powierzchni ataku na stacjach roboczych i serwerach. Szerokie wdrożenie **MFA**.
Jak realizujemy proces patch management?
Regularnie i centralnie instalujemy aktualizacje bezpieczeństwa na naszych zasobach, na stacjach roboczych wspomagając się zobowiązaniami, które pozwalają na centralne zarządzanie wersjami aplikacji, dystrybucję poprawek czy automatyczną instalację po weryfikacji **Zespołu Bezpieczeństwa**. Stan aktualności poprawek jest monitorowany poprzez **system SIEM**, następuje identyfikacja urządzeń bez wymaganych łatek i przekazanie informacji do Działu Bezpieczeństwa. Systemy **Windows Server** aktualizowane są po uprzednim przetestowaniu poprawek w środowisku testowym.
Jak zarządzamy zasobami ICT?
Dbamy o wdrożenie każdego komponentu zgodnie z procedurami wewnętrznymi. Odbywa się to etapowo: od złożenia wniosku o zmianę i akceptację, poprzez testy spełnienia wymagań bezpieczeństwa, konfigurację zgodną ze standardami konfiguracyjnymi (**CIS Benchmark**), instalację oprogramowania ochronnego (**XDR**, skany Nessus Professional), po ujęcie komponentu w **ewidencji**.
Jak klasyfikujemy dostawców ICT?
Dostawcy są przypisywani do jednej z trzech kategorii na podstawie **Arkusza Klasyfikacji Dostawcy ICT**:
* **Krytyczny** – zakłócenie znacząco wpływa na operacje, bezpieczeństwo lub zgodność; spełnia kryteria b.
* **Istotny** – wspiera ważne procesy, ale zakłócenie nie zagraża całości działania; istnieje plan awaryjny.
* **Pozostały** – niski wpływ operacyjny, usługi pomocnicze, łatwo zastępowalne (<6 mies.).
Jak zarządzamy ryzykiem ze strony zewnętrznych dostawców ICT?
Ocena przebiega zgodnie z procedurami wewnętrznymi zapewniającymi **monitorowanie dostawców**, dokonywanie analizy i oceny przez **Zespół Bezpieczeństwa** przed dokonaniem wyboru nowego dostawcy, odpowiednią klasyfikację dostawcy i prowadzenie **Rejestru Dostawców**.
Jakie mechanizmy kontroli szyfrowania i kryptografii wdrażamy?
Zasady mamy jasno określone w politykach wewnętrznych. Regulacja zabezpieczeń kryptograficznych obejmuje: szyfrowanie kopii zapasowych algorytmem **AES-256**, szyfrowanie dysków z wykorzystaniem mechanizmu **BitLocker**, szyfrowanie ruchu do aplikacji webowej, stosowanie mechanizmów **SSH i VPN**, a także zabezpieczanie danych przesyłanych w ruchu za pomocą **protokołu TLS** i szyfrowanie długoterminowych danych w formie backupów.
Jakie mechanizmy logowania i monitoringu zdarzeń stosujemy?
Logi bezpieczeństwa obejmujące serwery, aplikacje, urządzenia sieciowe i stacje robocze agregowane są w rozwiązaniu typu **SIEM**. SIEM dodatkowo analizuje w czasie rzeczywistym, wykrywa anomalie i potencjalne ataki, klasyfikując alerty wg krytyczności oraz **automatycznie eskaluje zdarzenia krytyczne** do odpowiednich zespołów poprzez firmowy komunikator.
Jak zabezpieczono dostęp administratorów do sieci i systemów?
Dostęp administratorów wymaga:
1. **Uwierzytelniania dwuskładnikowego MFA** (Cisco Duo);
2. Połączenia wyłącznie przez **VPN** z szyfrowaną komunikacją.
Dostęp do zasobów jest zawsze ograniczony **wyłącznie do autoryzowanych użytkowników**.
Jakie środki bezpieczeństwa fizycznego stosujemy?
W naszej organizacji ochrona danych i ciągłość operacyjna opierają się na fundamencie bezkompromisowego bezpieczeństwa. Stosujemy rygorystyczne środki ochrony fizycznej oraz technicznej, aby zapewnić integralność i dostępność zasobów w każdym momencie.
