Technické a organizačné opatrenia

Vtiger – Technické a organizačné opatrenia (TOM)

Tento dokument dopĺňa prílohu II: Technické a organizačné opatrenia dodatku o spracovaní údajov (DPA) medzi spoločnosťou Vtiger a zákazníkom podľa článku 28 (spracovateľ) GDPR (všeobecné nariadenie EÚ o ochrane údajov).

Vtiger implementuje technické a organizačné opatrenia podľa článku 32 (Bezpečnosť spracovania) GDPR. Tieto opatrenia sa neustále zlepšujú podľa realizovateľnosti a najnovších technológií, vrátane aktívnej certifikácie ISO 27001 na zvýšenie bezpečnosti a ochrany.

V spoločnosti Vtiger sme sa zaviazali udržiavať a presadzovať rôzne zásady, štandardy a procesy na zabezpečenie osobných údajov a iných údajov, ku ktorým majú naši zamestnanci prístup. Naša oddanosť ochrane údajov zahŕňa špecializovaný tím pre súkromie a bezpečnosť, poskytovanie ochrany údajov externým stranám, zabezpečenie konzistentnej ochrany v celej organizácii, prísnu kontrolu nad subdodávateľmi a vykonávanie pravidelných auditov a certifikácií. Tieto opatrenia pravidelne aktualizujeme, aby sme zaistili, že sú v súlade s priemyselnými štandardmi.

Nasledujúci popis technických a organizačných opatrení bude v prípade potreby rozlíšený podľa týchto kategórií údajov.

1. diskrétnosť

1.1 Kontrola fyzického prístupu

Sú zavedené opatrenia, ktoré zabraňujú neoprávneným osobám v prístupe k systémom spracúvania údajov používaných na spracúvanie osobných údajov.

Technické opatrenia
  • Uzamknutá budova a kancelária
  • Biometrický prístup
  • Manuálny uzamykací systém
  • Dvere s automatickým zámkovým systémom
  • Pracovníci bezpečnosti
  • Video dohľad nad vchodom
  • Žiadne produkčné servery na mieste
Organizačné opatrenia
  • Kontrolný zoznam kľúčových regulácií
  • Recepcia s personálom bezpečnostnej stráže
  • Kniha návštev
  • Odznak zamestnanca/návštevníka
  • Návštevník v sprievode zamestnanca
  • Politika informačnej bezpečnosti
  • Pracovné pokyny Kontrola prístupu

Aj keď Vtiger uprednostňuje bezpečnosť údajov, je dôležité uznať model zdieľanej zodpovednosti v cloud computingu. Vtiger využíva na poskytovanie cloudových zdrojov poskytovateľov cloudových služieb (CSP), ako sú AWS, DigitalOcean a OV. Títo CSP zabezpečujú základnú infraštruktúru a udržiavajú robustné bezpečnostné kontroly. Viac podrobností o tom, ako možno nájsť bezpečnostné kontroly ISP tu.

1.2 Logická kontrola prístupu

Sú zavedené bezpečnostné opatrenia, aby sa zabránilo neoprávnenému prístupu k systémom spracovania údajov.

Technické opatrenia
  • Prihláste sa pomocou používateľského mena a silného hesla
  • firewall
  • Systémy detekcie narušenia
  • Na vzdialený prístup použite VPN
  • Šifrovanie diskov, zariadení/laptopov/tabletov
  • Dvojfaktorová autentifikácia
  • Automatický zámok pracovnej plochy/laptopu
  • Antivírusový softvér nainštalovaný na zariadeniach a serveroch
  • Prístup je monitorovaný a protokolovaný
  • Automatické zablokovanie účtu pri neúspešnom prihlásení/overení
  • Všetky aktivity používania a zmeny údajov sa zaznamenávajú
Organizačné opatrenia
  • Správa používateľských povolení vrátane autorizácie na základe rolí
  • Vytváranie užívateľských profilov
  • Politika informačnej bezpečnosti
  • Zásady hesiel
  • Mobile Device Policy
  • Pracovné pokyny: SOP bezpečnosti IT a Kontrola prístupu zamestnancov
  • Vetting zamestnancov
  • Školenie a informovanosť
  • Princíp de minimis

Prístup k zamestnancom Vtiger a kontrola zákazníkov

Zamestnanci spoločnosti Vtiger majú prístup k produktom a údajom zákazníkov spoločnosti Vtiger iba prostredníctvom zabezpečených rozhraní. Tento prístup je udelený iba vtedy, keď ho zákazníci výslovne povolia vo svojich nastaveniach. Žiadosti o neobmedzený prístup sa na účely auditu starostlivo zaznamenávajú.

