Този документ допълва Приложение II: Технически и организационни мерки на Допълнението за обработка на данни (DPA) между Vtiger и Клиент съгласно член 28 (Обработващ) GDPR (Общ регламент за защита на данните на ЕС).
Vtiger прилага технически и организационни мерки съгласно член 32 (Сигурност на обработката) от GDPR. Тези мерки се подобряват непрекъснато в съответствие с осъществимостта и най-новите технологии, включително активното сертифициране по ISO 27001 за подобряване на сигурността и защитата.
Ние във Vtiger се ангажираме да поддържаме и налагаме различни политики, стандарти и процеси за защита на личните данни и други данни, достъпни от нашите служители. Нашата отдаденост на защитата на данните включва наличието на специализиран екип за поверителност и сигурност, осигуряване на защита на данните за външни страни, осигуряване на последователна защита в цялата организация, строг контрол върху подизпълнителите и провеждане на редовни одити и сертифициране. Ние периодично актуализираме тези мерки, за да сме сигурни, че са приведени в съответствие с индустриалните стандарти.
Следното описание на технически и организационни мерки ще бъде диференцирано, където е приложимо, според тези категории данни.
1. Поверителност
1.1 Физически контрол на достъпа
Въведени са мерки за предотвратяване на достъпа на неоторизирани лица до системи за обработка на данни, използвани за обработка на лични данни.
Технически мерки
Заключена сграда и офис
Биометричен достъп
Система за ръчно заключване
Врати с автоматична система за заключване
Персонал по сигурността
Видеонаблюдение на входа
Няма производствени сървъри на място
Организационни мерки
Контролен списък за ключови разпоредби
Рецепция с охрана
Книга за посетители
Значка за служител/посетител
Посетител, придружен от служител
Политика за сигурност на информацията
Инструкции за работа Контрол на достъпа
Въпреки че Vtiger дава приоритет на сигурността на данните, важно е да се признае моделът на споделена отговорност в облачните изчисления. Vtiger използва доставчици на облачни услуги (CSP) като AWS, DigitalOcean и OV, за да предостави облачни ресурси. Тези CSP осигуряват основната инфраструктура и поддържат стабилен контрол за сигурност. Повече подробности за контролите за сигурност на ISP могат да бъдат намерени тук.
1.2 Логически контрол на достъпа
Предприети са мерки за сигурност за предотвратяване на неоторизиран достъп до системите за обработка на данни.
Технически мерки
Влезте с потребителско име и силна парола
Firewall
Системи за откриване на проникване
Използвайте VPN за отдалечен достъп
Криптиране на дискове, устройства/лаптопи/таблети
Двуфакторна удостоверяване
Автоматично заключване на настолен/лаптоп
Антивирусен софтуер, инсталиран на устройства и сървъри
Достъпът се наблюдава и регистрира
Автоматично блокиране на акаунт при неуспешно влизане/удостоверяване
Всички дейности по използване и промени в данните се регистрират
Организационни мерки
Управление на потребителски разрешения, включително оторизация въз основа на роли
Създаване на потребителски профили
Политика за сигурност на информацията
Политика за пароли
Правила за мобилни устройства
Работни инструкции: SOP за ИТ сигурност и контрол на достъпа на служителите
Проверка на служители
Обучение и осведоменост
Принцип De Minimis
Достъп на служителите на Vtiger и контрол на клиентите
Служителите на Vtiger имат достъп до продуктите на Vtiger и клиентските данни само чрез защитени интерфейси. Този достъп се предоставя само когато клиентите изрично го активират в своите настройки. Заявките за пълен достъп се регистрират щателно за целите на одита.
Vtiger ограничава достъпа на служителите до конкретен персонал при необходимост, като гарантира, че само упълномощени лица могат да преглеждат клиентските данни по законни причини. Клиентското приложение е достъпно за:
Предоставяне на поддръжка на клиенти
Отстраняване на технически проблеми, възникнали от клиентите
Идентифициране и реагиране на потенциални заплахи за сигурността
1.3 Контрол на оторизацията
Взети са мерки, за да се гарантира, че само упълномощени лица имат достъп до системата за обработка на данни. Личните данни не могат да бъдат четени, копирани, модифицирани или премахвани без надлежно разрешение по време на обработка, използване и съхранение.
Технически мерки
Физическо изтриване на носител/устройства
SSH Криптиран достъп
Сертифицирано SSL криптиране
Раздробявайте файлове и документи, които вече не се използват
Автоматично изтриване на резервни копия от архив след периода на съхранение или при поискване от клиента
Регистриране на достъп до приложения, особено при въвеждане, промяна и изтриване на данни
Организационни мерки
Политика за сигурност на информацията
Намалете до минимум ролите на администраторите
Управление на потребителските права от администратори
Работни инструкции за работа с информацията и активите
1.4 Контрол на разделянето
Прилагат се мерки за стриктни практики за разделяне на данни, за да се гарантира, че данните, събрани за различни цели, остават изолирани. Това включва логическо разделяне, при което данните се категоризират и съхраняват в отделни секции в рамките на системата, и потенциално физическо разделяне, при което данните се съхраняват на напълно различен хардуер.
