Tento dokument dopĺňa prílohu II: Technické a organizačné opatrenia dodatku o spracovaní údajov (DPA) medzi spoločnosťou Vtiger a zákazníkom podľa článku 28 (spracovateľ) GDPR (všeobecné nariadenie EÚ o ochrane údajov).
Vtiger implementuje technické a organizačné opatrenia podľa článku 32 (Bezpečnosť spracovania) GDPR. Tieto opatrenia sa neustále zlepšujú podľa realizovateľnosti a najnovších technológií, vrátane aktívnej certifikácie ISO 27001 na zvýšenie bezpečnosti a ochrany.
V spoločnosti Vtiger sme sa zaviazali udržiavať a presadzovať rôzne zásady, štandardy a procesy na zabezpečenie osobných údajov a iných údajov, ku ktorým majú naši zamestnanci prístup. Naša oddanosť ochrane údajov zahŕňa špecializovaný tím pre súkromie a bezpečnosť, poskytovanie ochrany údajov externým stranám, zabezpečenie konzistentnej ochrany v celej organizácii, prísnu kontrolu nad subdodávateľmi a vykonávanie pravidelných auditov a certifikácií. Tieto opatrenia pravidelne aktualizujeme, aby sme zaistili, že sú v súlade s priemyselnými štandardmi.
Nasledujúci popis technických a organizačných opatrení bude v prípade potreby rozlíšený podľa týchto kategórií údajov.
1. diskrétnosť
1.1 Kontrola fyzického prístupu
Sú zavedené opatrenia, ktoré zabraňujú neoprávneným osobám v prístupe k systémom spracúvania údajov používaných na spracúvanie osobných údajov.
Technické opatrenia
Uzamknutá budova a kancelária
Biometrický prístup
Manuálny uzamykací systém
Dvere s automatickým zámkovým systémom
Pracovníci bezpečnosti
Video dohľad nad vchodom
Žiadne produkčné servery na mieste
Organizačné opatrenia
Kontrolný zoznam kľúčových regulácií
Recepcia s personálom bezpečnostnej stráže
Kniha návštev
Odznak zamestnanca/návštevníka
Návštevník v sprievode zamestnanca
Politika informačnej bezpečnosti
Pracovné pokyny Kontrola prístupu
Aj keď Vtiger uprednostňuje bezpečnosť údajov, je dôležité uznať model zdieľanej zodpovednosti v cloud computingu. Vtiger využíva na poskytovanie cloudových zdrojov poskytovateľov cloudových služieb (CSP), ako sú AWS, DigitalOcean a OV. Títo CSP zabezpečujú základnú infraštruktúru a udržiavajú robustné bezpečnostné kontroly. Viac podrobností o tom, ako možno nájsť bezpečnostné kontroly ISP tu.
1.2 Logická kontrola prístupu
Sú zavedené bezpečnostné opatrenia, aby sa zabránilo neoprávnenému prístupu k systémom spracovania údajov.
Technické opatrenia
Prihláste sa pomocou používateľského mena a silného hesla
firewall
Systémy detekcie narušenia
Na vzdialený prístup použite VPN
Šifrovanie diskov, zariadení/laptopov/tabletov
Dvojfaktorová autentifikácia
Automatický zámok pracovnej plochy/laptopu
Antivírusový softvér nainštalovaný na zariadeniach a serveroch
Prístup je monitorovaný a protokolovaný
Automatické zablokovanie účtu pri neúspešnom prihlásení/overení
Všetky aktivity používania a zmeny údajov sa zaznamenávajú
Organizačné opatrenia
Správa používateľských povolení vrátane autorizácie na základe rolí
Vytváranie užívateľských profilov
Politika informačnej bezpečnosti
Zásady hesiel
Mobile Device Policy
Pracovné pokyny: SOP bezpečnosti IT a Kontrola prístupu zamestnancov
Vetting zamestnancov
Školenie a informovanosť
Princíp de minimis
Prístup k zamestnancom Vtiger a kontrola zákazníkov
Zamestnanci spoločnosti Vtiger majú prístup k produktom a údajom zákazníkov spoločnosti Vtiger iba prostredníctvom zabezpečených rozhraní. Tento prístup je udelený iba vtedy, keď ho zákazníci výslovne povolia vo svojich nastaveniach. Žiadosti o neobmedzený prístup sa na účely auditu starostlivo zaznamenávajú.
