Zapewnij zgodność
z regulacjami

Międzynarodowy standard zarządzania bezpieczeństwem informacji. Pomagamy wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS), przygotować organizację do certyfikacji oraz utrzymać zgodność w cyklu ciągłego doskonalenia. Nasi audytorzy posiadają certyfikat ISO 27001 Lead Auditor.

• Gap analysis względem wymagań ISO 27001:2022
• Opracowanie polityk i procedur bezpieczeństwa
• Analiza i zarządzanie ryzykiem (ISO 27005)
• Wdrożenie wymaganych kontroli z Aneksu A
• Statement of Applicability (SoA)
• Przygotowanie do audytu certyfikacyjnego
• Audyty nadzoru i wsparcie w recertyfikacji

Dyrektywa NIS2 (Network and Information Security) oraz polska Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakładają na operatorów usług kluczowych i ważnych obowiązek wdrożenia środków zarządzania ryzykiem cybernetycznym. Kary za brak zgodności mogą sięgać 10 mln EUR lub 2% rocznego obrotu.

• Weryfikacja czy organizacja podlega NIS2/KSC
• Ocena dojrzałości cyberbezpieczeństwa (as-is)
• Gap analysis względem wymagań NIS2
• Wdrożenie środków zarządzania ryzykiem (Art. 21)
• Procesy zgłaszania incydentów (Art. 23)
• Bezpieczeństwo łańcucha dostaw
• Audyt zgodności z KSC i rozporządzeniami wykonawczymi

Digital Operational Resilience Act (DORA) to rozporządzenie UE regulujące cyfrową odporność operacyjną sektora finansowego. Obowiązuje banki, ubezpieczycieli, firmy inwestycyjne, instytucje płatnicze i ich kluczowych dostawców ICT. Wymagania obejmują zarządzanie ryzykiem ICT, testowanie odporności i raportowanie incydentów.

• Gap analysis zgodności z DORA
• Framework zarządzania ryzykiem ICT (Art. 5-16)
• Procedury klasyfikacji i raportowania incydentów (Art. 17-23)
• Testowanie cyfrowej odporności operacyjnej (Art. 24-27)
• Zarządzanie ryzykiem dostawców ICT (Art. 28-44)
• Threat-Led Penetration Testing (TLPT)

Markets in Crypto-Assets Regulation (MiCA) to rozporządzenie UE regulujące rynki kryptoaktywów. Nakłada na dostawców usług związanych z kryptoaktywami (CASP) obowiązki w zakresie cyberbezpieczeństwa, ochrony klientów i odporności operacyjnej. Dostawcy muszą wdrożyć polityki bezpieczeństwa ICT i podlegają nadzorowi regulatorów.

• Ocena gotowości do wymogów MiCA
• Polityki bezpieczeństwa ICT dla CASP
• Procedury zarządzania incydentami
• Ochrona kluczy kryptograficznych i portfeli
• Mechanizmy ochrony klientów i środków
• Przygotowanie do licencjonowania CASP

Rozporządzenie o Ochronie Danych Osobowych (RODO/GDPR) wymaga od organizacji wdrożenia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Audytujemy zgodność z RODO pod kątem cyberbezpieczeństwa — weryfikujemy czy wdrożone środki są adekwatne do ryzyka i zgodne z zasadą „privacy by design”.

• Audyt technicznych środków ochrony danych (Art. 32)
• Ocena skutków dla ochrony danych (DPIA)
• Weryfikacja szyfrowania i pseudonimizacji
• Przegląd kontroli dostępu do danych osobowych
• Procedury powiadamiania o naruszeniach (Art. 33-34)
• Privacy by Design i Privacy by Default

CIS Benchmarks to uznane na całym świecie wytyczne konfiguracji bezpieczeństwa opracowane przez Center for Internet Security. Przeprowadzamy szczegółowe audyty zgodności z CIS Benchmarks dla systemów operacyjnych, baz danych, chmur, kontenerów i urządzeń sieciowych — automatycznie i manualnie.

• Windows Server, Linux (Ubuntu, RHEL, CentOS)
• AWS, Azure, GCP — CIS Cloud Benchmarks
• Docker, Kubernetes — Container Security
• Oracle, MS SQL, PostgreSQL, MySQL
• Cisco, Palo Alto, Fortinet — Network Devices
• Apache, Nginx, IIS — Web Servers

Application Security Verification Standard (ASVS) to framework OWASP definiujący wymagania bezpieczeństwa aplikacji webowych na 3 poziomach weryfikacji. Stanowi kompletny zbiór kontroli, które powinny być zaimplementowane w aplikacjach — od uwierzytelniania i zarządzania sesją, po kryptografię i ochronę przed atakami.