Технически мерки
Физическо разделяне (системи/бази данни/носители на данни)
Мултинаемане на съответните приложения
Клиентското приложение и данните са логически разделени
Постановка на среда за разработка, тестване и производство
Организационни мерки
Политика за сигурност на информацията
Политика за защита на данните
Концепция за управление чрез оторизация
Работна инструкция за: Оперативна сигурност и Сигурност при разработка и тестване на софтуер
1.5 Контрол на криптиране
Внедряват се мерки за защита на данните по време на транзит и в покой чрез използване на усъвършенствана методология.
Технически мерки
Шифроване на данни при пренос (в движение)
Внедрени протоколи за сигурност на транспортния слой (TLS 1.2 и по-нови) и слой със защитени сокети (SSL) за всички предавания на данни.
Тези протоколи криптират данните, докато пътуват между системите, което ги прави нечетими за всеки, който ги прихване.
Шифроване на данни в покой (съхранено)
Дискове за съхранение: Криптирани с криптиране на ниво диск
Чувствителни данни: Криптирани с AES-256 (256-битов усъвършенстван стандарт за криптиране)
Управление на ключове: AWS Key Management Service (KMS)
Резервни копия: Криптирани с AES-256 в AWS S3
Маскиране на данни: Специфичните за клиента детайли са прикрити.
Организационни мерки
Ротация на ключове: Редовна ротация на ключовете за криптиране, използвани за данни и архивиране, за да се минимизира рискът, свързан с компрометиран ключ.
Контрол на достъпа: Ограничете достъпа до ключовете за шифроване до ограничен брой упълномощен персонал със стриктна необходимост да се знае.
Одит: Поддържайте подробни регистрационни файлове за използване на ключове, за да наблюдавате достъпа и да идентифицирате всички потенциални аномалии.
2. Целостност
2.1 Контрол на трансфера
Въведени са мерки за предотвратяване на неоторизиран достъп до лични данни по време на електронно предаване или докато се съхраняват на устройства за съхранение на данни, като се гарантира, че те не могат да бъдат прочетени, копирани, променени или премахнати.
Технически мерки
Използване на VPN
Регистриране на достъпи и извличания
Предоставяне чрез криптирани връзки като SFTP, HTTPS и защитени облачни магазини
Организационни мерки
Проучване на редовните процеси на извличане и предаване
Внимателен подбор на транспортен персонал и превозни средства
Лично предаване с протокол
Политика за сигурност на информацията
Политика за защита на данните
2.2 Контрол на входа
Мерките са в сила за проверка и преглед кой е въвел, променил или премахнал лични данни от системите за обработка на данни. Регистрирането контролира въвеждането на различни нива, като например операционна система, мрежа, защитна стена, база данни и приложение.
Технически мерки
Техническо регистриране на въвеждане, промяна и изтриване на данни
Ръчен или автоматизиран контрол на трупите (според строги вътрешни спецификации)
Организационни мерки
Проучване кои програми могат да се използват за въвеждане, промяна или изтриване на какви данни
Проследяемост на въвеждане, модифициране и изтриване на данни чрез индивидуални потребителски имена
Възлагане на права за въвеждане, промяна и изтриване на данни въз основа на концепция за оторизация
Ясни отговорности за изтривания
Политика за сигурност на информацията
3. Наличност и устойчивост
3.1 Контрол на наличността
Въведени са мерки за защита на личните данни срещу случайно унищожаване или загуба (напр. UPS, климатик, противопожарна защита, архивиране на данни, защитено съхранение на носители на данни).
Технически мерки
Минимум 99.9% време на работа (с изключение на поддръжката, планирана през почивните дни).
Непрекъсната наличност на данни
Системи за откриване на пожар и дим
Сървърна стая за пожарогасители
Следене на температурата и влажността в сървърната стая
Климатик в сървърната стая
UPS система и аварийни дизел генератори
Предпазни лайстни за контакти в сървърното помещение
RAID система / дублиране на твърд диск
Сървърна стая за видеонаблюдение
Организационни мерки
Концепция за архивиране
Наличие на авариен план
Резервно хранилище извън сайта
Разделяне на OS и дялове с данни, ако е необходимо
3.2 Контрол на възстановимостта
Предприети са мерки за бързо възстановяване на достъпа до личните данни в случай на физически или технически инцидент.
