Dostępność Dostępność Konto klienta Koszyk Menu

Polityka bezpieczeństwa produktów cyfrowych

Cyberbezpieczeństwo i wsparcie techniczne produktów zgodnie z CRA

Polityka bezpieczeństwa określa zasady zapewnienia cyberodporności modułów I/O serii Ambity Line zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymogów cyberbezpieczeństwa dla produktów z elementami cyfrowymi (Cyber Resilience Act – CRA).

Wersja dokumentu: 20260630
Obowiązuje od dnia: 01.09.2026 r.

Spis treści:

§1 | Podstawa prawna i definicje §2 | Zasady projektowania §3 | Okres wsparcia i cykl życia Produktu §4 | Bezpieczeństwo aktualizacji Oprogramowania §5 | Zarządzanie podatnościami i SBOM §6 | Procedura zgłaszania podatności §7 | Zalecenia dla Kupującego, Użytkownika i integratora §8 | Komunikaty bezpieczeństwa i aktualizacje §9 | Postanowienia końcowe Polityka bezpieczeństwa – do pobrania (PDF)

§1 | Podstawa prawna i definicje

  1. Niniejsza Polityka bezpieczeństwa (nazywana dalej również „Polityką”) określa zasady zapewnienia cyberbezpieczeństwa Produktów Cyfrowych marki EDS CONTROLLERS.
  2. Polityka bezpieczeństwa uwzględnia wymagania wynikające z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/2847 z dnia 23 października 2024 r. w sprawie horyzontalnych wymogów cyberbezpieczeństwa dla produktów z elementami cyfrowymi, znanego jako „Cyber Resilience Act” (CRA).
  3. Użyte w niniejszym dokumencie pojęcia pisane wielką literą mają następujące znaczenie:
    • Producent – eDev Studio sp. z o.o. z siedzibą w Olsztynie, prowadząca działalność gospodarczą pod nazwą handlową EDS CONTROLLERS, zarejestrowana w rejestrze przedsiębiorców Krajowego Rejestru Sądowego prowadzonym przez Sąd Rejonowy w Olsztynie, VIII Wydział Gospodarczy KRS, pod numerem KRS: 0000722653, NIP: 7393913272;
    • Produkt – urządzenie znajdujące się w oficjalnej ofercie handlowej Producenta, obejmujące w szczególności przemysłowe moduły wejść/wyjść (I/O) serii Ambity Line;
    • Program Układowy – dedykowane oprogramowanie wbudowane, firmware, zainstalowane w Produkcie i sterujące jego warstwą sprzętową;
    • Program Narzędziowy – aplikacja komputerowa Ambity Line Config Tool udostępniana przez Producenta, służąca w szczególności do konfiguracji, parametryzacji, diagnostyki Produktu, wdrażania aktualizacji Programu Układowego oraz generowania plików integracyjnych;
    • Oprogramowanie – komponenty cyfrowe bezpośrednio powiązane z Produktem, obejmujące Program Układowy oraz Program Narzędziowy;
    • Produkt Cyfrowy – Produkt wraz z Oprogramowaniem dostarczanym lub udostępnianym przez Producenta w celu jego uruchomienia, konfiguracji, aktualizacji i eksploatacji;
    • Strona Internetowa – oficjalne serwisy internetowe Producenta dostępne pod adresami edscontrollers.pl oraz edscontrollers.com;
    • Kupujący – podmiot prowadzący działalność gospodarczą, który nabył Produkt bezpośrednio od Producenta;
    • Użytkownik – każdy podmiot albo osoba działająca w jego imieniu lub na jego rzecz, która korzysta z Produktu, dokonuje jego montażu, integracji lub eksploatacji albo weszła w jego posiadanie na legalnej podstawie prawnej w inny sposób niż poprzez bezpośredni zakup od Producenta, w szczególności za pośrednictwem dystrybutora, integratora systemowego, instalatora lub rynku wtórnego;
    • Polityka Bezpieczeństwa – niniejszy dokument określający zasady ochrony, wsparcia oraz zarządzania podatnościami Produktów Cyfrowych;
    • Dokumentacja Produktowa – dokumenty publikowane lub udostępniane przez Producenta dotyczące Produktu, w szczególności Karta Produktu, Instrukcja Użytkownika, dokumentacja techniczna, instrukcje montażu, komunikaty techniczne oraz biuletyny bezpieczeństwa.

