Niniejszy dokument uzupełnia załącznik II: Środki techniczne i organizacyjne załącznika dotyczącego przetwarzania danych (DPA) między Vtiger a Klientem zgodnie z art. 28 (Przetwarzający) RODO (ogólne rozporządzenie UE o ochronie danych).
Vtiger wdraża środki techniczne i organizacyjne zgodnie z art. 32 (Bezpieczeństwo przetwarzania) RODO. Środki te są stale udoskonalane zgodnie z wykonalnością i najnowszą technologią, w tym aktywnym certyfikatem ISO 27001 w celu zwiększenia bezpieczeństwa i ochrony.
W Vtiger zobowiązujemy się do utrzymywania i egzekwowania różnych zasad, standardów i procesów w celu zabezpieczenia danych osobowych i innych danych, do których mają dostęp nasi pracownicy. Nasze zaangażowanie w ochronę danych obejmuje posiadanie wyspecjalizowanego zespołu ds. prywatności i bezpieczeństwa, zapewnianie ochrony danych podmiotom zewnętrznym, zapewnianie spójnej ochrony w całej organizacji, ścisłą kontrolę nad podwykonawcami oraz przeprowadzanie regularnych audytów i certyfikacji. Okresowo aktualizujemy te środki, aby zapewnić ich zgodność ze standardami branżowymi.
Poniższy opis środków technicznych i organizacyjnych będzie zróżnicowany, w stosownych przypadkach, w zależności od tych kategorii danych.
1. Poufność
1.1 Kontrola dostępu fizycznego
Stosowane są środki uniemożliwiające osobom nieuprawnionym dostęp do systemów przetwarzania danych wykorzystywanych do przetwarzania danych osobowych.
Środki techniczne
Zamknięty budynek i biuro
Dostęp biometryczny
Ręczny system blokowania
Drzwi z systemem automatycznego zamykania
Personel ochrony
Nadzór wideo wejścia
Brak serwerów produkcyjnych na miejscu
Środki organizacyjne
Lista kontrolna kluczowych przepisów
Przyjęcie z pracownikami ochrony
Księga gości
Odznaka pracownika/gościa
Gość w towarzystwie pracownika
Polityka bezpieczeństwa informacji
Instrukcje pracy Kontrola dostępu
Chociaż Vtiger priorytetowo traktuje bezpieczeństwo danych, ważne jest, aby uwzględnić model wspólnej odpowiedzialności w przetwarzaniu w chmurze. Vtiger korzysta z dostawców usług w chmurze (CSP), takich jak AWS, DigitalOcean i OV, aby zapewnić zasoby w chmurze. Ci dostawcy CSP zabezpieczają podstawową infrastrukturę i utrzymują solidne kontrole bezpieczeństwa. Więcej szczegółów na temat sposobu sprawdzenia zabezpieczeń dostawcy usług internetowych tutaj.
1.2 Logiczna kontrola dostępu
Stosowane są środki bezpieczeństwa zapobiegające nieuprawnionemu dostępowi do systemów przetwarzania danych.
Środki techniczne
Zaloguj się przy użyciu nazwy użytkownika i silnego hasła
Oprogramowanie antywirusowe zainstalowane na urządzeniach i serwerach
Dostęp jest monitorowany i rejestrowany
Automatyczna blokada konta w przypadku nieudanego logowania/uwierzytelnienia
Wszystkie działania związane z użytkowaniem i zmiany danych są rejestrowane
Środki organizacyjne
Zarządzanie uprawnieniami użytkowników, w tym autoryzacja oparta na rolach
Tworzenie profili specyficznych dla użytkownika
Polityka bezpieczeństwa informacji
Polityka haseł
Zasady dotyczące urządzeń mobilnych
Instrukcje pracy: SOP bezpieczeństwa IT i kontrola dostępu pracowników
Kontrola pracowników
Szkolenie i świadomość
Zasada de minimis
Dostęp pracowników Vtiger i kontrola klienta
Pracownicy Vtiger mogą uzyskać dostęp do produktów Vtiger i danych klientów tylko za pośrednictwem bezpiecznych interfejsów. Dostęp ten jest przyznawany wyłącznie wtedy, gdy klienci wyraźnie włączą go w swoich ustawieniach. Żądania pełnego dostępu są skrupulatnie rejestrowane na potrzeby audytu.
