Powrót do strony głównej

Regulamin Świadczenia Usług

Regulamin świadczenia usług drogą elektroniczną (SaaS) – Lureless

Data ostatniej aktualizacji: 15 grudnia 2025

§1. Postanowienia Ogólne i Definicje

Niniejszy Regulamin określa zasady korzystania z platformy Lureless, służącej do przeprowadzania symulowanych kampanii phishingowych, testów ransomware oraz edukacji pracowników w zakresie cyberbezpieczeństwa.

Właścicielem i operatorem platformy jest: [PEŁNA NAZWA SPÓŁKI/DZIAŁALNOŚCI] z siedzibą w [MIASTO], przy ul. [ADRES], wpisana do rejestru przedsiębiorców pod numerem NIP: [NIP], REGON: [REGON], zwana dalej „Operatorem" lub „Lureless".

Definicje:

  • Klient: Podmiot gospodarczy (B2B), który zakłada Konto w celu korzystania z Usług do celów związanych z testowaniem bezpieczeństwa własnej organizacji.
  • Platforma: System informatyczny Lureless dostępny pod domeną lureless.com, w tym panel administracyjny (/admin), moduły edukacyjne i API.
  • Autoryzowany Cel: Wyłączne wykorzystanie Platformy do podnoszenia świadomości cyberbezpieczeństwa (Security Awareness) oraz testowania odporności systemów i personelu, wobec których Klient posiada pełne uprawnienia zarządcze.
  • Pracownik (Cel): Osoba fizyczna zatrudniona lub współpracująca z Klientem, której dane (w szczególności adres e-mail) są wprowadzane do Platformy w celu przeprowadzenia Symulacji.
  • Symulacja: Generowany przez Platformę test (np. e-mail phishingowy, symulacja ransomware), mający na celu weryfikację zachowania Pracownika.

§2. Wymagania Techniczne i Dostęp

Do korzystania z Platformy niezbędne jest:

  • Komputer z dostępem do Internetu.
  • Przeglądarka internetowa obsługująca HTML5, CSS3 i JavaScript.
  • Skonfigurowanie własnych serwerów pocztowych (whitelist) w celu dopuszczenia wiadomości symulacyjnych z domen technicznych Lureless.

Operator zastrzega sobie prawo do weryfikacji tożsamości Klienta oraz własności domen (np. poprzez rekordy DNS lub pliki weryfikacyjne), zanim funkcja wysyłania kampanii zostanie odblokowana.

§3. Oświadczenia Klienta i Legalność Działań

Zakaz nieautoryzowanych testów: Klient oświadcza pod rygorem odpowiedzialności karnej i cywilnej, że posiada pełne prawo do testowania adresów e-mail oraz systemów informatycznych wprowadzonych do Platformy.

Klient oświadcza, że:

  • Jest administratorem danych osobowych Pracowników lub posiada stosowne upoważnienia.
  • Poinformował Pracowników (np. w regulaminie pracy lub polityce bezpieczeństwa) o możliwości prowadzenia monitoringu służbowej poczty elektronicznej i testów bezpieczeństwa.

Zabrania się:

  • Używania Platformy do wysyłania spamu, nękania, oszustw lub jakichkolwiek działań niezgodnych z prawem.
  • Wprowadzania do systemu adresów e-mail osób trzecich, które nie są powiązane z organizacją Klienta.
  • Testowania systemów rządowych, infrastruktury krytycznej lub podmiotów trzecich bez ich wyraźnej, pisemnej zgody.

Lureless zastrzega sobie prawo do natychmiastowego zablokowania Konta (Kill Switch) bez zwrotu środków w przypadku wykrycia podejrzanej aktywności lub naruszenia niniejszego paragrafu.

§4. Funkcjonalność i Zakres Usług

Platforma umożliwia:

  • Tworzenie i harmonogramowanie kampanii phishingowych (moduł Campaigns).
  • Zarządzanie bazą pracowników i ich segmentację (moduł Employees).
  • Automatyzację testów (moduł Autopilot).
  • Generowanie raportów podatności organizacji.
  • Kierowanie użytkowników na strony edukacyjne (Landing Pages) w przypadku "złowienia" (moduł Education).

Symulacja danych wrażliwych: Platforma może symulować strony logowania (np. Microsoft 365, Google). Operator oświadcza, że nie przechowuje haseł wprowadzanych przez Pracowników na fałszywych stronach logowania. System odnotowuje jedynie fakt wprowadzenia danych (zdarzenie "Submitted Data").