Spoločnosť Vtiger obmedzuje prístup zamestnancov ku konkrétnemu personálu na základe potreby, čím zaisťuje, že údaje o zákazníkoch môžu z legitímnych dôvodov prezerať iba oprávnené osoby. Zákaznícka aplikácia je prístupná pre:

1.3 Kontrola autorizácie

Sú zavedené opatrenia na zabezpečenie toho, aby do systému spracovania údajov mali prístup len oprávnené osoby. Osobné údaje nie je možné čítať, kopírovať, upravovať alebo odstraňovať bez náležitého povolenia počas spracovania, používania a uchovávania.

Technické opatrenia
  • Fyzické vymazanie dátového nosiča/zariadení
  • SSH Šifrovaný prístup
  • Certifikované šifrovanie SSL
  • Skartujte súbory a papiere, ktoré sa už nepoužívajú
  • Automatické vymazanie záloh z archívu po uplynutí doby uchovávania alebo na žiadosť zákazníka
  • Logovanie prístupov k aplikáciám, konkrétne pri zadávaní, zmene a odstraňovaní údajov
Organizačné opatrenia
  • Politika informačnej bezpečnosti
  • Minimalizujte roly administrátorov
  • Správa používateľských práv administrátormi
  • Pracovné pokyny na zaobchádzanie s informáciami a aktívami

1.4 Kontrola separácie

Zavádzajú sa opatrenia na prísne postupy segregácie údajov, aby sa zabezpečilo, že údaje zozbierané na rôzne účely zostanú izolované. To zahŕňa logické oddelenie, kde sú údaje kategorizované a uložené v rôznych častiach v rámci systému, a potenciálne fyzické oddelenie, kde sú údaje uložené na úplne inom hardvéri.

Technické opatrenia
  • Fyzické oddelenie (systémy/databázy/dátové nosiče)
  • Viacnásobný prenájom relevantných aplikácií
  • Klientska aplikácia a dáta sú logicky oddelené
  • Staging vývojového, testovacieho a produkčného prostredia
Organizačné opatrenia
  • Politika informačnej bezpečnosti
  • Politika ochrany údajov
  • Kontrola prostredníctvom autorizačného konceptu
  • Pracovné pokyny pre: Prevádzkovú bezpečnosť a Bezpečnosť pri vývoji a testovaní softvéru

1.5 Kontrola šifrovania

Zavádzajú sa opatrenia na ochranu údajov počas prenosu a v pokoji pomocou pokročilej metodológie.

Technické opatrenia

Šifrovanie dát pri prenose (v pohybe)

  • Implementované protokoly Transport Layer Security (TLS 1.2 a vyššie) a Secure Sockets Layer (SSL) pre všetky prenosy dát.
  • Tieto protokoly šifrujú dáta, keď sa pohybujú medzi systémami, vďaka čomu sú nečitateľné pre každého, kto ich zachytí.

Šifrovanie údajov v pokoji (uložené)

  • Úložné disky: Šifrované pomocou šifrovania na úrovni disku
  • Citlivé údaje: Šifrované pomocou AES-256 (256-bitový štandard pokročilého šifrovania)
  • Správa kľúčov: Služba správy kľúčov AWS (KMS)
  • Zálohy: Šifrované pomocou AES-256 na AWS S3
  • Maskovanie údajov: Podrobnosti špecifické pre zákazníka sú zahmlené.
Organizačné opatrenia
  • Striedanie kľúčov: Pravidelné striedanie šifrovacích kľúčov používaných pre dáta a zálohy, aby sa minimalizovalo riziko spojené s napadnutým kľúčom.
  • Kontrola prístupu: Obmedzte prístup k šifrovacím kľúčom na obmedzený počet oprávnených pracovníkov s prísnym princípom „potreba vedieť“.
  • Audit: Udržujte podrobné protokoly používania kľúčov na monitorovanie prístupu a identifikáciu akýchkoľvek potenciálnych anomálií.

2. Integrita

2.1 Kontrola prenosu

Sú zavedené opatrenia na zabránenie neoprávnenému prístupu k osobným údajom počas elektronického prenosu alebo počas ich uchovávania na zariadeniach na ukladanie údajov, ktoré zabezpečujú, že ich nemožno čítať, kopírovať, meniť alebo odstraňovať.

