Fib.Code
Bezpieczeństwo informacji to fundament naszej działalności. Jako firma doradcza specjalizująca się w cyberbezpieczeństwie i compliance, stosujemy te same najwyższe standardy, które wdrażamy u naszych klientów.
Poniżej prezentujemy nasze certyfikacje, wdrożone zabezpieczenia, polityki bezpieczeństwa oraz procesy audytowe. Wierzymy, że transparentność buduje zaufanie — dlatego otwarcie dzielimy się informacjami o naszym podejściu do bezpieczeństwa.
Aktywne certyfikacje i standardy
Wdrożonych kontroli bezpieczeństwa
Dostępność infrastruktury
Audyty zewnętrzne rocznie
Nasze systemy zarządzania są certyfikowane przez niezależne, akredytowane jednostki certyfikujące. Regularnie przechodzimy audyty nadzoru i recertyfikacji, potwierdzające ciągłą zgodność z międzynarodowymi standardami.
System Zarządzania Bezpieczeństwem Informacji (SZBI) obejmujący wszystkie procesy biznesowe, infrastrukturę IT, dane klientów i operacje wewnętrzne. Certyfikacja potwierdza zgodność z najnowszą wersją normy z 2022 roku.
System Zarządzania Jakością zapewniający powtarzalność i najwyższy standard świadczonych usług doradczych, szkoleniowych i wdrożeniowych. Ciągłe doskonalenie procesów jest fundamentem naszego podejścia.
System Zarządzania Ciągłością Działania zapewniający gotowość operacyjną na wypadek incydentów, awarii i sytuacji kryzysowych. Regularne testy planów ciągłości działania i procedur odtwarzania.
Pełna zgodność z Rozporządzeniem o Ochronie Danych Osobowych. Wyznaczony Inspektor Ochrony Danych, wdrożone polityki przetwarzania, rejestr czynności, procedury obsługi praw podmiotów danych i zarządzania naruszeniami.
Przegląd ram regulacyjnych, standardów i najlepszych praktyk branżowych, z którymi jesteśmy zgodni lub które aktywnie wdrażamy.
System zarządzania bezpieczeństwem informacji — pełen zakres operacyjny firmy
System zarządzania jakością — usługi doradcze, szkolenia, wdrożenia
Ochrona danych osobowych — wszystkie procesy przetwarzania
Ciągłość działania — procesy krytyczne i infrastruktura IT
Dyrektywa o bezpieczeństwie sieci i informacji — dostosowanie do wymogów
Krajowe Ramy Interoperacyjności i Krajowy System Cyberbezpieczeństwa
Rozszerzenie SZBI o zarządzanie prywatnością informacji
Kontrole bezpieczeństwa dla usług chmurowych
Standardy bezpieczeństwa aplikacji webowych
Krytyczne kontrole bezpieczeństwa — Implementation Group 2
Framework cyberbezpieczeństwa — Identify, Protect, Detect, Respond, Recover
Kanał zgłoszeń wewnętrznych i ochrona sygnalistów
Stosujemy wielowarstwowy model ochrony (defense-in-depth), obejmujący zabezpieczenia na poziomie sieci, aplikacji, danych i punktów końcowych.
AES-256 dla danych w spoczynku, TLS 1.3 dla danych w tranzycie. Pełne szyfrowanie dysków, baz danych i komunikacji między usługami.
Model Zero Trust z zasadą najmniejszych uprawnień. Uwierzytelnianie wieloskładnikowe (MFA) obowiązkowe dla wszystkich systemów. Centralne zarządzanie tożsamością.
Platforma Wazuh do ciągłego monitoringu zdarzeń bezpieczeństwa, wykrywania zagrożeń na endpointach i automatycznej korelacji alertów 24/7.
Centralne zbieranie logów z wszystkich systemów. Retencja minimum 12 miesięcy. Monitoring anomalii i automatyczne alerty.
Kopie zapasowe 3-2-1 (3 kopie, 2 media, 1 off-site). Regularne testy odtwarzania. RPO < 4h, RTO < 8h dla systemów krytycznych.