§2 | Zasady projektowania

  1. Produkty Cyfrowe są projektowane i rozwijane z uwzględnieniem zasad cyberbezpieczeństwa odpowiednich do ich przeznaczenia, środowiska pracy oraz przewidywalnego sposobu użytkowania.
  2. Produkty wykorzystujące protokół Modbus RTU przez interfejs RS-485 są urządzeniami podrzędnymi, realizującymi polecenia urządzeń nadrzędnych w ramach systemu automatyki.
  3. Produkty Cyfrowe nie posiadają nieudokumentowanych funkcji dostępowych, ukrytych kanałów komunikacji ani niejawnych mechanizmów zdalnego dostępu udostępnianych przez Producenta.
  4. Bezpieczeństwo Produktu Cyfrowego zależy również od prawidłowego montażu, konfiguracji, integracji i eksploatacji zgodnie z Dokumentacją Produktową oraz zasadami sztuki inżynierskiej.

§3 | Okres wsparcia i cykl życia Produktu

  1. Dla Produktów Cyfrowych Producent deklaruje okres wsparcia bezpieczeństwa cyfrowego wynoszący minimum 5 lat od oficjalnej daty wycofania danego modelu z dystrybucji.
  2. Jeżeli planowane jest zakończenie wsparcia technicznego i cyfrowego określonego modelu Produktu Cyfrowego, informacja o tym, wraz z datą zakończenia wsparcia, publikowana jest przez Producenta z wyprzedzeniem co najmniej 6 miesięcy.
  3. Informacja, o której mowa w ust. 2, publikowana jest na Stronie Internetowej, w szczególności w sekcji dotyczącej danego modelu Produktu.
  4. W okresie wsparcia Producent opracowuje, testuje i publikuje bezpłatne poprawki bezpieczeństwa oraz aktualizacje Oprogramowania w przypadku zidentyfikowania podatności mających negatywny wpływ na bezpieczeństwo Produktu Cyfrowego.

§4 | Bezpieczeństwo aktualizacji Oprogramowania

  1. Aktualizacja Programu Układowego realizowana jest za pomocą Programu Narzędziowego udostępnionego przez Producenta.
  2. Wszystkie pliki z aktualizacją Programu Układowego są szyfrowane i podpisywane cyfrowo przez Producenta.
  3. Weryfikacja autentyczności i integralności pliku z aktualizacją Programu Układowego realizowana jest przez Produkt przed dokonaniem modyfikacji w pamięci urządzenia.
  4. Mechanizm, o którym mowa w ust. 3, uniemożliwia uruchomienie na Produkcie kodu zmodyfikowanego, uszkodzonego lub pochodzącego od niezaufanych podmiotów.
  5. Pobieranie Programu Narzędziowego odbywa się za pośrednictwem bezpiecznego, szyfrowanego protokołu SSL ze Strony Internetowej.
  6. Program Narzędziowy jest podpisany cyfrowo w celu potwierdzenia jego autentyczności.

§5 | Zarządzanie podatnościami i SBOM

  1. Producent prowadzi wykaz komponentów Oprogramowania, SBOM – Software Bill of Materials, dla każdego oferowanego Produktu Cyfrowego.
  2. Producent aktualizuje i archiwizuje SBOM w zakresie niezbędnym do realizacji obowiązków związanych z bezpieczeństwem Produktów Cyfrowych.
  3. Zgłoszone podatności kodu poddawane są analizie i ocenie ryzyka.
  4. Producent stosuje standard FIRST CVSS v4.0 do oceny poziomu ryzyka podatności.
  5. W przypadku zidentyfikowania podatności o wysokim lub krytycznym priorytecie Producent wdraża procedury naprawcze bez zbędnej zwłoki, publikuje zaktualizowaną wersję Oprogramowania oraz realizuje obowiązki informacyjne wobec Użytkowników i właściwych organów nadzoru, zgodnie z procedurami i terminami wymaganymi przez CRA.

§6 | Procedura zgłaszania podatności

  1. Kupujący, Użytkownicy, integratorzy systemowi oraz niezależni badacze bezpieczeństwa, którzy zidentyfikowali potencjalny błąd oprogramowania lub podatność mającą negatywny wpływ na bezpieczeństwo Produktu Cyfrowego, proszeni są o niezwłoczny kontakt z Producentem.
  2. Zgłoszenia o charakterze bezpieczeństwa należy kierować na dedykowany adres e-mail: security@edscontrollers.pl.
  3. Zgłoszenie powinno zawierać możliwie dokładny opis zidentyfikowanego błędu lub podatności, w tym informacje pozwalające na jego analizę i odtworzenie.
  4. Każde zgłoszenie jest rejestrowane jako priorytetowe.
  5. Producent przesyła potwierdzenie przyjęcia zgłoszenia w terminie do 48 godzin od jego otrzymania.
  6. Producent może zwrócić się do zgłaszającego o dodatkowe informacje techniczne niezbędne do analizy zgłoszenia.
  7. Do czasu publikacji poprawki lub oficjalnego komunikatu Producent może zwrócić się do zgłaszającego o zachowanie poufności informacji dotyczących podatności, jeżeli ich ujawnienie mogłoby zwiększyć ryzyko dla Użytkowników.

