Standardy Ochrony Danych i Cyberbezpieczeństwa

1. Deklaracja absolutnej poufności Premium

W IvoryPlateHouse ochrona danych osobowych oraz prywatności naszych Gości nie jest jedynie obowiązkiem prawnym wynikającym z rozporządzenia RODO, lecz stanowi jeden z filarów naszej filozofii biznesowej. Doskonale rozumiemy, że status, tożsamość, zwyczaje konsumpcyjne oraz preferencje biznesowe elitarnej klienteli wymagają najwyższego stopnia dyskrecji.

Wszelkie procesy przetwarzania informacji oparte są na zasadach integralności, poufności, minimalizacji danych oraz ograniczenia celu. Wdrożona przez nas Polityka Bezpieczeństwa Informacji (PBI) uniemożliwia nieautoryzowany wyciek, udostępnienie lub zniekształcenie jakichkolwiek pakietów danych cyfrowych i analogowych.

2. Architektura techniczna systemów IT i szyfrowanie

Infrastruktura teleinformatyczna kompleksu IvoryPlateHouse spełnia najwyższe normy bezpieczeństwa przewidziane dla instytucji finansowych oraz systemów klasy Enterprise. Do kluczowych zabezpieczeń technicznych należą:

• Szyfrowanie protokołów transmisyjnych: Cały ruch sieciowy pomiędzy przeglądarką Użytkownika a naszymi serwerami jest zabezpieczony zaawansowanym algorytmem szyfrującym TLS 1.3 (Transport Layer Security) z wykorzystaniem 256-bitowego klucza AES, co uniemożliwia przechwycenie danych w drodze.
• Izolacja baz danych: Bazy danych zawierające informacje o rezerwacjach VIP, historii płatności oraz preferencjach Gości są odseparowane od publicznej sieci internetowej (znajdują się w prywatnej podsieci wirtualnej VPC) i są chronione wielowarstwowymi systemami Firewall oraz WAF (Web Application Firewall).
• Architektura Zero-Trust: Dostęp do systemów wewnętrznych realizowany jest w oparciu o architekturę zerowego zaufania. Każda próba logowania do panelu administracyjnego wymaga uwierzytelniania wieloskładnikowego (2FA / MFA) oraz weryfikacji adresu IP.

3. Standardy bezpieczeństwa transakcji finansowych (PCI-DSS)

Przetwarzanie danych kart płatniczych (Visa, Mastercard, American Express) podczas rezerwacji loży VIP online lub opłacania kaucji eventowych odbywa się z pominięciem bezpośredniego zapisu tych informacji na serwerach IvoryPlateHouse.

Wszystkie operacje finansowe są przekierowywane za pomocą bezpiecznych tokenów (tokenizacja danych) do certyfikowanych operatorów płatności (Gateways), którzy spełniają rygorystyczne normy bezpieczeństwa PCI-DSS Level 1 (Payment Card Industry Data Security Standard). Nasz personel nie ma wglądu w pełne numery kart płatniczych ani kody CVV/CVC naszych Gości.

4. Procedury organizacyjne і bezpieczeństwo personelu

Zabezpieczenia techniczne są skuteczne tylko wtedy, gdy idą w parze z rygorystycznymi procedurami ludzkimi. W IvoryPlateHouse każdy pracownik – od managera operacyjnego po personel kelnerski i techniczny – przechodzi wieloetapową weryfikację przed dopuszczeniem do obowiązków służbowych.

Wszyscy członkowie zespołu są prawnie zobowiązani do podpisania bezterminowych umów o zachowaniu poufności (NDA – Non-Disclosure Agreement). Dostęp do danych osobowych Gości jest ściśle limitowany i przyznawany wyłącznie na zasadzie "Need-to-Know" (wiedza niezbędna do wykonania konkretnego zadania, np. przygotowanie diety przez Szefa Kuchni). Regularnie, nie rzadziej niż co 6 miesięcy, organizujemy audyty wewnętrzne oraz szkolenia z zakresu przeciwdziałania socjotechnice i phishingowi.

5. Bezpieczeństwo fizyczne serwerów і nośników danych

Cyfrowe zasoby IvoryPlateHouse są hostowane w certyfikowanych centrach danych zlokalizowanych na terytorium Unii Europejskiej. Serwerownie te posiadają fizyczną ochronę wojskową, systemy kontroli dostępu biometrycznego, całodobowy monitoring wideo oraz zaawansowane systemy wczesnego gaszenia pożarów i redundantne zasilanie z generatorów diesla.

Wszelkie kopie zapasowe (backupy) baz danych są tworzone automatycznie co 4 godziny, poddawane natychmiastowemu szyfrowaniu i przesyłane do odrębnej geolokalizacji. Przechowywanie danych na lokalnych nośnikach fizycznych (pendrive, dyski zewnętrzne) w biurach administracyjnych kompleksu jest surowo zabronione, a ewentualne dokumenty papierowe podlegają niszczeniu w niszczarkach spełniających normę DIN 66399 na poziomie P-4 або wyższym.

6. Incydenty bezpieczeństwa i procedury reagowania

Mimo wdrożenia wielopoziomowych systemów prewencyjnych, IvoryPlateHouse posiada precyzyjnie opracowany Plan Reagowania na Incydenty (Incident Response Plan). W przypadku wykrycia jakiejkolwiek próby naruszenia spójności danych, nasz dedykowany zespół ds. cyberbezpieczeństwa podejmuje natychmiastowe działania zaradcze w ciągu maksymalnie 15 minut od wygenerowania alertu przez systemy monitorujące SIEM.

Zgodnie z art. 33 RODO, jeśli incydent doprowadziłby do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, Administrator bezwzględnie zgłosi ten fakt do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w terminie do 72 godzin od momentu stwierdzenia naruszenia, a także powiadomi poszkodowanych Gości za pomocą bezpośrednich, bezpiecznych kanałów komunikacji.

7. Zarządzanie uprawnieniami i system logowania aktywności

Każda operacja wykonana na danych osobowych Gości всередині нашої CRM-системи (wgląd, modyfikacja, usunięcie, eksport) є trwale logowana w niezależnym systemie audytorskim. Zapisy te (Audit Logs) zawierają unikalny identyfikator pracownika, dokładny znacznik czasu, adres IP urządzenia oraz zakres edytowanych informacji.

Logi audytorskie są niemożliwe do zmodyfikowania або usunięcia przez regularnych użytkowników systemu і są poddawane regularnej analizie przez naszego Inspektora Ochrony Danych (IOD) w celu wykrycia ewentualnych anomalii lub nadużyć uprawnień służbowych.

8. Kontakt z Inspektorem Ochrony Danych

W celu zagwarantowania niezależności procesów kontrolnych, w strukturach IvoryPlateHouse powołany został dedykowany Inspektor Ochrony Danych (IOD). Goście та Użytkownicy platformy mogą kontaktować się z nim bezpośrednio we wszystkich sprawach związanych z bezpieczeństwem architektury IT, technicznymi aspektami ochrony danych або realizacją praw gwarantowanych przez RODO.

Korespondencję w sprawach techniczno-prawnych prosimy kierować na adres e-mail: [email protected]. Każde zgłoszenie o charakterze audytorskim traktowane є jako priorytetowe i podlega szczegółowej weryfikacji.