Vtiger ogranicza dostęp pracowników do określonego personelu w zależności od potrzeb, zapewniając, że tylko upoważnione osoby mogą przeglądać dane klientów z uzasadnionych powodów. Dostęp do aplikacji klienta możliwy jest dla:
Zapewnianie obsługi klienta
Rozwiązywanie problemów technicznych występujących u klientów
Identyfikacja i reagowanie na potencjalne zagrożenia bezpieczeństwa
1.3 Kontrola autoryzacji
Stosowane są środki zapewniające dostęp do systemu przetwarzania danych wyłącznie upoważnionym osobom. Dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane ani usuwane bez odpowiedniego upoważnienia podczas przetwarzania, wykorzystania i przechowywania.
Środki techniczne
Fizyczne usunięcie nośnika/urządzeń danych
Dostęp szyfrowany SSH
Certyfikowane szyfrowanie SSL
Niszcz pliki i dokumenty, które nie są już używane
Automatyczne usuwanie kopii zapasowych z archiwum po upływie okresu przechowywania lub na żądanie klienta
Rejestrowanie dostępów do aplikacji, w szczególności podczas wprowadzania, zmiany i usuwania danych
Środki organizacyjne
Polityka bezpieczeństwa informacji
Zminimalizuj role administratorów
Zarządzanie uprawnieniami użytkowników przez administratorów
Instrukcje pracy dotyczące postępowania z informacjami i aktywami
1.4 Kontrola separacji
Wdraża się środki mające na celu rygorystyczne praktyki segregacji danych, aby zapewnić, że dane gromadzone do różnych celów pozostają izolowane. Obejmuje to separację logiczną, w przypadku której dane są kategoryzowane i przechowywane w odrębnych sekcjach systemu, oraz potencjalnie separację fizyczną, w przypadku której dane są przechowywane na zupełnie innym sprzęcie.
Kopie zapasowe: szyfrowane za pomocą AES-256 w AWS S3
Maskowanie danych: szczegóły specyficzne dla klienta są zaciemniane.
Środki organizacyjne
Rotacja kluczy: Regularna rotacja kluczy szyfrujących używanych do danych i kopii zapasowych w celu zminimalizowania ryzyka związanego ze złamaniem klucza.
Kontrola dostępu: Ogranicz dostęp do kluczy szyfrujących do ograniczonej liczby upoważnionych pracowników, stosując ścisłą zasadę niezbędnej wiedzy.
Audyt: prowadź szczegółowe dzienniki użycia kluczy, aby monitorować dostęp i identyfikować wszelkie potencjalne anomalie.
2. Uczciwość
2.1 Kontrola transferu
Wprowadzono środki zapobiegające nieupoważnionemu dostępowi do danych osobowych podczas transmisji elektronicznej lub przechowywania na urządzeniach do przechowywania danych, zapewniające, że nie można ich odczytać, skopiować, zmienić ani usunąć.
Środki techniczne
Korzystanie z VPN
Rejestrowanie dostępów i pobrań
Udostępnianie poprzez szyfrowane połączenia, takie jak SFTP, HTTPS i bezpieczne sklepy w chmurze
Środki organizacyjne
Badanie regularnych procesów wyszukiwania i przesyłania
Staranny dobór personelu transportowego i pojazdów
Odbiór osobisty z protokołem
Polityka bezpieczeństwa informacji
Polityka ochrony danych
2.2 Kontrola wejścia
Istnieją środki umożliwiające weryfikację i kontrolę tego, kto wprowadził, zmodyfikował lub usunął dane osobowe z systemów przetwarzania danych. Rejestrowanie kontroluje dane wejściowe na różnych poziomach, takich jak system operacyjny, sieć, zapora sieciowa, baza danych i aplikacja.
