Środki techniczne i organizacyjne

Vtiger - Środki techniczne i organizacyjne (TOM)

Niniejszy dokument uzupełnia załącznik II: Środki techniczne i organizacyjne załącznika dotyczącego przetwarzania danych (DPA) między Vtiger a Klientem zgodnie z art. 28 (Przetwarzający) RODO (ogólne rozporządzenie UE o ochronie danych).

Vtiger wdraża środki techniczne i organizacyjne zgodnie z art. 32 (Bezpieczeństwo przetwarzania) RODO. Środki te są stale udoskonalane zgodnie z wykonalnością i najnowszą technologią, w tym aktywnym certyfikatem ISO 27001 w celu zwiększenia bezpieczeństwa i ochrony.

W Vtiger zobowiązujemy się do utrzymywania i egzekwowania różnych zasad, standardów i procesów w celu zabezpieczenia danych osobowych i innych danych, do których mają dostęp nasi pracownicy. Nasze zaangażowanie w ochronę danych obejmuje posiadanie wyspecjalizowanego zespołu ds. prywatności i bezpieczeństwa, zapewnianie ochrony danych podmiotom zewnętrznym, zapewnianie spójnej ochrony w całej organizacji, ścisłą kontrolę nad podwykonawcami oraz przeprowadzanie regularnych audytów i certyfikacji. Okresowo aktualizujemy te środki, aby zapewnić ich zgodność ze standardami branżowymi.

Poniższy opis środków technicznych i organizacyjnych będzie zróżnicowany, w stosownych przypadkach, w zależności od tych kategorii danych.

1. Poufność

1.1 Kontrola dostępu fizycznego

Stosowane są środki uniemożliwiające osobom nieuprawnionym dostęp do systemów przetwarzania danych wykorzystywanych do przetwarzania danych osobowych.

Środki techniczne
  • Zamknięty budynek i biuro
  • Dostęp biometryczny
  • Ręczny system blokowania
  • Drzwi z systemem automatycznego zamykania
  • Personel ochrony
  • Nadzór wideo wejścia
  • Brak serwerów produkcyjnych na miejscu
Środki organizacyjne
  • Lista kontrolna kluczowych przepisów
  • Przyjęcie z pracownikami ochrony
  • Księga gości
  • Odznaka pracownika/gościa
  • Gość w towarzystwie pracownika
  • Polityka bezpieczeństwa informacji
  • Instrukcje pracy Kontrola dostępu

Chociaż Vtiger priorytetowo traktuje bezpieczeństwo danych, ważne jest, aby uwzględnić model wspólnej odpowiedzialności w przetwarzaniu w chmurze. Vtiger korzysta z dostawców usług w chmurze (CSP), takich jak AWS, DigitalOcean i OV, aby zapewnić zasoby w chmurze. Ci dostawcy CSP zabezpieczają podstawową infrastrukturę i utrzymują solidne kontrole bezpieczeństwa. Więcej szczegółów na temat sposobu sprawdzenia zabezpieczeń dostawcy usług internetowych tutaj.

1.2 Logiczna kontrola dostępu

Stosowane są środki bezpieczeństwa zapobiegające nieuprawnionemu dostępowi do systemów przetwarzania danych.

Środki techniczne
  • Zaloguj się przy użyciu nazwy użytkownika i silnego hasła
  • zapora
  • Systemy wykrywania włamań
  • Użyj VPN do zdalnego dostępu
  • Szyfrowanie dysków, urządzeń/laptopów/tabletów
  • Uwierzytelnianie dwuskładnikowe
  • Automatyczna blokada komputera stacjonarnego/laptopa
  • Oprogramowanie antywirusowe zainstalowane na urządzeniach i serwerach
  • Dostęp jest monitorowany i rejestrowany
  • Automatyczna blokada konta w przypadku nieudanego logowania/uwierzytelnienia
  • Wszystkie działania związane z użytkowaniem i zmiany danych są rejestrowane
Środki organizacyjne
  • Zarządzanie uprawnieniami użytkowników, w tym autoryzacja oparta na rolach
  • Tworzenie profili specyficznych dla użytkownika
  • Polityka bezpieczeństwa informacji
  • Polityka haseł
  • Zasady dotyczące urządzeń mobilnych
  • Instrukcje pracy: SOP bezpieczeństwa IT i kontrola dostępu pracowników
  • Kontrola pracowników
  • Szkolenie i świadomość
  • Zasada de minimis

Dostęp pracowników Vtiger i kontrola klienta

Pracownicy Vtiger mogą uzyskać dostęp do produktów Vtiger i danych klientów tylko za pośrednictwem bezpiecznych interfejsów. Dostęp ten jest przyznawany wyłącznie wtedy, gdy klienci wyraźnie włączą go w swoich ustawieniach. Żądania pełnego dostępu są skrupulatnie rejestrowane na potrzeby audytu.