Poziomy weryfikacji ASVS

• Level 1 — podstawowe zabezpieczenia (dla wszystkich aplikacji)
• Level 2 — zaawansowane zabezpieczenia (aplikacje biznesowe, przetwarzające dane wrażliwe)
• Level 3 — najwyższy poziom (aplikacje krytyczne: bankowość, medycyna, infrastruktura)

Zakres audytu ASVS

• Uwierzytelnianie i zarządzanie sesją
• Kontrola dostępu i autoryzacja
• Walidacja danych wejściowych i wyjściowych
• Kryptografia i zarządzanie kluczami
• Obsługa błędów i logowanie
• Ochrona danych i prywatność
• Bezpieczeństwo komunikacji (API, WebSocket)

Unijny AI Act wprowadza pierwsze na świecie kompleksowe regulacje dotyczące sztucznej inteligencji. Organizacje wdrażające systemy AI muszą zadbać o ich bezpieczeństwo, przejrzystość, odpowiedzialność i zgodność z prawem. Nasze usługi AI Governance obejmują pełen cykl — od inwentaryzacji systemów AI, przez klasyfikację ryzyka, po wdrożenie frameworka zarządzania AI.

Klasyfikacja ryzyka AI (AI Act)

• Systemy niedopuszczalne (zakazane) — social scoring, manipulacja podprogowa, biometryczna identyfikacja czasu rzeczywistego
• Systemy wysokiego ryzyka — rekrutacja, scoring kredytowy, diagnostyka medyczna, infrastruktura krytyczna, wymiar sprawiedliwości
• Systemy ograniczonego ryzyka — chatboty, deepfakes, systemy generujące treści (wymóg przejrzystości)
• Systemy minimalnego ryzyka — filtry antyspamowe, systemy rekomendacji (brak dodatkowych wymogów)

Framework AI Governance

Pomagamy organizacjom wdrożyć kompleksowy framework zarządzania AI, który obejmuje struktury organizacyjne, polityki, procesy i narzędzia zapewniające odpowiedzialne wykorzystanie sztucznej inteligencji.

• Inwentaryzacja systemów AI — mapowanie wszystkich komponentów AI w organizacji (modele, dane treningowe, pipelines, API)
• Klasyfikacja ryzyka — ocena każdego systemu AI pod kątem kategorii ryzyka AI Act i potencjalnego wpływu na prawa podstawowe
• Polityki i procedury AI — opracowanie polityki etycznego AI, procedur walidacji modeli, zarządzania danymi treningowymi i monitoringu dryfu
• Przejrzystość i wyjaśnialność (XAI) — mechanizmy dokumentowania decyzji algorytmicznych, explainability dla użytkowników końcowych
• Human oversight — wdrożenie mechanizmów nadzoru ludzkiego nad systemami AI, procedury eskalacji i interwencji
• Zarządzanie biasem i fairness — audyt modeli pod kątem uprzedzeń, testy fairness, procedury mitygacji biasu
• Data Governance dla AI — jakość danych treningowych, lineage, privacy-preserving ML, synthetic data
• Model Risk Management — walidacja modeli, testy A/B, monitoring wydajności, procedury wycofywania modeli

AI Security — zabezpieczenia techniczne

Bezpieczeństwo systemów AI wymaga dedykowanych środków ochrony przed atakami specyficznymi dla uczenia maszynowego i przetwarzania języka naturalnego.

• Ochrona przed atakami adversarial — testy odporności modeli na zmanipulowane dane wejściowe (adversarial examples)
• Zabezpieczenie pipeline ML/MLOps — ochrona procesu trenowania, wersjonowania i wdrażania modeli
• Prompt injection i jailbreaking — testy bezpieczeństwa LLM pod kątem prompt injection, data extraction i instruction bypass
• Model extraction i model inversion — ochrona modeli przed kradzieżą IP i wyciekiem danych treningowych
• Data poisoning — weryfikacja integralności danych treningowych i ochrona przed zanieczyszczeniem
• Supply chain security AI — audyt zależności, bibliotek ML i pretrenowanych modeli (Hugging Face, PyPI)
• Red Teaming AI — symulacje ataków na systemy AI zgodnie z metodyką NIST AI RMF i OWASP Top 10 for LLM

Standardy i frameworki referencyjne

• EU AI Act — Rozporządzenie Parlamentu Europejskiego
• NIST AI Risk Management Framework (AI RMF 1.0)
• ISO/IEC 42001 — System zarządzania sztuczną inteligencją
• ISO/IEC 23894 — Zarządzanie ryzykiem AI
• OWASP Top 10 for LLM Applications
• OWASP Machine Learning Security Top 10
• ENISA AI Threat Landscape