Технически мерки
Наблюдение и отчитане на архивиране
Възможност за възстановяване от инструменти за автоматизация
Концепция за архивиране според критичността и спецификациите на клиента
Организационни мерки
План за възстановяване при бедствия
Контрол на процеса на архивиране
Редовно тестване на възстановяването на данни и регистриране на резултатите
Съхранявайте носителя за архивиране на безопасно място извън сървърната стая
Наличие на авариен план
4. Процедури за редовен преглед, оценка и оценка
4.1 Управление на защитата на данните (DPM)
Управлението на защитата на данните (DPM) обхваща цялостна стратегия и набор от практики за осигуряване, управление и защита на чувствителна информация през целия й жизнен цикъл. Това включва контролиране на достъпа, предотвратяване на неразрешено използване и осигуряване на възстановяване на данни в случай на инциденти.
Технически мерки
Централна документация на всички разпоредби за защита на данните с достъп за служители
Сертификация за сигурност по ISO 27001
Преглед на ефективността на TOMs се извършва поне веднъж годишно и TOMs се актуализират
Организационни мерки
Назначава се длъжностно лице по защита на данните (DPO).
Всички членове на персонала са обучени и са задължени да спазват поверителност и тайна на данните. Те получават редовно обучение за информираност поне веднъж годишно.
Оценките на въздействието върху защитата на данните (DPIA) се извършват според изискванията.
Създадени са процеси за спазване на задълженията за информация съгласно членове 13 и 14 от GDPR.
Въведен е формализиран процес за обработка на искания за информация от субекти на данни.
Аспектите на защитата на данните са интегрирани в нашето корпоративно управление на риска.
Ключови части на компанията, включително операциите в центъра за данни, са сертифицирани по ISO 27001 и се провеждат годишни мониторингови одити.
4.2 Управление на реакцията при инциденти
Въведени са мерки за подпомагане на реакцията при нарушаване на сигурността и процеса на нарушаване на данните.
Технически мерки
Използване на защитна стена и редовно актуализиране
Използване на спам филтър и редовно актуализиране
Използване на скенер за вируси и редовно актуализиране
Система за откриване на проникване (IDS) за клиентски системи по поръчка
Система за предотвратяване на проникване (IPS) за клиентски системи по поръчка
Организационни мерки
Документиран процес за идентифициране и докладване на инциденти със сигурността и нарушения на данните, включително задължения за докладване на надзорните органи
Стандартната процедура за обработка на инциденти със сигурността, включващи длъжностното лице по защита на данните (DPO)
Документиране на инциденти със сигурността и пробиви на данни с помощта на вътрешната система за билети
Стандартният процес за проследяване на инциденти със сигурността и пробиви на данни
Политика за уведомяване за нарушения
4.3 Защита на данните по проект и по подразбиране
Въведени са мерки за спазване на принципите за защита на данните при проектирането и по подразбиране съгласно член 25 от GDPR.
Технически мерки
Одобрение на приложения на трети страни: Изисква се одобрение от ръководители на екипи и мениджъри на ИТ операции за всички приложения на трети страни, използвани в разработката.
Сигурен източник за изтегляне: Задължително изтегляне на инструменти за разработка само от безопасни източници като сървъри на производителя.
Единично влизане (SSO): Внедрете SSO, където е възможно, за приложения на трети страни, за да управляват достъпа централно.
Деактивиране на по-малко сигурни приложения: Деактивирайте по подразбиране по-малко сигурни приложения на трети страни чрез администраторски конфигурации.
Организационни мерки
Дизайн, съобразен с поверителността: Насърчавайте разработването на продукти, които минимизират количеството данни, които потребителите трябва да въвеждат. Избягвайте ненужните полета с данни или ги направете незадължителни.
Настройки за поверителност по подразбиране: Предварително изберете настройки за поверителност по подразбиране, за да дадете приоритет на защитата на потребителските данни.
PbD: Политика за защита на данните (включва принципи „поверителност по проект / по подразбиране“)
4.4 Контрол на поръчки (аутсорсинг, подизпълнители и обработка на поръчки)
Въведени са мерки, за да се гарантира, че личните данни, обработвани от името на клиента, се обработват само според инструкциите на клиента.
Технически мерки
Мониторинг на отдалечен достъп от външни лица, например в контекста на отдалечена поддръжка
Съответно наблюдение на подизпълнителите.
Организационни мерки
Обработвайте данните според инструкциите на клиента
Създайте работни инструкции за управление на доставчици и оценка на доставчиците
Спазвайте разпоредбите относно използването на допълнителни подизпълнители
Внимателно изберете подпроцесори, като се фокусирате основно върху защитата и сигурността на данните
Сключете необходимите споразумения за обработка на данни, като обработка по поръчка или стандартни договорни клаузи на ЕС
Уверете се, че служителите на изпълнителя поддържат поверителността на данните и се придържат към Политиката за сигурност на информацията
Не забравяйте да унищожите данните след прекратяване на договора.