Vtiger ogranicza dostęp pracowników do określonego personelu w zależności od potrzeb, zapewniając, że tylko upoważnione osoby mogą przeglądać dane klientów z uzasadnionych powodów. Dostęp do aplikacji klienta możliwy jest dla:

1.3 Kontrola autoryzacji

Stosowane są środki zapewniające dostęp do systemu przetwarzania danych wyłącznie upoważnionym osobom. Dane osobowe nie mogą być odczytywane, kopiowane, modyfikowane ani usuwane bez odpowiedniego upoważnienia podczas przetwarzania, wykorzystania i przechowywania.

Środki techniczne
  • Fizyczne usunięcie nośnika/urządzeń danych
  • Dostęp szyfrowany SSH
  • Certyfikowane szyfrowanie SSL
  • Niszcz pliki i dokumenty, które nie są już używane
  • Automatyczne usuwanie kopii zapasowych z archiwum po upływie okresu przechowywania lub na żądanie klienta
  • Rejestrowanie dostępów do aplikacji, w szczególności podczas wprowadzania, zmiany i usuwania danych
Środki organizacyjne
  • Polityka bezpieczeństwa informacji
  • Zminimalizuj role administratorów
  • Zarządzanie uprawnieniami użytkowników przez administratorów
  • Instrukcje pracy dotyczące postępowania z informacjami i aktywami

1.4 Kontrola separacji

Wdraża się środki mające na celu rygorystyczne praktyki segregacji danych, aby zapewnić, że dane gromadzone do różnych celów pozostają izolowane. Obejmuje to separację logiczną, w przypadku której dane są kategoryzowane i przechowywane w odrębnych sekcjach systemu, oraz potencjalnie separację fizyczną, w przypadku której dane są przechowywane na zupełnie innym sprzęcie.

Środki techniczne
  • Separacja fizyczna (systemy/bazy danych/nośniki danych)
  • Wielodostępność odpowiednich aplikacji
  • Aplikacja kliencka i dane są logicznie oddzielone
  • Etapowanie środowiska deweloperskiego, testowego i produkcyjnego
Środki organizacyjne
  • Polityka bezpieczeństwa informacji
  • Polityka ochrony danych
  • Sterowanie poprzez koncepcję autoryzacji
  • Instrukcja pracy z zakresu: Bezpieczeństwa operacyjnego oraz Bezpieczeństwa w tworzeniu i testowaniu oprogramowania

1.5 Kontrola szyfrowania

Wdrażane są środki mające na celu ochronę danych podczas transportu i przechowywania, przy użyciu zaawansowanej metodologii.

Środki techniczne

Szyfrowanie danych w transporcie (w ruchu)

  • Zaimplementowano protokoły Transport Layer Security (TLS 1.2 i nowsze) oraz Secure Sockets Layer (SSL) dla całej transmisji danych.
  • Protokoły te szyfrują dane przesyłane między systemami, czyniąc je nieczytelnymi dla każdego, kto je przechwyci.

Szyfrowanie danych w stanie spoczynku (przechowywane)

  • Dyski magazynujące: szyfrowane przy użyciu szyfrowania na poziomie dysku
  • Wrażliwe dane: szyfrowane za pomocą AES-256 (256-bitowy zaawansowany standard szyfrowania)
  • Zarządzanie kluczami: Usługa zarządzania kluczami AWS (KMS)
  • Kopie zapasowe: szyfrowane za pomocą AES-256 w AWS S3
  • Maskowanie danych: szczegóły specyficzne dla klienta są zaciemniane.
Środki organizacyjne
  • Rotacja kluczy: Regularna rotacja kluczy szyfrujących używanych do danych i kopii zapasowych w celu zminimalizowania ryzyka związanego ze złamaniem klucza.
  • Kontrola dostępu: Ogranicz dostęp do kluczy szyfrujących do ograniczonej liczby upoważnionych pracowników, stosując ścisłą zasadę niezbędnej wiedzy.
  • Audyt: prowadź szczegółowe dzienniki użycia kluczy, aby monitorować dostęp i identyfikować wszelkie potencjalne anomalie.

2. Uczciwość

2.1 Kontrola transferu

Wprowadzono środki zapobiegające nieupoważnionemu dostępowi do danych osobowych podczas transmisji elektronicznej lub przechowywania na urządzeniach do przechowywania danych, zapewniające, że nie można ich odczytać, skopiować, zmienić ani usunąć.