Technické opatrenia
  • Používanie VPN
  • Protokolovanie prístupov a vyhľadávaní
  • Poskytovanie prostredníctvom šifrovaných pripojení, ako sú SFTP, HTTPS a zabezpečené cloudové obchody
Organizačné opatrenia
  • Prehľad procesov pravidelného vyhľadávania a prenosu
  • Starostlivý výber dopravného personálu a vozidiel
  • Osobné odovzdanie s protokolom
  • Politika informačnej bezpečnosti
  • Politika ochrany údajov

2.2 Vstupné ovládanie

Opatrenia sú zavedené na overenie a kontrolu toho, kto vložil, upravil alebo odstránil osobné údaje zo systémov spracovania údajov. Protokolovanie riadi vstup na rôznych úrovniach, ako je operačný systém, sieť, firewall, databáza a aplikácia.

Technické opatrenia
  • Technické zaznamenávanie zadávania, úpravy a vymazania údajov
  • Manuálna alebo automatická kontrola protokolov (podľa prísnych interných špecifikácií)
Organizačné opatrenia
  • Prehľad o tom, ktoré programy je možné použiť na zadávanie, zmenu alebo vymazanie ktorých údajov
  • Vysledovateľnosť zadávania, modifikácie a vymazávania údajov prostredníctvom jednotlivých používateľských mien
  • Pridelenie práv na zadávanie, zmenu a vymazanie údajov na základe autorizačného konceptu
  • Jasná zodpovednosť za vymazanie
  • Politika informačnej bezpečnosti

3. Dostupnosť a odolnosť

3.1 Kontrola dostupnosti

Sú zavedené opatrenia na ochranu osobných údajov pred náhodným zničením alebo stratou (napr. UPS, klimatizácia, požiarna ochrana, zálohovanie dát, bezpečné úložisko dátových médií).

Technické opatrenia
  • Minimálna 99.9% dostupnosť (okrem údržby plánovanej cez víkendové noci).
  • Nepretržitá dostupnosť údajov
  • Systémy detekcie požiaru a dymu
  • Serverová miestnosť s hasiacim prístrojom
  • Monitorovanie teploty a vlhkosti v serverovej miestnosti
  • Klimatizácia serverovne
  • Systém UPS a núdzové dieselové generátory
  • Ochranné zásuvkové lišty v serverovni
  • Systém RAID / zrkadlenie pevného disku
  • Video monitorovacia serverová miestnosť
Organizačné opatrenia
  • Koncept zálohovania
  • Existencia núdzového plánu
  • Záložné úložisko mimo lokality
  • V prípade potreby oddelenie OS a dátových oddielov

3.2 Kontrola využiteľnosti

Sú zavedené opatrenia na rýchle obnovenie prístupu k osobným údajom v prípade fyzického alebo technického incidentu.

Technické opatrenia
  • Monitorovanie zálohovania a reportovanie
  • Obnoviteľnosť z automatizačných nástrojov
  • Koncepcia zálohovania podľa kritickosti a špecifikácií zákazníka
Organizačné opatrenia
  • Plán obnovy po katastrofe
  • Kontrola procesu zálohovania
  • Pravidelné testovanie obnovy dát a protokolovanie výsledkov
  • Záložné médiá skladujte na bezpečnom mieste mimo serverovej miestnosti
  • Existencia núdzového plánu

4. Postupy pravidelnej kontroly, hodnotenia a hodnotenia

4.1 Správa ochrany údajov (DPM)

Data Protection Management (DPM) zahŕňa komplexnú stratégiu a súbor postupov na zabezpečenie, správu a ochranu citlivých informácií počas celého životného cyklu. To zahŕňa kontrolu prístupu, zabránenie neoprávnenému použitiu a zabezpečenie obnovy údajov v prípade incidentov.

Technické opatrenia
  • Centrálna dokumentácia všetkých predpisov o ochrane údajov s prístupom pre zamestnancov
  • Certifikácia bezpečnosti podľa ISO 27001
  • Preskúmanie účinnosti TOM sa vykonáva najmenej raz ročne a TOM sa aktualizuje
Organizačné opatrenia
  • Je vymenovaný úradník pre ochranu údajov (DPO).
  • Všetci zamestnanci boli vyškolení a sú zaviazaní zachovávať mlčanlivosť a mlčanlivosť o údajoch. Minimálne raz ročne absolvujú pravidelné školenia na zvýšenie informovanosti.
  • Posúdenia vplyvu na ochranu údajov (DPIA) sa vykonávajú podľa potreby.
  • Procesy boli zavedené na splnenie informačných povinností podľa čl. 13 a 14 GDPR.
  • Je zavedený formalizovaný proces vybavovania žiadostí o informácie od dotknutých osôb.
  • Aspekty ochrany údajov sú integrované do nášho podnikového riadenia rizík.
  • Kľúčové časti spoločnosti, vrátane prevádzky dátového centra, sú certifikované podľa ISO 27001 a každoročne sa vykonávajú monitorovacie audity.

