Standard bezpieczeństwa
Ostatnia zmiana: 9 maja 2018 r.

I.  Środki techniczne i organizacyjne

Dbamy o ochronę informacji o naszych Klientach.  Biorąc pod uwagę najlepsze praktyki, koszty wdrożenia oraz charakter, zakres, okoliczności i cele Przetwarzania, a także różne prawdopodobieństwo wystąpienia oraz ciężar zagrożenia dla praw i swobód osób fizycznych, podejmujemy następujące środki techniczne i organizacyjne.  Podczas dobierania tych środków uwzględniamy poufność, integralność, dostępność i odporność systemów. Gwarantujemy szybkie odzyskanie danych po incydencie fizycznym lub technicznym.

Nasz program prywatności danych został przyjęty w celu utrzymania globalnej struktury zarządzania danymi oraz zabezpieczenia danych przez cały cykl ich życia. Program jest prowadzony przez biuro inspektora ochrony danych, który nadzoruje wdrażanie zasad ochrony danych osobowych oraz środków bezpieczeństwa. Regularnie przeprowadzamy testy, ocenę i ewaluację skuteczności programu ochrony danych osobowych oraz Standardów bezpieczeństwa.

1. Poufność. „Poufność oznacza ochronę danych osobowych przed nieautoryzowanym ujawnieniem.”  

Wykorzystujemy różnorodne środki fizyczne oraz logiczne mające na celu ochronę poufności danych osobowych klientów. Środki te obejmują:   

Ochronę fizyczną  

• Funkcjonujące fizyczne systemy kontroli dostępu (kontrola dostępu przy pomocy identyfikatorów, monitorowanie zdarzeń związanych z bezpieczeństwem itd.) 
• Systemy nadzoru, w tym alarmy, oraz – w stosownych przypadkach – monitoring z wykorzystaniem kamer przemysłowych  
• Politykę czystego biurka oraz środki kontroli dokumentacji (blokowanie komputerów przy pustych stanowiskach, zamykane szafki itd.)  
• Zarządzanie dostępem gości 
• Niszczenie danych na nośnikach fizycznych oraz dokumentów (fizyczne niszczenie dokumentów, rozmagnesowywanie itd.) 

Kontrolę dostępu oraz zapobieganie dostępowi osób niepowołanych

• Zastosowane ograniczenia dostępu użytkownika oraz nadane/zrewidowane uprawnienia dostępu oparte na rolach, utworzone zgodnie z zasadą rozdziału obowiązków  
• Silne narzędzia uwierzytelniania i autoryzacji (wielostopniowe uwierzytelnianie, autoryzację opartą na certyfikatach, automatyczną deaktywacja/wylogowanie itd.) 
• Centralne zarządzanie hasłami oraz silne/skomplikowane zasady tworzenia haseł (minimalna długość, różnorodność znaków, okres ważności haseł itd.)   
• Kontrolowany dostęp do poczty e-mail i Internetu 
• Zarządzanie programami antywirusowymi  
• Zarządzanie systemem ochrony przed intruzami  

Szyfrowanie  

• Szyfrowanie komunikacji zewnętrznej oraz wewnętrznej przy pomocy silnych protokołów szyfrujących  
• Szyfrowanie danych umożliwiających identyfikację (PII) i wrażliwych danych umożliwiających identyfikację (SPII) w stanie spoczynku (bazy danych, udostępnione katalogi itd.)   
• Pełne szyfrowanie dysków w komputerach stacjonarnych oraz laptopach należących do firmy   
• Szyfrowanie nośników danych  
• Połączenia zdalne z sieciami należącymi do firmy realizowane są za pomocą wirtualnej sieci prywatnej VPN  
• Zabezpieczenie cyklu użytkowania kluczy szyfrujących  

Minimalizację danych

• Minimalizację danych PII i SPII w dziennikach aplikacji, debugowania i bezpieczeństwa  
• Pseudonimizację danych osobowych w celu zapobiegania bezpośredniej identyfikacji osoby fizycznej 
• Segregację przechowywanych danych ze względu na funkcję (testy, środowiska tymczasowe, żywe dane) 
• Logiczne segregowanie danych według praw dostępu opartych o role 
• Zdefiniowane okresy przechowywania danych w odniesieniu do danych osobowych   

Testy bezpieczeństwa

• Testowanie możliwości penetracji krytycznych sieci należących do firmy oraz platform przechowujących dane osobowe 
• Regularne skanowanie sieci oraz wrażliwości systemu   

2. Integralność. „Pojęcie integralności odnosi się do zapewnienia poprawności (nienaruszalności) danych oraz poprawnego funkcjonowania systemów. Zestawienie terminu „integralność” z rzeczownikiem „dane” oznacza, że dane są kompletne i nienaruszone.”  

