Център за сигурност

Сигурност, Поверителност и Правни въпроси

Всичко, от което се нуждаете, за да проверите дали C2 отговаря на изискванията ви за защита на данните, преди да подпишете. Прозрачни по дизайн.

GDPR по дизайн Съхранение на данни в ЕС Холандско право, регулирано DPO означен

Правни документи

Изтегляне и преглед на нашите правни споразумения

Всички документи са на разположение за изтегляне и преглед, преди да поемете ангажимент. Не се изисква заявка.

Споразумение за обработка на данни

Нашето съвместимо с GDPR Споразумение за обработка на данни (DPA) чл. 28: как C2 обработва лични данни от ваше име, покриващо ROPA, DSARs, уведомяване за нарушение, подизпълнители и изтриване на данни. Приема се автоматично при подписване на Вашия абонамент.

Версия 1.1 · Юли 2026 · Нидерландско законодателство

Общи условия

Основното споразумение за абонамент, уреждащо Вашето ползване на C2: предоставяне на лиценз, такси, гаранции, ограничение на отговорността и приложимо право (Нидерландия).

Последно актуализирано: май 2025 г. · Холандско законодателство

Политика за поверителност

Как Agile Futurist събира и обработва лични данни като администратор за посетители на уебсайта, потенциални клиенти и контакти (отделно от данните в клиентския наем).

Последно актуализирано: май 2025 г. · 
Забележка: Приемането на Условията за ползване на C2 включва това ДПО по силата на препратка. Не е необходимо да подписвате отделно ДПО, освен ако вътрешната ви политика не изисква контраподписано копие. За искания за контраподписано ДПО, контакт dpo@cognitis.cloud.

Регистър на подпроцесора

Трети страни, които използваме за предоставяне на платформата

В съответствие с чл. 28, параграф 3, буква „г“ от ОРЗД поддържаме публичен регистър на всички подизпълнители. Ще получите уведомление за всеки нов подизпълнител или промени при него най-малко 30 дни предварително.

Подизпълнител Цел Местоположение за обработка Механизъм на трансфер DPA Статус
Амазон уеб услуги (AWS)
Облачна инфраструктура и съхранение (S3)
Основна изчислителна мощ, обектно съхранение (Amazon S3), мрежови услуги и бази данни, които са в основата на платформата. ЕС (Ирландия, eu-west-1) Н/Д (ЕИП) Подписано, чл. 28
Amazon Web Services (SES)
Доставка на имейл
Транзакционни и нотификационни имейли: DSAR сигнали, работни потоци за въвеждане, системни известия. ЕС (Ирландия, eu-west-1) Н/Д (ЕИП) Подписано, чл. 28
OpenAI
Езиков модел с изкуствен интелект (по подразбиране)
Езиково базирани изводи за AI HR асистент. Получава текстов въпрос и релевантни извлечения от база знания. Лични данни на служители (имена, досиета, заплати, данни за представянето) никога не се предават. Извличането на знания използва самостоятелно хоствана Qdrant векторна база данни на инфраструктура в ЕС (Ирландия). Не се извършва обучение или съхраняване на данни на клиенти. Алтернативи на LLM, хоствани в ЕС или самостоятелно хоствани, са налични за корпоративни клиенти при поискване. Съединени американски щати Модул 2 на ССC Подписано, чл. 28 + Закон за изкуствения интелект
Amazon Web Services (CloudWatch)
Мониторинг и наблюдаемост на платформа
Мониторинг на производителността на приложенията, регистриране и известяване чрез AWS CloudWatch. Покрито от същия AWS DPA като основната инфраструктура. Само псевдонимизирани данни. ЕС (Ирландия, eu-west-1) Н/Д (ЕИП) Подписано, чл. 28
Frappe HelpDesk (самостоятелно хоствана)
Поддръжка на клиенти Билети
Управление на заявки за поддръжка, подадени от вашите потребители. Самостоятелно хоствано на инфраструктура в ЕС (Ирландия, AWS eu-west-1); Frappe Ltd не обработва лични данни. Достъпът е ограничен само до упълномощен персонал за поддръжка. ЕС (Ирландия, eu-west-1) Н/Д (ЕИП, самостоятелно хостван) Самосървиран; Н/Д

Последна актуализация: юли 2026 г. За да получавате известия за промени в подпроцесорите по имейл, контакт dpo@cognitis.cloud с тема “Известия за подпроцесори”.

Мерки за сигурност

Технически и организационни мерки (ТОМ)

Резюме на нашите мерки за сигурност, както са дефинирани в Приложение 2 към ДПА. Пълното Приложение е налично в изтегляемата ДПА по-горе.