Spoločnosť Vtiger obmedzuje prístup zamestnancov ku konkrétnemu personálu na základe potreby, čím zaisťuje, že údaje o zákazníkoch môžu z legitímnych dôvodov prezerať iba oprávnené osoby. Zákaznícka aplikácia je prístupná pre:
Poskytovanie zákazníckej podpory
Riešenie technických problémov, s ktorými sa stretli zákazníci
Identifikácia a reakcia na potenciálne bezpečnostné hrozby
1.3 Kontrola autorizácie
Sú zavedené opatrenia na zabezpečenie toho, aby do systému spracovania údajov mali prístup len oprávnené osoby. Osobné údaje nie je možné čítať, kopírovať, upravovať alebo odstraňovať bez náležitého povolenia počas spracovania, používania a uchovávania.
Technické opatrenia
Fyzické vymazanie dátového nosiča/zariadení
SSH Šifrovaný prístup
Certifikované šifrovanie SSL
Skartujte súbory a papiere, ktoré sa už nepoužívajú
Automatické vymazanie záloh z archívu po uplynutí doby uchovávania alebo na žiadosť zákazníka
Logovanie prístupov k aplikáciám, konkrétne pri zadávaní, zmene a odstraňovaní údajov
Organizačné opatrenia
Politika informačnej bezpečnosti
Minimalizujte roly administrátorov
Správa používateľských práv administrátormi
Pracovné pokyny na zaobchádzanie s informáciami a aktívami
1.4 Kontrola separácie
Zavádzajú sa opatrenia na prísne postupy segregácie údajov, aby sa zabezpečilo, že údaje zozbierané na rôzne účely zostanú izolované. To zahŕňa logické oddelenie, kde sú údaje kategorizované a uložené v rôznych častiach v rámci systému, a potenciálne fyzické oddelenie, kde sú údaje uložené na úplne inom hardvéri.
Staging vývojového, testovacieho a produkčného prostredia
Organizačné opatrenia
Politika informačnej bezpečnosti
Politika ochrany údajov
Kontrola prostredníctvom autorizačného konceptu
Pracovné pokyny pre: Prevádzkovú bezpečnosť a Bezpečnosť pri vývoji a testovaní softvéru
1.5 Kontrola šifrovania
Zavádzajú sa opatrenia na ochranu údajov počas prenosu a v pokoji pomocou pokročilej metodológie.
Technické opatrenia
Šifrovanie dát pri prenose (v pohybe)
Implementované protokoly Transport Layer Security (TLS 1.2 a vyššie) a Secure Sockets Layer (SSL) pre všetky prenosy dát.
Tieto protokoly šifrujú dáta, keď sa pohybujú medzi systémami, vďaka čomu sú nečitateľné pre každého, kto ich zachytí.
Šifrovanie údajov v pokoji (uložené)
Úložné disky: Šifrované pomocou šifrovania na úrovni disku
Citlivé údaje: Šifrované pomocou AES-256 (256-bitový štandard pokročilého šifrovania)
Správa kľúčov: Služba správy kľúčov AWS (KMS)
Zálohy: Šifrované pomocou AES-256 na AWS S3
Maskovanie údajov: Podrobnosti špecifické pre zákazníka sú zahmlené.
Organizačné opatrenia
Striedanie kľúčov: Pravidelné striedanie šifrovacích kľúčov používaných pre dáta a zálohy, aby sa minimalizovalo riziko spojené s napadnutým kľúčom.
Kontrola prístupu: Obmedzte prístup k šifrovacím kľúčom na obmedzený počet oprávnených pracovníkov s prísnym princípom „potreba vedieť“.
Audit: Udržujte podrobné protokoly používania kľúčov na monitorovanie prístupu a identifikáciu akýchkoľvek potenciálnych anomálií.
2. Integrita
2.1 Kontrola prenosu
Sú zavedené opatrenia na zabránenie neoprávnenému prístupu k osobným údajom počas elektronického prenosu alebo počas ich uchovávania na zariadeniach na ukladanie údajov, ktoré zabezpečujú, že ich nemožno čítať, kopírovať, meniť alebo odstraňovať.