Środki techniczne
  • Korzystanie z VPN
  • Rejestrowanie dostępów i pobrań
  • Udostępnianie poprzez szyfrowane połączenia, takie jak SFTP, HTTPS i bezpieczne sklepy w chmurze
Środki organizacyjne
  • Badanie regularnych procesów wyszukiwania i przesyłania
  • Staranny dobór personelu transportowego i pojazdów
  • Odbiór osobisty z protokołem
  • Polityka bezpieczeństwa informacji
  • Polityka ochrony danych

2.2 Kontrola wejścia

Istnieją środki umożliwiające weryfikację i kontrolę tego, kto wprowadził, zmodyfikował lub usunął dane osobowe z systemów przetwarzania danych. Rejestrowanie kontroluje dane wejściowe na różnych poziomach, takich jak system operacyjny, sieć, zapora sieciowa, baza danych i aplikacja.

Środki techniczne
  • Techniczne rejestrowanie wprowadzania, modyfikacji i usuwania danych
  • Ręczna lub automatyczna kontrola kłód (zgodnie ze ścisłymi specyfikacjami wewnętrznymi)
Środki organizacyjne
  • Przegląd programów, za pomocą których można wprowadzać, zmieniać lub usuwać dane
  • Możliwość śledzenia wprowadzania, modyfikacji i usuwania danych na podstawie indywidualnych nazw użytkowników
  • Nadanie uprawnień do wprowadzania, zmiany i usuwania danych w oparciu o koncepcję autoryzacji
  • Jasna odpowiedzialność za usunięcie
  • Polityka bezpieczeństwa informacji

3. Dostępność i odporność

3.1 Kontrola dostępności

Stosowane są środki ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą (np. UPS, klimatyzacja, ochrona przeciwpożarowa, kopie zapasowe danych, bezpieczne przechowywanie nośników danych).

Środki techniczne
  • Minimum 99.9% czasu sprawności (z wyłączeniem konserwacji zaplanowanej na weekendowe wieczory).
  • Ciągła dostępność danych
  • Systemy wykrywania pożaru i dymu
  • Serwerownia gaśnicy
  • Serwerownia monitoruje temperaturę i wilgotność
  • Klimatyzacja serwerowni
  • System UPS i awaryjne generatory diesla
  • Ochronne listwy gniazdowe w serwerowni
  • System RAID / dublowanie dysku twardego
  • Serwerownia monitoringu wideo
Środki organizacyjne
  • Koncepcja kopii zapasowej
  • Istnienie planu awaryjnego
  • Magazyn kopii zapasowych poza siedzibą firmy
  • W razie potrzeby oddzielenie partycji systemu operacyjnego i danych

3.2 Kontrola możliwości odzyskania

Istnieją środki umożliwiające szybkie przywrócenie dostępu do danych osobowych w przypadku incydentu fizycznego lub technicznego.

Środki techniczne
  • Monitorowanie i raportowanie kopii zapasowych
  • Możliwość przywracania za pomocą narzędzi do automatyzacji
  • Koncepcja tworzenia kopii zapasowych zgodna z krytycznością i specyfikacjami klienta
Środki organizacyjne
  • Plan odtwarzania po awarii
  • Kontrola procesu tworzenia kopii zapasowych
  • Regularne testowanie odzyskiwania danych i rejestrowanie wyników
  • Przechowuj nośniki kopii zapasowych w bezpiecznym miejscu poza serwerownią
  • Istnienie planu awaryjnego

4. Procedury regularnych przeglądów, ocen i ewaluacji

4.1 Zarządzanie ochroną danych (DPM)

Zarządzanie ochroną danych (DPM) obejmuje kompleksową strategię i zestaw praktyk w zakresie zabezpieczania, zarządzania i zabezpieczania wrażliwych informacji przez cały cykl ich życia. Obejmuje to kontrolę dostępu, zapobieganie nieuprawnionemu użyciu i zapewnienie odzyskiwania danych w przypadku incydentów.

