Polityka Dopuszczalnego Użytkowania (AUP)

Produkt: CyberZgodność EDU · Ostatnia aktualizacja: 2026-05-15 · Wersja: 1.0

Niniejsza Polityka Dopuszczalnego Użytkowania określa zachowania zakazane w ramach platformy CyberZgodność EDU. Stanowi integralną część Regulaminu Usługi. Każdy Użytkownik i Dzierżawca jest związany niniejszą polityką.

§1. Zakres i cel

Platforma CyberZgodność EDU jest narzędziem compliance przeznaczonym dla szkół publicznych, JST i instytucji podległych. Niniejsza polityka chroni integralność platformy, bezpieczeństwo innych Dzierżawców oraz zaufanie organów regulacyjnych (UODO, CSIRT) do danych generowanych przez platformę.

§2. Zakazy fundamentalne

§2.1. Obchodzenie izolacji dzierżawców

Bezwzględnie zabronione jest:

próba odczytania, modyfikacji lub usunięcia danych należących do innego Dzierżawcy;
manipulowanie nagłówkami HTTP (np. X-Tenant-ID, Host) w celu przejęcia sesji innego Dzierżawcy;
eksploatacja błędów w politykach RLS PostgreSQL lub RBAC platformy;
próba dostępu do danych org_unit poza uprawnioną hierarchią organizacyjną.

§2.2. Nieautoryzowane testy penetracyjne

Zabronione jest przeprowadzanie testów penetracyjnych, skanów podatności, fuzzingów lub innych testów bezpieczeństwa infrastruktury platformy bez wcześniejszej pisemnej zgody Operatora. Autoryzowane testy (za zgodą) są mile widziane i mogą kwalifikować się do programu bug bounty.

§2.3. Fałszowanie dzienników audytu i danych compliance

Platforma jest narzędziem audytowym. Zabronione jest:

celowe wprowadzanie fałszywych danych do zadań kontrolnych, rejestrów incydentów lub rejestrów ryzyk w celu stworzenia mylącego obrazu compliance;
próba modyfikacji lub usunięcia wpisów dziennika audytu (technicznie niemożliwe dzięki append-only z FORCE RLS, ale niedopuszczalne również jako próba);
używanie danych eksportowanych z platformy do wprowadzania w błąd organów nadzorczych (CSIRT, UODO, organ prowadzący).

§2.4. Przeciążanie systemu i ataki dostępności

Zabronione jest:

generowanie ruchu API przekraczającego limity określone w dokumentacji (rate limiting);
przeprowadzanie ataków DoS/DDoS lub używanie platformy jako wektora takich ataków;
przesyłanie plików o rozmiarze przekraczającym limity określone w dokumentacji.

§2.5. Użycie niezgodne z przeznaczeniem

Platforma jest narzędziem compliance — nie jest platformą do ogólnego przechowywania danych. Zabronione jest:

przechowywanie danych niezwiązanych z procesami KSC/NIS2/RODO Dzierżawcy;
używanie platformy do działalności niezgodnej z prawem polskim lub unijnym;
udostępnianie dostępu do konta osobom nieuprawnionym (współdzielenie hasła);
używanie platformy do masowego przetwarzania danych szczególnych kategorii (art. 9 RODO) bez oddzielnej oceny i zgody Operatora.

§3. Obowiązki Dzierżawcy

Dzierżawca jest odpowiedzialny za przestrzeganie niniejszej AUP przez wszystkich swoich Użytkowników. Dzierżawca zobowiązuje się do:

niezwłocznego powiadomienia Operatora o wykrytym lub podejrzewanym naruszeniu bezpieczeństwa lub niniejszej AUP;
współpracy z Operatorem w dochodzeniu incydentów;
prowadzenia rejestru uprawnień Użytkowników i regularnego przeglądu dostępu (offboarding).

§4. Zgłaszanie naruszeń i podatności

Zgłoszenia dotyczące bezpieczeństwa przyjmowane są pod adresem: security@cyberzgodnosc.edu.pl. Szczegółowe zasady ujawniania (responsible disclosure) i potencjalny program bug bounty opisuje plik security.txt dostępny pod adresem /.well-known/security.txt.

§5. Procedura egzekwowania

§5.1. Dochodzenie

Krok	Opis	Termin
Wykrycie / zgłoszenie	Operator identyfikuje potencjalne naruszenie (automatyczne lub manualne)	T+0
Wstępna ocena	Operator ocenia wagę naruszenia i gromadzi dowody z dziennika audytu	T+24h
Powiadomienie Dzierżawcy	Operator informuje Dzierżawcę o zarzutach i zbiera wyjaśnienia	T+48h
Decyzja	Operator wydaje decyzję (ostrzezenie / zawieszenie / rozwiązanie)	T+7 dni

§5.2. Ostrzeżenie

Dla naruszeń pierwszorazowych lub mniejszej wagi Operator wystawia ostrzeżenie pisemne (e-mail) z żądaniem zaprzestania naruszenia i potwierdzeniem zgodnieści w terminie 5 dni roboczych.

§5.3. Zawieszenie

Operator może tymczasowo zawiesić dostęp Dzierżawcy bez wcześniejszego powiadomienia w przypadku: aktywnego naruszenia zagrażającego bezpieczeństwu innych Dzierżawców, podejrzenia incydentu bezpieczeństwa, nakazu organu publicznego. Zawieszenie trwa do czasu wyjaśnienia sytuacji.

§5.4. Rozwiązanie umowy

Rażące lub ponowione naruszenia AUP mogą skutkować natychmiastowym rozwiązaniem umowy bez zachowania okresu wypowiedzenia i bez prawa do zwrotu opłat za niewykorzystany okres subskrypcji.

§5.5. Prawo do odwołania

Dzierżawca może złożyć odwołanie od decyzji o zawieszeniu lub rozwiązaniu umowy drogą e-mail na adres compliance@cyberzgodnosc.edu.pl w terminie 14 dni od doręczenia decyzji. Operator rozpatruje odwołanie w terminie 10 dni roboczych.

§6. Zmiany polityki

Operator może zmieniać niniejszą AUP. O istotnych zmianach Dzierżawca zostanie powiadomiony e-mailem z co najmniej 14-dniowym wyprzedzeniem.

§7. Kontakt

Pytania dotyczące niniejszej polityki: compliance@cyberzgodnosc.edu.pl