Środki techniczne
Techniczne rejestrowanie wprowadzania, modyfikacji i usuwania danych
Ręczna lub automatyczna kontrola kłód (zgodnie ze ścisłymi specyfikacjami wewnętrznymi)
Środki organizacyjne
Przegląd programów, za pomocą których można wprowadzać, zmieniać lub usuwać dane
Możliwość śledzenia wprowadzania, modyfikacji i usuwania danych na podstawie indywidualnych nazw użytkowników
Nadanie uprawnień do wprowadzania, zmiany i usuwania danych w oparciu o koncepcję autoryzacji
Jasna odpowiedzialność za usunięcie
Polityka bezpieczeństwa informacji
3. Dostępność i odporność
3.1 Kontrola dostępności
Stosowane są środki ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą (np. UPS, klimatyzacja, ochrona przeciwpożarowa, kopie zapasowe danych, bezpieczne przechowywanie nośników danych).
Środki techniczne
Minimum 99.9% czasu sprawności (z wyłączeniem konserwacji zaplanowanej na weekendowe wieczory).
Ciągła dostępność danych
Systemy wykrywania pożaru i dymu
Serwerownia gaśnicy
Serwerownia monitoruje temperaturę i wilgotność
Klimatyzacja serwerowni
System UPS i awaryjne generatory diesla
Ochronne listwy gniazdowe w serwerowni
System RAID / dublowanie dysku twardego
Serwerownia monitoringu wideo
Środki organizacyjne
Koncepcja kopii zapasowej
Istnienie planu awaryjnego
Magazyn kopii zapasowych poza siedzibą firmy
W razie potrzeby oddzielenie partycji systemu operacyjnego i danych
3.2 Kontrola możliwości odzyskania
Istnieją środki umożliwiające szybkie przywrócenie dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego.
Środki techniczne
Monitorowanie i raportowanie kopii zapasowych
Możliwość przywracania za pomocą narzędzi do automatyzacji
Koncepcja tworzenia kopii zapasowych zgodna z krytycznością i specyfikacjami klienta
Środki organizacyjne
Plan odtwarzania po awarii
Kontrola procesu tworzenia kopii zapasowych
Regularne testowanie odzyskiwania danych i rejestrowanie wyników
Przechowuj nośniki kopii zapasowych w bezpiecznym miejscu poza serwerownią
Istnienie planu awaryjnego
4. Procedury regularnych przeglądów, ocen i ewaluacji
4.1 Zarządzanie ochroną danych (DPM)
Zarządzanie ochroną danych (DPM) obejmuje kompleksową strategię i zestaw praktyk w zakresie zabezpieczania, zarządzania i zabezpieczania wrażliwych informacji przez cały cykl ich życia. Obejmuje to kontrolę dostępu, zapobieganie nieuprawnionemu użyciu i zapewnienie odzyskiwania danych w przypadku incydentów.
Środki techniczne
Centralna dokumentacja wszystkich przepisów o ochronie danych z dostępem dla pracowników
Certyfikat bezpieczeństwa zgodny z normą ISO 27001
Co najmniej raz w roku przeprowadza się przegląd skuteczności TOM, a TOM są aktualizowane
Środki organizacyjne
Powołany zostaje Inspektor Ochrony Danych (IOD).
Wszyscy pracownicy zostali przeszkoleni i są zobowiązani do zachowania poufności i tajemnicy danych. Przynajmniej raz w roku przechodzą regularne szkolenia uświadamiające.
Oceny skutków dla ochrony danych (DPIA) przeprowadza się w razie potrzeby.
W celu wywiązania się z obowiązków informacyjnych zgodnie z art. 13 i 14 RODO zostały ustanowione procesy.
Istnieje sformalizowany proces rozpatrywania wniosków o informacje od osób, których dane dotyczą.
Aspekty ochrony danych są zintegrowane z naszym zarządzaniem ryzykiem korporacyjnym.