W przypadku funkcji zrzutów ekranu (capture_screenshots), są one przetwarzane wyłącznie w celach dowodowych dla Klienta i są automatycznie usuwane zgodnie z polityką retencji danych.

§5. Płatności i Subskrypcja

  • Usługi świadczone są w modelu subskrypcyjnym (SaaS).
  • Obsługę płatności realizuje zewnętrzny operator (Stripe). Klient wyraża zgodę na cykliczne obciążanie podpiętej karty płatniczej.
  • Faktury VAT są wystawiane automatycznie i przesyłane drogą elektroniczną na adres administratora Konta.
  • W przypadku braku płatności, Operator ma prawo zawiesić dostęp do funkcji wysyłania kampanii oraz dostępu do historycznych raportów.
  • Klient może zrezygnować z subskrypcji w dowolnym momencie. Rezygnacja skutkuje wygaśnięciem dostępu po zakończeniu opłaconego okresu rozliczeniowego. Nie są dokonywane zwroty za niewykorzystany czas subskrypcji.

§6. Ochrona Danych Osobowych (RODO)

  • W rozumieniu RODO, w odniesieniu do danych Pracowników (Cele symulacji), Klient jest Administratorem Danych, a Operator jest Podmiotem Przetwarzającym (Procesorem).
  • Zawarcie niniejszej umowy jest równoznaczne z zawarciem Umowy Powierzenia Przetwarzania Danych Osobowych (DPA) w zakresie niezbędnym do realizacji usługi (przechowywanie adresów e-mail, imion, nazwisk, wyników testów).
  • Operator zobowiązuje się do stosowania odpowiednich środków technicznych (szyfrowanie bazy danych, bezpieczne połączenia SSL) w celu ochrony powierzonych danych.
  • Dane są przechowywane na serwerach zlokalizowanych w Europejskim Obszarze Gospodarczym (EOG).

§7. Odpowiedzialność i Gwarancja

Wyłączenie odpowiedzialności (Indemnity): Klient zobowiązuje się do przejęcia pełnej odpowiedzialności za wszelkie roszczenia osób trzecich (w tym Pracowników) skierowane do Operatora, a wynikające z przeprowadzenia Symulacji (np. roszczenia o naruszenie dóbr osobistych, stres, utratę danych w wyniku paniki użytkownika).

Operator nie ponosi odpowiedzialności za:

  • Zablokowanie domen Lureless przez zewnętrzne filtry antyspamowe (np. Google, Outlook), choć dokłada starań, by utrzymywać wysoką reputację domen.
  • Szkody wynikłe z niewłaściwej konfiguracji białych list (whitelisting) w infrastrukturze Klienta.
  • Działania systemów "Safe Links" lub "Link Preview", które mogą automatycznie "klikać" w linki symulacyjne, zafałszowując statystyki.

Całkowita odpowiedzialność odszkodowawcza Operatora względem Klienta z jakiegokolwiek tytułu ograniczona jest do kwoty trzykrotności ostatniej miesięcznej opłaty abonamentowej wniesionej przez Klienta.

§8. Własność Intelektualna

  • Wszelkie prawa autorskie do Platformy, kodu źródłowego, szablonów wiadomości e-mail oraz materiałów edukacyjnych należą do Operatora.
  • Klient otrzymuje niewyłączną, odwoływalną licencję na korzystanie z materiałów edukacyjnych wyłącznie wewnątrz własnej organizacji na czas trwania aktywnej subskrypcji.
  • Zabrania się kopiowania, dekompilacji lub odsprzedaży rozwiązań Lureless.

§9. Postępowanie Reklamacyjne

  • Reklamacje dotyczące działania Platformy należy zgłaszać na adres: support@lureless.com
  • Zgłoszenie powinno zawierać opis błędu, czas wystąpienia oraz (jeśli to możliwe) zrzut ekranu lub logi.
  • Operator rozpatrzy reklamację w terminie 14 dni roboczych.

§10. Postanowienia Końcowe

  • Operator zastrzega sobie prawo do zmiany Regulaminu. O istotnych zmianach Klienci zostaną powiadomieni z wyprzedzeniem 14 dni.
  • W sprawach nieuregulowanych zastosowanie mają przepisy prawa polskiego, w szczególności Kodeksu Cywilnego.
  • Wszelkie spory będą rozstrzygane przez sąd właściwy dla siedziby Operatora (klauzula prorogacyjna).
  • Regulamin wchodzi w życie z dniem publikacji.