ul. Juliusza Słowackiego 25, 38-300 Gorlice Działamy od 1992 roku
18 353 77 35 607 367 111 ----- 500 412 555 jawaskowski@post.pl
Bezpieczeństwo

Polityka Bezpieczeństwa

Zasady ochrony informacji i danych w Biurze Rachunkowym PROFITTAX

Nasze zobowiązanie do bezpieczeństwa

Biuro Rachunkowe PROFITTAX traktuje bezpieczeństwo informacji jako priorytet. Jako biuro rachunkowe przechowujemy wrażliwe dane finansowe i osobowe naszych klientów — ich ochrona jest dla nas obowiązkiem prawnym, etycznym i fundamentem wzajemnego zaufania.

Ostatnia aktualizacja: 1 stycznia 2025 r.  |  Administrator: mgr Jerzy Waśkowski

1 Zakres i cel polityki

Niniejsza Polityka Bezpieczeństwa określa zasady ochrony informacji przetwarzanych przez PROFITTAX Biuro Rachunkowe (dalej: Biuro), z siedzibą przy ul. Juliusza Słowackiego 25, 38-300 Gorlice, prowadzone przez mgr Jerzy Waśkowski.

Polityka obejmuje wszelkie dane przetwarzane w związku z działalnością biura, w tym dane klientów, pracowników, kontrahentów oraz dane dostępne poprzez serwis internetowy profittax.pl.

2 Kategorie chronionych informacji

Dane klientów
  • Dane identyfikacyjne (imię, nazwisko, NIP, PESEL)
  • Dane finansowe i podatkowe
  • Dokumenty księgowe i rachunkowe
  • Dane kadrowo-płacowe pracowników klientów
  • Dane logowania do serwisu
Dane Biura
  • Dane pracowników i współpracowników
  • Dane dostępowe do systemów i aplikacji
  • Dokumentacja wewnętrzna
  • Korespondencja służbowa
  • Dane kontrahentów i dostawców

3 Zabezpieczenia techniczne serwisu

Szyfrowanie HTTPS
Cała komunikacja z serwisem jest szyfrowana protokołem TLS (certyfikat Let's Encrypt).
Hasła bcrypt
Hasła użytkowników są przechowywane wyłącznie w formie skrótu kryptograficznego bcrypt — nigdy w postaci jawnej.
Tokeny CSRF
Każdy formularz jest zabezpieczony tokenem CSRF chroniącym przed atakami Cross-Site Request Forgery.
Honeypot
Formularze zawierają ukryte pola pułapki wykrywające automatyczne boty.
Ochrona brute-force
Po kilkukrotnym błędnym logowaniu adres IP jest blokowany na określony czas.
Rate limiting
Formularz kontaktowy ogranicza liczbę wysyłanych wiadomości z jednego IP.
reCAPTCHA v3
Formularze chronione przez Google reCAPTCHA v3 wykrywającą zachowania botów.
Ochrona katalogów
Bezpośredni dostęp do katalogów serwera i wykonywanie skryptów w folderze uploads są zablokowane.
Walidacja danych
Wszystkie dane wejściowe są walidowane i oczyszczane po stronie serwera.

4 Zasady przetwarzania danych

  • Minimalizacja danych — zbieramy wyłącznie dane niezbędne do realizacji usługi.
  • Ograniczenie dostępu — dostęp do danych mają wyłącznie upoważnione osoby, na zasadzie minimalnych uprawnień niezbędnych do wykonania zadania.
  • Poufność — wszystkie osoby przetwarzające dane są zobowiązane do zachowania tajemnicy zawodowej i podpisują stosowne upoważnienia.
  • Integralność — dane są chronione przed nieuprawnionym modyfikowaniem lub zniszczeniem.
  • Rozliczalność — prowadzimy ewidencję dostępu do danych i działań podejmowanych w systemach.
  • Przeglądy bezpieczeństwa — regularnie weryfikujemy i aktualizujemy stosowane zabezpieczenia.

5 Bezpieczeństwo fizyczne i organizacyjne

Dokumenty papierowe zawierające dane osobowe są przechowywane w zamkniętych szafach lub pomieszczeniach z ograniczonym dostępem. Sprzęt komputerowy jest zabezpieczony hasłami i programami antywirusowymi. Pracownicy są regularnie szkoleni z zasad bezpieczeństwa danych.

Korzystamy wyłącznie z licencjonowanego oprogramowania rachunkowego spełniającego wymogi bezpieczeństwa. Kopie zapasowe danych są wykonywane regularnie i przechowywane w bezpieczny sposób.

6 Podmioty przetwarzające

Biuro korzysta z usług zewnętrznych podmiotów przetwarzających dane wyłącznie na podstawie pisemnych umów powierzenia przetwarzania danych, zapewniających odpowiedni poziom ochrony. Dotyczy to m.in. dostawców oprogramowania księgowego, usług hostingowych oraz poczty elektronicznej.

7 Incydenty bezpieczeństwa

W przypadku wykrycia naruszenia ochrony danych osobowych, Biuro zobowiązuje się do:

  • Niezwłocznego podjęcia działań zaradczych ograniczających skutki naruszenia
  • Zgłoszenia naruszenia do Prezesa UODO w ciągu 72 godzin od jego wykrycia (jeśli istnieje ryzyko dla praw i wolności osób)
  • Poinformowania poszkodowanych osób bez zbędnej zwłoki, gdy naruszenie może powodować wysokie ryzyko
  • Udokumentowania incydentu i wyciągnięcia wniosków zapobiegawczych

8 Odpowiedzialność użytkowników serwisu

Użytkownicy posiadający konto w serwisie są zobowiązani do:

  • Stosowania silnych, unikalnych haseł (min. 8 znaków, duże i małe litery, cyfry, znaki specjalne)
  • Nieudostępniania danych logowania osobom trzecim
  • Wylogowywania się po zakończeniu korzystania z serwisu
  • Niezwłocznego informowania Biura o podejrzeniu nieautoryzowanego dostępu do konta
  • Aktualizowania danych kontaktowych umożliwiających kontakt w sprawach bezpieczeństwa

9 Zgłaszanie luk bezpieczeństwa

Jeśli odkryłeś lukę bezpieczeństwa w naszym serwisie, prosimy o odpowiedzialne jej zgłoszenie na adres: jawaskowski@post.pl z tematem "Bezpieczeństwo – zgłoszenie". Zobowiązujemy się do rozpatrzenia zgłoszenia w ciągu 5 dni roboczych. Prosimy o nieujawnianie informacji publicznie przed ich naprawą.

10 Zmiany polityki

Biuro zastrzega sobie prawo do aktualizacji niniejszej Polityki Bezpieczeństwa. O istotnych zmianach poinformujemy poprzez ogłoszenie na stronie serwisu. Aktualna wersja jest zawsze dostępna pod adresem profittax.pl/polityka-bezpieczenstwa.php.

Kontakt w sprawach bezpieczeństwa

mgr Jerzy Waśkowski  ·  PROFITTAX Biuro Rachunkowe
ul. Juliusza Słowackiego 25, 38-300 Gorlice
jawaskowski@post.pl  ·  18 353 77 35

Napisz do nas
Polityka prywatności Informacje o przetwarzaniu danych osobowych Polityka cookies Informacje o plikach cookie Informacja RODO Klauzula informacyjna RODO