Kluczowe części firmy, w tym działalność centrów danych, posiadają certyfikat ISO 27001 i przeprowadzane są coroczne audyty monitorujące.
4.2 Zarządzanie reagowaniem na incydenty
Istnieją środki wspierające reakcję na naruszenia bezpieczeństwa i proces naruszenia danych.
Środki techniczne
Korzystanie z zapory ogniowej i regularne aktualizacje
Korzystanie z filtra spamu i regularne aktualizacje
Korzystanie ze skanera antywirusowego i regularne aktualizacje
System wykrywania włamań (IDS) dla systemów klienta na zamówienie
System zapobiegania włamaniom (IPS) dla systemów klienta na zamówienie
Środki organizacyjne
Udokumentowany proces identyfikacji i raportowania incydentów bezpieczeństwa i naruszeń danych, obejmujący obowiązki zgłaszania organom nadzorczym
Standardowa procedura postępowania w przypadku incydentów bezpieczeństwa z udziałem Inspektora Ochrony Danych (IOD)
Dokumentowanie incydentów bezpieczeństwa i naruszeń danych za pomocą wewnętrznego systemu zgłoszeń
Standardowy proces monitorowania incydentów bezpieczeństwa i naruszeń danych
Polityka powiadamiania o naruszeniach
4.3 Ochrona danych już w fazie projektowania i domyślna
Istnieją środki zapewniające zgodność z zasadami ochrony danych już w fazie projektowania i domyślnej ochrony danych zgodnie z art. 25 RODO.
Środki techniczne
Zatwierdzanie aplikacji innych firm: w przypadku wszystkich aplikacji innych firm wykorzystywanych w fazie rozwoju wymagana jest zgoda kierowników zespołów i menedżerów operacyjnych IT.
Bezpieczne źródło pobierania: zezwalaj na pobieranie narzędzi programistycznych wyłącznie z bezpiecznych źródeł, takich jak serwery producentów.
Pojedyncze logowanie (SSO): W miarę możliwości zaimplementuj funkcję SSO, aby aplikacje innych firm mogły centralnie zarządzać dostępem.
Wyłączanie mniej bezpiecznych aplikacji: domyślnie wyłączaj mniej bezpieczne aplikacje innych firm w konfiguracjach administratora.
Środki organizacyjne
Projekt uwzględniający prywatność: zachęcaj do opracowywania produktów, które minimalizują ilość danych, które użytkownicy muszą wprowadzić. Unikaj niepotrzebnych pól danych lub uczyń je opcjonalnymi.
Domyślne ustawienia prywatności: wybierz domyślnie ustawienia przyjazne prywatności, aby nadać priorytet ochronie danych użytkownika.
PbD: Polityka ochrony danych (zawiera zasady „prywatność w fazie projektowania / domyślnie”)
4.4 Kontrola zamówień (outsourcing, podwykonawcy i realizacja zamówień)
Stosowane są środki zapewniające, że dane osobowe przetwarzane w imieniu klienta są przetwarzane wyłącznie zgodnie z instrukcjami klienta.
Środki techniczne
Monitorowanie zdalnego dostępu podmiotów zewnętrznych, np. w kontekście zdalnego wsparcia
Odpowiedni monitoring podwykonawców.
Środki organizacyjne
Przetwarzaj dane zgodnie z instrukcjami klienta
Twórz instrukcje pracy dotyczące zarządzania dostawcami i oceny dostawców
Przestrzegaj przepisów dotyczących korzystania z dodatkowych podwykonawców
Starannie dobieraj podwykonawców przetwarzania, koncentrując się przede wszystkim na ochronie i bezpieczeństwie danych
Zawrzyj niezbędne umowy dotyczące przetwarzania danych, takie jak zlecone przetwarzanie lub standardowe klauzule umowne UE
Dbaj o to, aby pracownicy kontrahenta zachowywali tajemnicę danych i przestrzegali Polityki Bezpieczeństwa Informacji
Pamiętaj o zniszczeniu danych po rozwiązaniu umowy.