1. **Wielopoziomowa Kontrola Dostępu i Nadzór** \
Dostęp do kluczowej infrastruktury jest ściśle limitowany i monitorowany przez całą dobę:
* **System Autoryzacji**: Karty pracownicze z przypisanymi uprawnieniami, co gwarantuje dostęp do zasobów wyłącznie osobom upoważnionym.
* **Ochrona Fizyczna i Monitoring**: Obiekty są chronione przez całodobową ochronę fizyczną oraz system monitoringu wizyjnego **CCTV 24/7**.
* **Systemy Alarmowe**: Infrastruktura jest zabezpieczona zaawansowanym systemem przeciwwłamaniowym, zintegrowanym z procedurami natychmiastowego reagowania.
2. **Gwarancja Ciągłości Zasilania**
Nasze systemy są odporne na zakłócenia w dostawach energii dzięki wielostopniowej architekturze zasilania gwarantowanego:
* **Zasilanie Awaryjne**: W przypadku awarii sieci zewnętrznej, ciągłość pracy zapewniają systemy zasilaczy awaryjnych (**UPS**) oraz wysokowydajne **generatory prądu**, przejmujące obciążenie w trybie natychmiastowym.
3. **Ochrona Przeciwpożarowa** \
Bezpieczeństwo infrastruktury technicznej wspierają certyfikowane systemy przeciwpożarowe, zaprojektowane do ochrony urządzeń elektronicznych, oraz strategicznie rozmieszczone jednostki gaśnicze, umożliwiające szybką reakcję w sytuacjach kryzysowych.
4. **Bezpieczeństwo Danych i Nośników** \
Chronimy dane nie tylko na poziomie sieciowym, ale i sprzętowym.
5. **Segregacja i segmentacja sieci** \
Wdrożono separację sieciową i ograniczenie ruchu pomiędzy podsieciami z wykorzystaniem mechanizmów **VRF** i list kontroli dostępu (**ACL**). Sieć lokalna (biurowa) udostępniania jest w oparciu o sieć bezprzewodową, która zabezpieczona jest protokołem WPA3. Funkcjonuje odrębna, izolowana **sieć gościnna**, całkiem odseparowana od sieci produkcyjnej. Środowisko testowe wydzielone jest z restrykcyjnymi uprawnieniami i zasadą ACL "blokuj wszystko" oraz z wykorzystaniem danych testowych.
6. **Przechowywanie Danych** \
Wykorzystujemy zaawansowane **macierze dyskowe o wysokiej redundancji**, co chroni przed skutkami awarii pojedynczych podzespołów.
7. **Pełne Szyfrowanie** \
Wszystkie nośniki danych, w tym dyski w komputerach przenośnych, podlegają **obowiązkowemu szyfrowaniu**. Dzięki temu nawet w przypadku fizycznej utraty sprzętu, dostęp do danych przez osoby niepowołane pozostaje niemożliwy. Ponadto zapewnienie ciągłości działania biznesu opieramy na fundamentach najwyższego bezpieczeństwa fizycznego.
8. **Centra Danych (Data Centers)**\
Korzystamy z centrów danych **Beyond.pl** oraz **NTT**, które wyznaczają europejskie standardy w zakresie ochrony infrastruktury krytycznej. Zapewniona jest tam wielopoziomowa kontrola dostępu, stała ochrona, systemy alarmowe, odporność na zdarzenia losowe i środowiskowe, a także gwarancja zgodności i certyfikacje standardów takich jak **ISO 27001, EN 50600 Klasa 4, SOC 2 (Type II), Tier III/Tier IV, PCI DSS**. Ponadto wykorzystywana przez nas infrastruktura centrów danych (Data Center) dostarczana przez NTT jest zgodna z **wymaganiami DORA**. **Spółka NTT DATA Inc**. została wskazana przez Unię Europejską jako wyznaczony **krytyczny zewnętrzny dostawca usług ICT** zgodnie z art. 31(9) rozporządzenia DORA, co oznacza, że podlega ona odpowiednim mechanizmom nadzorczym UE dotyczącym odporności operacyjnej i bezpieczeństwa usług cyfrowych.
Czy wdrożyliśmy formalny proces zarządzania zmianą ICT?