§7 | Zalecenia dla Kupującego, Użytkownika i integratora

  1. Protokół Modbus RTU jest standardem otwartym i nie posiada natywnych mechanizmów szyfrowania, tunelowania ani wzajemnego uwierzytelniania węzłów sieci.
  2. Cyberbezpieczeństwo instalacji przemysłowej zależy nie tylko od Produktu, lecz także od prawidłowej architektury systemu, zabezpieczenia infrastruktury, konfiguracji urządzeń nadrzędnych oraz fizycznej ochrony instalacji.
  3. Producent rekomenduje, aby podmiot odpowiedzialny za projekt, montaż lub integrację systemu automatyki zapewnił w szczególności:
    • ograniczenie fizycznego dostępu do Produktów i magistrali komunikacyjnej osobom nieuprawnionym;
    • montaż Produktów w zamkniętych szafach sterowniczych lub innych odpowiednio zabezpieczonych obudowach;
    • prowadzenie przewodów komunikacyjnych w sposób ograniczający ryzyko nieuprawnionego dostępu, uszkodzenia lub zakłóceń;
    • stosowanie właściwych zabezpieczeń elektrycznych, przeciwprzepięciowych i środowiskowych;
    • stosowanie aktualnych wersji Programu Narzędziowego oraz Programu Układowego;
    • wdrażanie poprawek bezpieczeństwa udostępnionych przez Producenta bez zbędnej zwłoki;
    • okresowe monitorowanie komunikatów technicznych i biuletynów bezpieczeństwa publikowanych na Stronie Internetowej.
  4. W przypadku zastosowania Produktów w systemach o podwyższonych wymaganiach bezpieczeństwa, ciągłości działania lub dostępności, Kupujący, Użytkownik lub integrator powinien przeprowadzić własną ocenę ryzyka całego systemu.
  5. Produkt nie zastępuje środków bezpieczeństwa wymaganych dla całej instalacji przemysłowej, sieci IT/OT, sterownika PLC, systemu SCADA, HMI ani innych urządzeń lub systemów osób trzecich.

§8 | Komunikaty bezpieczeństwa i aktualizacje

  1. Informacje o istotnych poprawkach bezpieczeństwa, aktualizacjach Oprogramowania oraz podatnościach publikowane są na Stronie Internetowej.
  2. Producent może dodatkowo przekazywać komunikaty bezpieczeństwa drogą elektroniczną, w szczególności do Kupujących, dystrybutorów, integratorów lub podmiotów, które zgłosiły chęć otrzymywania takich informacji.
  3. Udostępnienie poprawki bezpieczeństwa na Stronie Internetowej uznaje się za oficjalne udostępnienie aktualizacji przez Producenta.
  4. Producent nie odpowiada za skutki braku instalacji poprawki bezpieczeństwa, jeżeli została ona prawidłowo udostępniona i zakomunikowana zgodnie z niniejszą Polityką Bezpieczeństwa.

§9 | Postanowienia końcowe

  1. W sprawach nieuregulowanych niniejszą Polityką Bezpieczeństwa zastosowanie mają Ogólne Warunki Handlowe Producenta, Polityka Prywatności oraz powszechnie obowiązujące przepisy prawa polskiego i prawa Unii Europejskiej.
  2. Niniejsza Polityka Bezpieczeństwa może być aktualizowana przez Producenta w celu zachowania zgodności z obowiązującymi przepisami prawa, normami, wymaganiami technicznymi, zmianami Produktów lub zmianami procesu zarządzania bezpieczeństwem.
  3. Zaktualizowana wersja Polityki Bezpieczeństwa wchodzi w życie z dniem jej publikacji na Stronie Internetowej, chyba że Producent wskaże późniejszy termin.
  4. Wszelkie spory wynikające z interpretacji lub stosowania niniejszej Polityki Bezpieczeństwa rozstrzygane będą przez sąd właściwy dla siedziby Producenta.