Środki techniczne
  • Centralna dokumentacja wszystkich przepisów o ochronie danych z dostępem dla pracowników
  • Certyfikat bezpieczeństwa zgodny z normą ISO 27001
  • Co najmniej raz w roku przeprowadza się przegląd skuteczności TOM, a TOM są aktualizowane
Środki organizacyjne
  • Powołany zostaje Inspektor Ochrony Danych (IOD).
  • Wszyscy pracownicy zostali przeszkoleni i są zobowiązani do zachowania poufności i tajemnicy danych. Przynajmniej raz w roku przechodzą regularne szkolenia uświadamiające.
  • Oceny skutków dla ochrony danych (DPIA) przeprowadza się w razie potrzeby.
  • W celu wywiązania się z obowiązków informacyjnych zgodnie z art. 13 i 14 RODO zostały ustanowione procesy.
  • Istnieje sformalizowany proces rozpatrywania wniosków o informacje od osób, których dane dotyczą.
  • Aspekty ochrony danych są zintegrowane z naszym zarządzaniem ryzykiem korporacyjnym.
  • Kluczowe części firmy, w tym działalność centrów danych, posiadają certyfikat ISO 27001 i przeprowadzane są coroczne audyty monitorujące.

4.2 Zarządzanie reagowaniem na incydenty

Istnieją środki wspierające reakcję na naruszenia bezpieczeństwa i proces naruszenia danych.

Środki techniczne
  • Korzystanie z zapory ogniowej i regularne aktualizacje
  • Korzystanie z filtra spamu i regularne aktualizacje
  • Korzystanie ze skanera antywirusowego i regularne aktualizacje
  • System wykrywania włamań (IDS) dla systemów klienta na zamówienie
  • System zapobiegania włamaniom (IPS) dla systemów klienta na zamówienie
Środki organizacyjne
  • Udokumentowany proces identyfikacji i raportowania incydentów bezpieczeństwa i naruszeń danych, obejmujący obowiązki zgłaszania organom nadzorczym
  • Standardowa procedura postępowania w przypadku incydentów bezpieczeństwa z udziałem Inspektora Ochrony Danych (IOD)
  • Dokumentowanie incydentów bezpieczeństwa i naruszeń danych za pomocą wewnętrznego systemu zgłoszeń
  • Standardowy proces monitorowania incydentów bezpieczeństwa i naruszeń danych
  • Polityka powiadamiania o naruszeniach

4.3 Ochrona danych już w fazie projektowania i domyślna

Istnieją środki zapewniające zgodność z zasadami ochrony danych już w fazie projektowania i domyślnej ochrony danych zgodnie z art. 25 RODO.

Środki techniczne
  • Zatwierdzanie aplikacji innych firm: w przypadku wszystkich aplikacji innych firm wykorzystywanych w fazie rozwoju wymagana jest zgoda kierowników zespołów i menedżerów operacyjnych IT.
  • Bezpieczne źródło pobierania: zezwalaj na pobieranie narzędzi programistycznych wyłącznie z bezpiecznych źródeł, takich jak serwery producentów.
  • Pojedyncze logowanie (SSO): W miarę możliwości zaimplementuj funkcję SSO, aby aplikacje innych firm mogły centralnie zarządzać dostępem.
  • Wyłączanie mniej bezpiecznych aplikacji: domyślnie wyłączaj mniej bezpieczne aplikacje innych firm w konfiguracjach administratora.
Środki organizacyjne
  • Projekt uwzględniający prywatność: zachęcaj do opracowywania produktów, które minimalizują ilość danych, które użytkownicy muszą wprowadzić. Unikaj niepotrzebnych pól danych lub uczyń je opcjonalnymi.
  • Domyślne ustawienia prywatności: wybierz domyślnie ustawienia przyjazne prywatności, aby nadać priorytet ochronie danych użytkownika.
  • PbD: Polityka ochrony danych (zawiera zasady „prywatność w fazie projektowania / domyślnie”)

4.4 Kontrola zamówień (outsourcing, podwykonawcy i realizacja zamówień)

Stosowane są środki zapewniające, że dane osobowe przetwarzane w imieniu klienta są przetwarzane wyłącznie zgodnie z instrukcjami klienta.

Środki techniczne
  • Monitorowanie zdalnego dostępu podmiotów zewnętrznych, np. w kontekście zdalnego wsparcia
  • Odpowiedni monitoring podwykonawców.
Środki organizacyjne
  • Przetwarzaj dane zgodnie z instrukcjami klienta
  • Twórz instrukcje pracy dotyczące zarządzania dostawcami i oceny dostawców
  • Przestrzegaj przepisów dotyczących korzystania z dodatkowych podwykonawców
  • Starannie dobieraj podwykonawców przetwarzania, koncentrując się przede wszystkim na ochronie i bezpieczeństwie danych
  • Zawrzyj niezbędne umowy dotyczące przetwarzania danych, takie jak zlecone przetwarzanie lub standardowe klauzule umowne UE
  • Dbaj o to, aby pracownicy kontrahenta zachowywali tajemnicę danych i przestrzegali Polityki Bezpieczeństwa Informacji
  • Pamiętaj o zniszczeniu danych po rozwiązaniu umowy.