Stosowane są odpowiednie środki kontroli dotyczące zarządzania zmianami oraz rejestrami, stanowiące uzupełnienie środków kontroli dostępu służących zachowaniu integralności danych osobowych, takie jak:    

Zarządzanie zmianami i wersjami  

• Proces zarządzania zmianami i wersjami obejmujący (analizę wpływu, akceptacje, testowanie, przeglądy bezpieczeństwa, środowiska testowe, monitoring itd.)  
• Udzielanie dostępu w oparciu o funkcje i role (rozdział obowiązków) w odniesieniu do środowisk produkcyjnych    

Rejestrowanie i monitorowanie

• Rejestrowanie dostępu do danych i wprowadzania w nich zmian  
• Scentralizowane rejestry audytów i bezpieczeństwa   
• Monitorowanie kompletności i poprawności przesyłania danych (sprawdzanie od punktu wyjścia do punktu docelowego)    

3. Dostępność. „Dostępność usług oraz systemów informatycznych, aplikacji IT oraz funkcji sieciowych IT lub informacji jest gwarantowana, jeżeli użytkownicy mają możliwość korzystania z nich w dowolnym czasie.”    

Wdrażamy stosowne środki zapewnienia ciągłości i bezpieczeństwa w celu utrzymania dostępności naszych usług oraz danych znajdujących się w takich usługach:    

• Regularne testy odporności na awarie usług krytycznych  
• Rozległe monitorowanie wydajności/dostępności oraz raportowanie systemów krytycznych  
• Program reagowania na zdarzenia naruszające bezpieczeństwo  
• Kopiowanie lub tworzenie kopii zapasowych danych krytycznych (kopia zapasowa w chmurze/kopiowanie twardych dysków lub baz danych itd.) 
• Stosowanie planowanych konserwacji oprogramowania, infrastruktury oraz bezpieczeństwa (aktualizacje oprogramowania, łatki bezpieczeństwa itd.)   
• Systemy nadmiarowe oraz zapewniające odporność (klastry serwerów, lustrzane kopie baz danych, konfiguracje o wysokiej dostępności itd.) położone poza terenem i/lub w miejscach oddzielonych geograficznie    
• Wykorzystywanie zasilaczy bezprzerwowych (UPS), urządzeń oraz systemów sieciowych odpornych na uszkodzenia i awarie  
• Stosowanie alarmów i systemów bezpieczeństwa  
• Stosowanie środków ochrony fizycznej w krytycznych obiektach (ochrona antyprzepięciowa, podniesione podłogi, systemy chłodzenia, detektory ognia i/lub dymu, systemy przeciwpożarowe itd.) 
• Ochrona przed atakami typu DDoS w celu zachowania dostępności usług   
• Testy obciążeń  

4. Instrukcje dotyczące przetwarzania danych. „Instrukcje przetwarzania danych dotyczą gwarancji przetwarzania danych osobowych tylko zgodnie z instrukcjami dostarczonymi przez administratora danych oraz powiązanymi regulacjami firmy”  

Wdrożyliśmy wewnętrzne zasady ochrony danych osobowych i umowy oraz przeprowadzamy regularne szkolenia pracownicze dotyczące prywatności, aby zapewnić przetwarzanie danych osobowych zgodnie z preferencjami i instrukcjami klientów.   

• Postanowienia dotyczące prywatności i poufności w umowach pracowniczych 
• Regularne szkolenia pracownicze na temat bezpieczeństwa oraz poufności danych 
• Odpowiednie zapisy w umowach z podwykonawcami w celu zachowania uprawnień kontroli instruktażowej 
• Regularne kontrole prywatności dla zewnętrznych usługodawców 
• Zapewnienie klientom pełnej kontroli nad preferencjami dotyczącymi przetwarzania danych 
• Regularne audyty bezpieczeństwa