4.2 Riadenie reakcie na incidenty

Sú zavedené opatrenia na podporu reakcie na porušenie bezpečnosti a procesu narušenia údajov.

Technické opatrenia
  • Používanie firewallu a pravidelná aktualizácia
  • Používanie spamového filtra a pravidelná aktualizácia
  • Používanie antivírusového skenera a pravidelná aktualizácia
  • Intrusion Detection System (IDS) pre zákaznícke systémy na objednávku
  • Intrusion Prevention System (IPS) pre zákaznícke systémy na objednávku
Organizačné opatrenia
  • Zdokumentovaný proces identifikácie a hlásenia bezpečnostných incidentov a porušení údajov vrátane povinnosti hlásiť dozorným orgánom
  • Štandardný postup riešenia bezpečnostných incidentov týkajúcich sa úradníka pre ochranu údajov (DPO)
  • Dokumentovanie bezpečnostných incidentov a porušení údajov pomocou interného systému lístkov
  • Štandardný proces sledovania bezpečnostných incidentov a porušení údajov
  • Zásady upozornení na porušenie pravidiel

4.3 Ochrana údajov podľa návrhu a štandardne

Sú zavedené opatrenia na dodržanie zásad ochrany údajov už od návrhu a štandardne podľa článku 25 GDPR.

Technické opatrenia
  • Schválenie aplikácií tretích strán: Pre všetky aplikácie tretích strán používané pri vývoji sa vyžaduje súhlas vedúcich tímov a manažérov IT operácií.
  • Zabezpečený zdroj sťahovania: Nariaďujte sťahovanie vývojových nástrojov iba z bezpečných zdrojov, ako sú servery výrobcov.
  • Jednotné prihlásenie (SSO): Ak je to možné, implementujte jednotné prihlásenie pre aplikácie tretích strán na centrálne riadenie prístupu.
  • Zakázanie menej bezpečných aplikácií: Predvolene zakážte menej bezpečné aplikácie tretích strán prostredníctvom konfigurácií správcu.
Organizačné opatrenia
  • Dizajn s ohľadom na ochranu osobných údajov: Podporujte vývoj produktu, ktorý minimalizuje množstvo údajov, ktoré musia používatelia zadať. Vyhnite sa nepotrebným dátovým poliam alebo ich nastavte ako voliteľné.
  • Predvolené nastavenia ochrany osobných údajov: V predvolenom nastavení vopred vyberte nastavenia priaznivé pre ochranu osobných údajov, aby ste uprednostnili ochranu údajov používateľa.
  • PbD: Zásady ochrany údajov (zahŕňa princípy „privacy by design / default“)

4.4 Kontrola objednávok (outsourcing, subdodávatelia a spracovanie objednávok)

Sú zavedené opatrenia na zabezpečenie toho, aby sa s osobnými údajmi spracúvanými v mene klienta nakladalo len podľa pokynov klienta.

Technické opatrenia
  • Monitorovanie vzdialeného prístupu externými stranami, napr. v rámci vzdialenej podpory
  • Podľa toho monitorovanie subdodávateľov.
Organizačné opatrenia
  • Údaje spracovávajte podľa pokynov zákazníka
  • Vytvorte pracovné pokyny pre riadenie dodávateľov a hodnotenie dodávateľov
  • Dodržiavajte predpisy týkajúce sa použitia ďalších subdodávateľov
  • Dôkladne vyberajte čiastkových spracovateľov, v prvom rade sa zamerajte na ochranu a bezpečnosť údajov
  • Uzatvorte potrebné zmluvy o spracovaní údajov, ako je spracovanie na objednávku alebo štandardné zmluvné doložky EÚ
  • Zabezpečte, aby zamestnanci dodávateľa zachovávali mlčanlivosť o údajoch a dodržiavali zásady bezpečnosti informácií
  • Po ukončení zmluvy nezabudnite zničiť údaje.