Technické opatrenia
Používanie VPN
Protokolovanie prístupov a vyhľadávaní
Poskytovanie prostredníctvom šifrovaných pripojení, ako sú SFTP, HTTPS a zabezpečené cloudové obchody
Organizačné opatrenia
Prehľad procesov pravidelného vyhľadávania a prenosu
Starostlivý výber dopravného personálu a vozidiel
Osobné odovzdanie s protokolom
Politika informačnej bezpečnosti
Politika ochrany údajov
2.2 Vstupné ovládanie
Opatrenia sú zavedené na overenie a kontrolu toho, kto vložil, upravil alebo odstránil osobné údaje zo systémov spracovania údajov. Protokolovanie riadi vstup na rôznych úrovniach, ako je operačný systém, sieť, firewall, databáza a aplikácia.
Technické opatrenia
Technické zaznamenávanie zadávania, úpravy a vymazania údajov
Manuálna alebo automatická kontrola protokolov (podľa prísnych interných špecifikácií)
Organizačné opatrenia
Prehľad o tom, ktoré programy je možné použiť na zadávanie, zmenu alebo vymazanie ktorých údajov
Vysledovateľnosť zadávania, modifikácie a vymazávania údajov prostredníctvom jednotlivých používateľských mien
Pridelenie práv na zadávanie, zmenu a vymazanie údajov na základe autorizačného konceptu
Jasná zodpovednosť za vymazanie
Politika informačnej bezpečnosti
3. Dostupnosť a odolnosť
3.1 Kontrola dostupnosti
Sú zavedené opatrenia na ochranu osobných údajov pred náhodným zničením alebo stratou (napr. UPS, klimatizácia, požiarna ochrana, zálohovanie dát, bezpečné úložisko dátových médií).
Technické opatrenia
Minimálna 99.9% dostupnosť (okrem údržby plánovanej cez víkendové noci).
Nepretržitá dostupnosť údajov
Systémy detekcie požiaru a dymu
Serverová miestnosť s hasiacim prístrojom
Monitorovanie teploty a vlhkosti v serverovej miestnosti
Klimatizácia serverovne
Systém UPS a núdzové dieselové generátory
Ochranné zásuvkové lišty v serverovni
Systém RAID / zrkadlenie pevného disku
Video monitorovacia serverová miestnosť
Organizačné opatrenia
Koncept zálohovania
Existencia núdzového plánu
Záložné úložisko mimo lokality
V prípade potreby oddelenie OS a dátových oddielov
3.2 Kontrola využiteľnosti
Sú zavedené opatrenia na rýchle obnovenie prístupu k osobným údajom v prípade fyzického alebo technického incidentu.
Technické opatrenia
Monitorovanie zálohovania a reportovanie
Obnoviteľnosť z automatizačných nástrojov
Koncepcia zálohovania podľa kritickosti a špecifikácií zákazníka
Organizačné opatrenia
Plán obnovy po katastrofe
Kontrola procesu zálohovania
Pravidelné testovanie obnovy dát a protokolovanie výsledkov
Záložné médiá skladujte na bezpečnom mieste mimo serverovej miestnosti
Existencia núdzového plánu
4. Postupy pravidelnej kontroly, hodnotenia a hodnotenia
4.1 Správa ochrany údajov (DPM)
Data Protection Management (DPM) zahŕňa komplexnú stratégiu a súbor postupov na zabezpečenie, správu a ochranu citlivých informácií počas celého životného cyklu. To zahŕňa kontrolu prístupu, zabránenie neoprávnenému použitiu a zabezpečenie obnovy údajov v prípade incidentov.
Technické opatrenia
Centrálna dokumentácia všetkých predpisov o ochrane údajov s prístupom pre zamestnancov
Certifikácia bezpečnosti podľa ISO 27001
Preskúmanie účinnosti TOM sa vykonáva najmenej raz ročne a TOM sa aktualizuje
Organizačné opatrenia
Je vymenovaný úradník pre ochranu údajov (DPO).
Všetci zamestnanci boli vyškolení a sú zaviazaní zachovávať mlčanlivosť a mlčanlivosť o údajoch. Minimálne raz ročne absolvujú pravidelné školenia na zvýšenie informovanosti.