Контрол на достъпа

  • Базиран на роли контрол на достъпа (RBAC), най-малко привилегии
  • Мултифакторно удостоверяване, наложено за администраторски акаунти
  • Изтичане на сесията, уникални идентификационни данни
  • Управление на привилегирован достъп

Шифриране

  • В транзит: TLS 1.2+ (предпочитан TLS 1.3)
  • В покой: AES-256
  • Криптиране на ниво база данни
  • Ежегодна ротация на ключове

Изолация на наематели

  • Стриктно логическо разделение между наемателите
  • Прилагане на идентификация на наемателя на ниво ORM
  • Автоматизирани изолирани тестове при всяко внедряване

Инфраструктура

  • Хостинг само в ЕС (центрове за данни със сертификат ISO 27001)
  • Мрежова сегментация, IDS/IPS, WAF
  • DDoS защита в ход

Управление на уязвимости

  • Планиран тест за проникване от трета страна за второто полугодие на 2026 г.; въведени непрекъснато автоматизирано сканиране на зависимости и SAST (статичен анализ на сигурността на приложенията).
  • Автоматизирано сканиране на зависимости (CI/CD)
  • Критичните корекции в рамките на 72 часа

Наличност и възстановяване

  • 99,51 TP3T SLA за непрекъснатост на работата
  • Ежедневни резервни копия, 30-дневно съхранение
  • Тримесечно тестване на DR

Реагиране при инциденти

  • 72-часово уведомление при нарушение до администратора
  • Документиран план за реакция при инциденти
  • Сигнализация на SIEM в реално време
  • Регистър за нарушения на чл. 33, ал. 5, поддържан

Защита на личните данни по дизайн

  • Минимизиране на данните във всички функционалности
  • Оценка на въздействието върху защитата на данните, необходима преди разполагания с висок риск
  • Автоматично прилагане на задържане

Съответствие и сертификати

Нашата пътна карта за сертифициране

Прозрачно сме относно това къде се намираме по пътя към независима проверка. Проследете напредъка ни тук.

Съответствие с чл. 28 от ОРЗД  На живо

Пълна ДПА публикувана, регистър на подизпълнителите поддържан, ДСП назначен. Всички обработки са само по документирани инструкции на администратора.

Съхранение на данни в ЕС  На живо

Всички данни за служители и човешки ресурси се съхраняват и обработват изключително в ЕС (Ирландия, AWS eu-west-1). AI асистентът използва собствено хоствана Qdrant векторна база данни на европейска инфраструктура за извличане на знания; не се индексират лични данни. AI езиковият модел (OpenAI) получава само текст на заявка и извадки от базата знания съгласно Модул 2 на SCC. Никога лични данни на служители не напускат ЕС.

Преглед на Директива NIS 2  В ход

Вътрешен преглед на задълженията по NIS 2, приложими за C2 като доставчик на цифрови услуги. Актуализиране на политики в ход.

Годишен тест за проникване  Планирано 2026

Независим проникващ тест от трета страна ще започне през 2026 г. Резюме за ръководители ще бъде налично за клиенти с Enterprise ниво при подписване на споразумение за неразкриване на информация при поискване.

Сертификация по ISO 27001  Проверка на разликите 2026

Оценка на пропуските по ISO 27001 започваща през 2026 г. Цел за сертифициране в рамките на 18 месеца. Признатият стандарт за управление на информационната сигурност, който се съпоставя пряко с чл. 32 от GDPR.

Сертифициране по ISO 27701  Пътна карта

Разширението за управление на поверителността към ISO 27001, което директно съответства на задълженията по GDPR. Целево след сертифициране по ISO 27001. C2 ще бъде сред първите HRIS платформи за МСП в Европа, които ще притежават тази сертификация.

СУЗД чл. 42 Сертифициране  Наблюдение

Проследяване на акредитирани схеми по чл. 42 от ОРЗД в Нидерландия и ЕС (включително EuroPriSe). Ще продължим, след като бъде установена зряла схема за обработващи данни по договор (SaaS).


История на документа

Регистър на промените в правния документ

Промените в материалите се съобщават на съществуващите клиенти поне 30 дни преди да влязат в сила.

v1.1 Юли 2026 Текущ
Актуализирани регистри на подпроцесори: добавени имена на доставчици (AWS eu-west-1, AWS SES, OpenAI), изяснен поток на данни с ИИ (без лични данни, предавани към OpenAI; Qdrant, хостван самостоятелно, обработва RAG в ЕС инфраструктура), забелязан модул 2 на SCC за OpenAI. Датата на тест за проникване TOM е коригирана, за да отразява планираната дата за второто полугодие на 2026 г.

За да получавате известия за правни актуализации, имейл dpo@cognitis.cloud с тема “Известия за законови актуализации”.

Защита на данните

Контакт Нашият екип за защита на данните

За въпроси относно защита на данните, съответствие с GDPR, DPA или за упражняване на правата на субектите на данни.

Длъжностно лице по защита на данните

GDPR запитвания, DPA въпроси, права на субектите на данни, подаване на DSAR.

Сигурност и инциденти

Притеснения за сигурността, предполагаеми пробиви, разкрития на уязвимости.

Правни и договорни

Подписани искания за ДПА, възражения на подизпълнител, правна кореспонденция.

Клиентска поддръжка

Поддръжка на платформата, запитвания за акаунт, съдействие при въвеждане.

Готови ли сте да видите HRIS, създадена специално за европейски МСП: прозрачна, съвместима с GDPR и проверима?

Резервирайте Вашия Безплатен 30-Минутен Демо →