Εμπιστοσύνη
& δεοντολογία.

Η παρούσα πολιτική καθορίζει τα βασικά μέτρα ασφάλειας πληροφοριών και προστασίας προσωπικών δεδομένων που εφαρμόζει η ECIVIS, διασφαλίζοντας την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των δεδομένων.

Υπεύθυνος για την τήρηση και παρακολούθηση της πολιτικής είναι ο IT Manager, που αναλαμβάνει τη διαχείριση πρόσβασης στα συστήματα, την παρακολούθηση και αντιμετώπιση περιστατικών ασφαλείας και την εκπαίδευση του προσωπικού.

• Πρόσβαση σε προσωπικά δεδομένα μόνο σε εξουσιοδοτημένους υπαλλήλους και για συγκεκριμένους σκοπούς
• Αποθήκευση σε ασφαλή περιβάλλοντα (cloud ή προστατευμένοι servers)
• Διαχείριση φακέλων υποθέσεων με ασφάλεια και εμπιστευτικότητα
• Πολιτικές backup και ανάκτησης δεδομένων σε περίπτωση περιστατικού

Τα αιτήματα των χρηστών σχετικά με τα προσωπικά τους δεδομένα διαχειρίζονται μέσω του DPO ή του IT Manager.

Οποιοδήποτε περιστατικό παραβίασης ασφάλειας ή διαρροής δεδομένων αναφέρεται άμεσα στον IT Manager και, εφόσον απαιτείται, στον DPO. Το προσωπικό ενημερώνεται τακτικά για την ασφαλή διαχείριση δεδομένων.

Η πολιτική αναθεωρείται ετησίως ή όποτε απαιτηθεί, προκειμένου να προσαρμοστεί σε νέες ανάγκες, νομοθετικές ή τεχνολογικές αλλαγές.

Η ECIVIS δεν αποτελεί εποπτευόμενη οντότητα από κάποια ρυθμιστική ή εποπτική αρχή. Ωστόσο, λειτουργεί με γνώμονα τη διαφάνεια, την υπευθυνότητα και τον σεβασμό προς τους χρήστες της.

Διαχειριζόμαστε όλες τις υποθέσεις των καταναλωτών με αμεροληψία, σαφήνεια και αποτελεσματικότητα, διασφαλίζοντας την προστασία των προσωπικών δεδομένων και την εμπιστευτικότητα των πληροφοριών.

Ενεργούμε με ακεραιότητα και επαγγελματισμό σε κάθε στάδιο διαχείρισης των υποθέσεων, λειτουργώντας ως γέφυρα επικοινωνίας μεταξύ των χρηστών και των αρμόδιων φορέων ή υπηρεσιών. Διαμεσολαβούμε ώστε το αίτημα του χρήστη να ακουστεί ουσιαστικά, με γνώση και τεκμηρίωση.

Η ουσιαστική προώθηση των αιτημάτων των χρηστών με υπεύθυνο και αποτελεσματικό τρόπο — χωρίς να υποκαθιστούμε τους αρμόδιους φορείς.

• Φιλοξενία σε data centers εντός ΕΕ με πιστοποίηση ISO 27001 & SOC 2 Type II
• Κρυπτογράφηση δεδομένων at rest με AES-256 και in transit με TLS 1.3
• Επιπλέον column-level κρυπτογράφηση (pgcrypto) για ευαίσθητα πεδία: ΑΦΜ, αριθμός ταυτότητας, τηλέφωνο
• Καθημερινά κρυπτογραφημένα backups με 30ήμερη διατήρηση

• Role-Based Access Control (RBAC) με αρχή ελάχιστου προνομίου
• Υποχρεωτικό Two-Factor Authentication (TOTP) για κάθε admin πριν την πρόσβαση στο διαχειριστικό περιβάλλον
• Audit log σε επίπεδο βάσης: κάθε πρόσβαση admin σε δεδομένα χρήστη / υπόθεσης καταγράφεται με χρονοσφραγίδα και είναι read-only (δεν μπορεί να τροποποιηθεί ή διαγραφεί)
• Αυτόματη αποσύνδεση μετά από 15 λεπτά αδράνειας