Regularne skanowanie infrastruktury i aplikacji. Proces patch management z SLA. Priorytetyzacja na podstawie CVSS i kontekstu biznesowego.
Kontrola dostępu do pomieszczeń, monitoring CCTV, polityka czystego biurka i ekranu. Zabezpieczenia serwerowni zgodne z wymaganiami ISO 27001.
Hardening konfiguracji chmurowych zgodnie z CIS Benchmarks. Segmentacja sieci, WAF, monitoring konfiguracji i compliance w czasie rzeczywistym.
Agent EDR na wszystkich stacjach roboczych i serwerach. Automatyczna izolacja zagrożonych urządzeń. Polityki Device Management.
Cykliczne testy penetracyjne infrastruktury i aplikacji realizowane przez niezależnych audytorów. Remediacja krytycznych podatności w ciągu 48h.
Centralna usługa katalogowa z SSO. Automatyczna deprovisioning przy offboardingu. Przeglądy uprawnień co kwartał.
Mikrosegmentacja z firewallami nowej generacji. Izolacja środowisk produkcyjnych, deweloperskich i testowych. Kontrola ruchu East-West.
Nasze polityki bezpieczeństwa są regularnie przeglądane, aktualizowane i komunikowane wszystkim pracownikom. Kluczowe dokumenty są dostępne na żądanie dla klientów i partnerów.
Nadrzędny dokument SZBI określający cele, zakres i zasady zarządzania bezpieczeństwem informacji w organizacji.
Przegląd: co 12 miesięcy | Ostatnia aktualizacja: Q1 2025
Zasady przetwarzania danych osobowych zgodnie z RODO, w tym podstawy prawne, retencja, prawa podmiotów danych i procedury naruszeniowe.
Przegląd: co 12 miesięcy | Ostatnia aktualizacja: Q1 2025
Plany BCP/DRP zapewniające ciągłość operacyjną w przypadku incydentów. Definicje RTO/RPO, procedury eskalacji i komunikacji kryzysowej.
Przegląd: co 12 miesięcy | Test: co 6 miesięcy
Zasady zarządzania dostępem opartego na rolach (RBAC), uwierzytelniania wieloskładnikowego i przeglądu uprawnień.
Przegląd: co 12 miesięcy | Przegląd uprawnień: kwartalnie
Proces wykrywania, klasyfikacji, eskalacji i obsługi incydentów bezpieczeństwa. Definicje severity, SLA reagowania i post-mortem.
Przegląd: co 12 miesięcy | Ćwiczenia: co 6 miesięcy
Zasady korzystania z zasobów IT organizacji, w tym urządzenia służbowe, poczta elektroniczna, internet i praca zdalna.
Przegląd: co 12 miesięcy | Ostatnia aktualizacja: Q4 2024
Regularny program audytów wewnętrznych i zewnętrznych zapewnia ciągłą zgodność z wymaganiami norm i regulacji.
Coroczne audyty nadzoru i recertyfikacji ISO 27001 oraz ISO 9001 prowadzone przez akredytowaną jednostkę DNV Business Assurance.
Cykliczny program audytów wewnętrznych obejmujący wszystkie klauzule ISO 27001, kontrole z Załącznika A oraz zgodność z RODO.
Regularne testy bezpieczeństwa infrastruktury i aplikacji, skanowanie podatności, weryfikacja konfiguracji.
Ciągły monitoring infrastruktury IT za pomocą platformy SIEM/EDR Wazuh. Automatyczne wykrywanie anomalii i alertowanie w czasie rzeczywistym.
Raporty z audytów zewnętrznych oraz szczegóły certyfikacji są dostępne na żądanie dla kwalifikowanych klientów i partnerów biznesowych. Skontaktuj się z nami, aby uzyskać dostęp.
Masz pytania dotyczące naszych zabezpieczeń, certyfikacji lub potrzebujesz dostępu do dokumentacji? Skontaktuj się z naszym zespołem ds. bezpieczeństwa informacji.
Ostatnia aktualizacja Trust Center: Luty 2025
Informacje zawarte w Trust Center mają charakter informacyjny. Szczegółowa dokumentacja bezpieczeństwa jest dostępna na żądanie po podpisaniu NDA.