Zakres
Prawo PL / UE
Wersja
22 maja 2026
Operator
Nova Group Sp. z o.o.
Data wejścia w życie: 22 maja 2026
Ten dokument opisuje ogólne praktyki bezpieczeństwa stosowane lub planowane w serwisie Podmiot360. Nie ujawnia szczegółów technicznych, które mogłyby obniżyć bezpieczeństwo systemu.
1. Operator
Serwis Podmiot360 jest prowadzony przez:
Nova Group Sp. z o.o.
ul. Żurawia 6/12 Lok. 745
00-503 Warszawa
Poland
NIP / VAT ID: PL7011215529
KRS: 0001117840
REGON: 529224431
Kontakt bezpieczeństwa: security@podmiot360.pl
Kontakt ogólny: kontakt@podmiot360.pl
2. Nasze podejście do bezpieczeństwa
Podmiot360 przetwarza dane biznesowe, techniczne, rozliczeniowe, kontaktowe i dane pochodzące ze źródeł publicznych. Dlatego stosujemy podejście oparte na minimalizacji danych, kontroli dostępu, zabezpieczeniach technicznych, monitorowaniu i współpracy z zaufanymi dostawcami.
Żaden system internetowy nie jest całkowicie wolny od ryzyka. Naszym celem jest ograniczanie ryzyk, szybkie reagowanie na incydenty i transparentna komunikacja tam, gdzie wymagają tego przepisy.
3. Bezpieczeństwo płatności
Płatności mogą być obsługiwane przez zewnętrznych operatorów płatności, w szczególności Stripe lub innych dostawców wskazanych w checkout.
Podmiot360:
- nie przechowuje pełnych numerów kart płatniczych;
- nie przechowuje kodów CVV/CVC;
- nie powinien mieć dostępu do pełnych danych uwierzytelniających płatność;
- korzysta z dostawców płatności odpowiedzialnych za bezpieczne przetwarzanie danych płatniczych;
- może otrzymywać ograniczone dane transakcyjne, takie jak status płatności, identyfikator transakcji, marka karty lub ostatnie cyfry karty, jeżeli przekazuje je dostawca płatności.
Na wyciągu bankowym płatność może pojawić się jako PODMIOT360.
4. Ochrona transmisji
Serwis powinien używać szyfrowanego połączenia HTTPS/TLS. Użytkownik powinien upewnić się, że korzysta z poprawnego adresu strony: https://podmiot360.pl i że połączenie jest zabezpieczone.
Nie należy przesyłać danych logowania, dokumentów ani danych płatniczych przez niezabezpieczone kanały komunikacji.
5. Kontrola dostępu
Dostęp do systemów wewnętrznych powinien być ograniczony do osób, które potrzebują go do wykonywania swoich obowiązków. W zależności od roli i systemu możemy stosować:
- indywidualne konta;
- ograniczenia uprawnień;
- uwierzytelnianie wieloskładnikowe tam, gdzie jest dostępne;
- rejestrowanie zdarzeń;
- okresowy przegląd uprawnień;
- separację środowisk produkcyjnych i testowych;
- procedury usuwania dostępu po zakończeniu współpracy.
6. Ochrona danych
Środki ochrony danych mogą obejmować:
- szyfrowanie transmisji;
- szyfrowanie danych w spoczynku, jeżeli jest dostępne i uzasadnione;
- kopie zapasowe;
- ograniczenie dostępu do danych produkcyjnych;
- minimalizację danych;
- pseudonimizację lub anonimizację, jeżeli jest możliwa;
- monitorowanie błędów i zdarzeń bezpieczeństwa;
- procedury reagowania na incydenty;
- umowy powierzenia przetwarzania danych z dostawcami, jeżeli są wymagane.
7. Bezpieczeństwo konta użytkownika
Użytkownik odpowiada za bezpieczeństwo swojego konta. Zalecamy:
- używanie silnego, unikalnego hasła;
- niewykorzystywanie tego samego hasła w innych serwisach;
- włączenie uwierzytelniania wieloskładnikowego, jeżeli jest dostępne;
- nieudostępnianie danych logowania innym osobom;
- wylogowanie się z konta na współdzielonych urządzeniach;
- natychmiastowy kontakt z nami w przypadku podejrzenia nieautoryzowanego dostępu.
Jeżeli podejrzewasz naruszenie konta, napisz na: kontakt@podmiot360.pl.
8. Bezpieczeństwo raportów i linków
Raporty cyfrowe, linki do pobrania, pliki PDF i eksporty mogą zawierać dane biznesowe lub osobowe. Klient powinien:
- nie udostępniać raportów osobom nieuprawnionym;
- nie publikować raportów bez upewnienia się, że jest to zgodne z prawem;
- nie usuwać zastrzeżeń, źródeł i dat pobrania;
- przechowywać pliki w bezpiecznym miejscu;
- uważać na przekazywanie raportów w publicznych kanałach.
Operator może ograniczać ważność linków do pobrania lub wymagać logowania do dostępu do raportów.
9. Dostawcy zewnętrzni
Możemy korzystać z dostawców hostingu, CDN, płatności, poczty, analityki, obsługi klienta, AI, monitoringu, bezpieczeństwa, księgowości i infrastruktury.
Dobieramy dostawców z uwzględnieniem ich roli, ryzyka, reputacji i wymagań prawnych. Tam, gdzie jest to wymagane, zawieramy odpowiednie umowy powierzenia przetwarzania danych lub stosujemy inne mechanizmy ochrony danych.
10. Incydenty bezpieczeństwa
W przypadku incydentu bezpieczeństwa podejmujemy działania odpowiednie do charakteru zdarzenia, takie jak:
- analiza i ograniczenie skutków;
- zabezpieczenie systemów;
- przywrócenie działania;
- dokumentacja incydentu;
- powiadomienie właściwych osób lub organów, jeżeli wymagają tego przepisy;
- wprowadzenie działań zapobiegawczych.
Jeżeli incydent może dotyczyć Twoich danych lub konta i prawo wymaga powiadomienia, skontaktujemy się z Tobą odpowiednim kanałem.
11. Odpowiedzialne zgłaszanie podatności
Jeżeli odkryjesz podatność bezpieczeństwa, prosimy o odpowiedzialne zgłoszenie:
E-mail: security@podmiot360.pl
Prosimy, aby nie:
- wykorzystywać podatności do uzyskania dostępu do danych;
- pobierać, kopiować ani ujawniać danych;
- zakłócać działania Serwisu;
- wykonywać ataków DDoS, phishingu, socjotechniki lub testów destrukcyjnych;
- publicznie ujawniać podatności przed umożliwieniem nam reakcji.
W zgłoszeniu podaj opis podatności, kroki odtworzenia, potencjalny wpływ i dane kontaktowe.
12. Ograniczenia
Ten dokument ma charakter informacyjny. Nie stanowi gwarancji pełnej odporności systemu, certyfikacji bezpieczeństwa ani zobowiązania do stosowania konkretnej technologii, chyba że wyraźnie wskazano inaczej w umowie.
13. Kontakt
Kontakt bezpieczeństwa: security@podmiot360.pl
Kontakt ogólny: kontakt@podmiot360.pl
Adres: Nova Group Sp. z o.o., ul. Żurawia 6/12 Lok. 745, 00-503 Warszawa, Poland