• Web Application Firewall (WAF) στο edge
• Προστασία DDoS με αυτόματη απορρόφηση
• Συνεχής σάρωση ευπαθειών στον κώδικα και τις εξαρτήσεις (SAST + dependency scanning)
• Καταγραφή σφαλμάτων σε επίπεδο εφαρμογής και βάσης για διερεύνηση συμβάντων

Κάθε αναφορά περιστατικού ασφαλείας ακολουθεί δομημένη ροή: ανίχνευση → εκτίμηση επίπτωσης → περιορισμός → επικοινωνία → ανάλυση αιτίας → προληπτικά μέτρα.

• Αρχική απόκριση εντός 1 ώρας από την ανίχνευση
• Ενημέρωση εποπτικής αρχής εντός 72 ωρών (άρθρο 33 GDPR) εάν προκύπτει κίνδυνος
• Ειδοποίηση επηρεαζόμενων χρηστών χωρίς αδικαιολόγητη καθυστέρηση
• Δημόσια post-mortem έκθεση για κάθε σοβαρό περιστατικό

Εάν διαπιστωθεί παραβίαση δεδομένων που επηρεάζει υποκείμενα, ενημερώνουμε άμεσα την Αρχή Προστασίας Δεδομένων και τα ίδια τα υποκείμενα με σαφή περιγραφή του περιστατικού και των μέτρων αποκατάστασης.

Εάν εντοπίσετε ευπάθεια ή ζήτημα ασφαλείας, σας ενθαρρύνουμε να επικοινωνήσετε υπεύθυνα στο security@ecivis.gr. Δεσμευόμαστε για απάντηση εντός 48 ωρών και δεν λαμβάνουμε νομικά μέτρα κατά ερευνητών ασφαλείας που ενεργούν με καλή πίστη.

• Πού φιλοξενούνται τα δεδομένα μου;

  Σε υποδομή εντός Ευρωπαϊκής Ένωσης (AWS eu-west-1, Δουβλίνο). Τα data centers διαθέτουν πιστοποιήσεις ISO 27001 και SOC 2 Type II σε επίπεδο παρόχου υποδομής.

• Μπορώ να ενεργοποιήσω 2FA στον λογαριασμό μου;

  Ναι, και το συνιστούμε ανεπιφύλακτα. Υποστηρίζουμε authenticator εφαρμογές TOTP (Google Authenticator, Authy, 1Password κ.ά.). Η ενεργοποίηση γίνεται από τη σελίδα του προφίλ σας. Για τους διαχειριστές, το 2FA είναι υποχρεωτικό.

• Πόσο συχνά κάνετε security audits;

  Εκτελείται συνεχής αυτοματοποιημένη σάρωση κώδικα και εξαρτήσεων (SAST + dependency scanning) μέσω εξωτερικού εργαλείου ασφαλείας, καθώς και έλεγχοι διαμόρφωσης βάσης δεδομένων. Πραγματοποιούνται επιπλέον ad hoc reviews σε κάθε σημαντική αρχιτεκτονική αλλαγή.

• Πώς διασφαλίζεται η αμεροληψία;

  Δεν λαμβάνουμε προμήθειες από τους αντισυμβαλλόμενους (τράπεζες, αεροπορικές, παρόχους). Η αμοιβή μας εξαρτάται αποκλειστικά από το αποτέλεσμα για εσάς.

• Τι γίνεται αν προκύψει σύγκρουση συμφερόντων;

  Εφαρμόζουμε εσωτερική διαδικασία ελέγχου σύγκρουσης. Σε περίπτωση που εντοπιστεί, η υπόθεση είτε ανατίθεται σε ανεξάρτητη ομάδα είτε σας ενημερώνουμε και αποσύρουμε.

• Έχετε εξωτερικό όργανο εποπτείας;

  Συνεργαζόμαστε με ανεξάρτητο νομικό σύμβουλο για ετήσιο compliance review. Τα ευρήματα δημοσιοποιούνται συνοπτικά στη σελίδα Trust.