**Tak**, zgodnie z **Polityką Zarządzania Zmianami**. Proces obejmuje: klasyfikację zmian (standardowe/normalne/pilne), ocenę ryzyka, testowanie w środowiskach dev/staging/produkcja, code review, kontrolę wersji (GitLab), monitoring i dokumentację (GitLab, Jira). Zapewnione są mechanizmy rollback i procedury zmian awaryjnych.
Jak testujemy bezpieczeństwo aplikacji przed wdrożeniem?
Przed wdrożeniem zmian przeprowadza się **testy penetracyjne** (wewnętrzne i zewnętrzne). Przy kluczowych zmianach lub nowych funkcjonalnościach dział Security przeprowadza **dedykowane testy bezpieczeństwa** w celu identyfikacji i eliminacji podatności.
Jak zarządzamy raportowaniem incydentów bezpieczeństwa?
Określono w procedurach wewnętrznych o **Zarządzaniu Incydentami Bezpieczeństwa**. Dokumentacja określa mechanizmy służące do monitorowania (**SOC, SIEM**). Powołany jest również **CERT Vercom**.
Jak monitorujemy SLA?
Wyznaczona osoba nadzoruje SLA i przygotowuje raporty. Do monitorowania działania usługi wykorzystywany jest **Zabbix**, umożliwiający bieżący nadzór nad dostępnością i wydajnością. **Raporty SLA** obejmują: czas niedostępności, wykresy dostępności API, wyliczenia czasu awarii. Raporty udostępniane na życzenie klienta zgodnie z warunkami umowy. W przypadku **Podmiotów Finansowych** szczegółowe parametry SLA i zasady raportowania mogą wynikać z **aneksu DORA**.
Jak zarządzamy ciągłością działania w zakresie ICT?
Organizacja posiada wdrożone procedury wewnętrzne związane z zapewnieniem utrzymania ciągłości działania oraz wdrożoną normę **ISO 22301**. Regularnie przeprowadzane są testy zarówno **BCP** (Business Continuity Plan) jak i **DRP** (Disaster Recovery Plan).
Jak zapewniamy ochronę danych osobowych?
Posiadamy rozbudowany program szkoleń, który obejmuje **coroczne obowiązkowe szkolenia** dla Pracowników w zakresie wiedzy z dziedzin **ISO/RODO**, a także **Cyberbezpieczeństwa**. Ponadto po szkoleniach głównych następuje weryfikacja wiedzy Pracowników poprzez przeprowadzenie testów wiedzy. Zgodnie z procedurą wewnętrzną realizujemy również szkolenia dla poszczególnych działów; zgodnie z zakresem wykonywanych przez nich obowiązków otrzymują oni **dedykowane szkolenia**.
Jak realizujemy prawa właścicieli w zakresie zaprzestania przetwarzania?
Prawa osób, których dane dotyczą, w zakresie żądania zaprzestania przetwarzania danych osobowych realizujemy zgodnie z obowiązującymi przepisami prawa oraz procedurami wewnętrznymi – w zakresie, w jakim obowiązki te spoczywają na naszej spółce jako **Administratorze danych osobowych**. W sytuacji, gdy nasza spółka nie występuje w roli administratora (ani podmiotu przetwarzającego właściwego do realizacji żądania), przekazujemy osobie zgłaszającej wniosek informacje o podmiocie właściwym do rozpatrzenia żądania oraz dane kontaktowe umożliwiające bezpośrednie skierowanie wniosku do tego podmiotu.
Jakie są warunki objęcia Vercom wymogami DORA w relacji z klientem?
Wymogi DORA mają zastosowanie do Vercom **wyłącznie** w relacjach z **Podmiotami Finansowymi** w rozumieniu rozporządzenia DORA. Warunkiem jest zawarcie stosownego **aneksu DORA** do umowy głównej, który określa m.in.: zakres usług ICT objętych regulacją, obowiązki informacyjne i raportowe, prawo Podmiotu Finansowego i jego organów nadzoru do audytu, wymogi dotyczące podwykonawców ICT, strategię wyjścia (**exit plan**) oraz lokalizację przetwarzania danych. Bez zawarcia takiego aneksu Vercom nie jest związany dodatkowymi obowiązkami wynikającymi z DORA.