Posúdenia vplyvu na ochranu údajov (DPIA) sa vykonávajú podľa potreby.
Procesy boli zavedené na splnenie informačných povinností podľa čl. 13 a 14 GDPR.
Je zavedený formalizovaný proces vybavovania žiadostí o informácie od dotknutých osôb.
Aspekty ochrany údajov sú integrované do nášho podnikového riadenia rizík.
Kľúčové časti spoločnosti, vrátane prevádzky dátového centra, sú certifikované podľa ISO 27001 a každoročne sa vykonávajú monitorovacie audity.
4.2 Riadenie reakcie na incidenty
Sú zavedené opatrenia na podporu reakcie na porušenie bezpečnosti a procesu narušenia údajov.
Technické opatrenia
Používanie firewallu a pravidelná aktualizácia
Používanie spamového filtra a pravidelná aktualizácia
Používanie antivírusového skenera a pravidelná aktualizácia
Intrusion Detection System (IDS) pre zákaznícke systémy na objednávku
Intrusion Prevention System (IPS) pre zákaznícke systémy na objednávku
Organizačné opatrenia
Zdokumentovaný proces identifikácie a hlásenia bezpečnostných incidentov a porušení údajov vrátane povinnosti hlásiť dozorným orgánom
Štandardný postup riešenia bezpečnostných incidentov týkajúcich sa úradníka pre ochranu údajov (DPO)
Dokumentovanie bezpečnostných incidentov a porušení údajov pomocou interného systému lístkov
Štandardný proces sledovania bezpečnostných incidentov a porušení údajov
Zásady upozornení na porušenie pravidiel
4.3 Ochrana údajov podľa návrhu a štandardne
Sú zavedené opatrenia na dodržanie zásad ochrany údajov už od návrhu a štandardne podľa článku 25 GDPR.
Technické opatrenia
Schválenie aplikácií tretích strán: Pre všetky aplikácie tretích strán používané pri vývoji sa vyžaduje súhlas vedúcich tímov a manažérov IT operácií.
Zabezpečený zdroj sťahovania: Nariaďujte sťahovanie vývojových nástrojov iba z bezpečných zdrojov, ako sú servery výrobcov.
Jednotné prihlásenie (SSO): Ak je to možné, implementujte jednotné prihlásenie pre aplikácie tretích strán na centrálne riadenie prístupu.
Zakázanie menej bezpečných aplikácií: Predvolene zakážte menej bezpečné aplikácie tretích strán prostredníctvom konfigurácií správcu.
Organizačné opatrenia
Dizajn s ohľadom na ochranu osobných údajov: Podporujte vývoj produktu, ktorý minimalizuje množstvo údajov, ktoré musia používatelia zadať. Vyhnite sa nepotrebným dátovým poliam alebo ich nastavte ako voliteľné.
Predvolené nastavenia ochrany osobných údajov: V predvolenom nastavení vopred vyberte nastavenia priaznivé pre ochranu osobných údajov, aby ste uprednostnili ochranu údajov používateľa.
PbD: Zásady ochrany údajov (zahŕňa princípy „privacy by design / default“)
4.4 Kontrola objednávok (outsourcing, subdodávatelia a spracovanie objednávok)
Sú zavedené opatrenia na zabezpečenie toho, aby sa s osobnými údajmi spracúvanými v mene klienta nakladalo len podľa pokynov klienta.
Technické opatrenia
Monitorovanie vzdialeného prístupu externými stranami, napr. v rámci vzdialenej podpory
Podľa toho monitorovanie subdodávateľov.
Organizačné opatrenia
Údaje spracovávajte podľa pokynov zákazníka
Vytvorte pracovné pokyny pre riadenie dodávateľov a hodnotenie dodávateľov
Dodržiavajte predpisy týkajúce sa použitia ďalších subdodávateľov
Dôkladne vyberajte čiastkových spracovateľov, v prvom rade sa zamerajte na ochranu a bezpečnosť údajov
Uzatvorte potrebné zmluvy o spracovaní údajov, ako je spracovanie na objednávku alebo štandardné zmluvné doložky EÚ
Zabezpečte, aby zamestnanci dodávateľa zachovávali mlčanlivosť o údajoch a dodržiavali zásady bezpečnosti informácií