Środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa informacji stosowane przez firmę RUPTELA
Firma RUPTELA stosuje wszelkie niezbędne środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przetwarzanych danych oraz ochrony przetwarzanych danych osobowych przed przypadkowym lub bezprawnym dostępem, zniszczeniem, utratą, zmianą, nieuprawnionym ujawnieniem.
Polityki i procedury dotyczące bezpieczeństwa danych osobowych. Bezpieczeństwo danych osobowych i ich przetwarzania w organizacji jest dokumentowane w ramach polityki bezpieczeństwa informacji. Polityka bezpieczeństwa jest poddawana corocznemu przeglądowi i korekcie.
Poufność. Przed podjęciem obowiązków pracownicy są proszeni o zapoznanie się z polityką bezpieczeństwa obowiązującą w organizacji i zaakceptowanie jej oraz o podpisanie odpowiednich umów o poufności i nieujawnianiu informacji.
Szkolenia. Organizacja dba, by wszyscy pracownicy rozumieli swoje obowiązki i zobowiązania w zakresie przetwarzania danych osobowych. Role i obowiązki są jasno przedstawiane podczas procesu poprzedzającego zatrudnienie i procesu wprowadzenia pracownika.
Organizacja dba, aby wszyscy pracownicy byli odpowiednio poinformowani o zabezpieczeniach systemu informatycznego, które dotyczą ich codziennej pracy. Pracownicy zaangażowani w przetwarzanie danych osobowych są również informowani o odpowiednich wymogach ochrony danych i obowiązkach prawnych poprzez regularne kampanie informacyjne.
Ponadto powołany jest Inspektor Ochrony Danych, który jest odpowiedzialny za ochronę danych w organizacji, rozpowszechnianie wiedzy i zapewnienie zgodności z RODO. Z Inspektorem Ochrony Danych można się skontaktować za pośrednictwem poczty e-mail: [email protected].
Polityka kontroli dostępu. Określone uprawnienia w ramach kontroli dostępu są przyznawane każdemu pracownikowi, który jest zaangażowany w przetwarzanie danych osobowych, zgodnie z zasadą niezbędnej wiedzy. Polityka kontroli dostępu jest szczegółowa i udokumentowana. Organizacja określiła odpowiednie zasady kontroli dostępu, uprawnienia dostępu oraz ograniczenia dla pracowników w zakresie procesów i procedur dotyczących danych osobowych w przypadku zmian w organizacji, zwalniania pracowników lub zmiany funkcji.
Zarządzanie kontrolą dostępu. Do zasobów wewnętrznych firmy Ruptela jest chroniony i zarządzany za pośrednictwem usługi Active Directory. Uwierzytelnianie wieloetapowe O365 jest włączone dla wszystkich użytkowników. Systemy inne niż O365 zawierające dane klientów są dostępne tylko z sieci wewnętrznej dla upoważnionych pracowników posiadających unikalne konta. Dostęp jest usuwany natychmiast po rozwiązaniu umowy z pracownikiem. Co 6 miesięcy przeprowadzany jest audyt kont, aby upewnić się, że nie ma nieautoryzowanych kont.
Zarządzanie zmianą. Wszystkie zmiany w systemie informatycznym są rejestrowane i monitorowane przez wyznaczonego pracownika.
Szyfrowanie. Rozwiązania firmy wykorzystują protokół SSL/TLS z wysokiej jakości algorytmami szyfrowania do zabezpieczania zewnętrznych punktów końcowych usług. Oprócz tego, firma Ruptela wykorzystuje również IPSec VPN z wysokiej jakości szyfrowaniem, aby zapewnić bezpieczną komunikację pomiędzy odległymi lokalizacjami lub punktami końcowymi usług.
Kopie zapasowe. Kopie zapasowe są wykonywane co najmniej raz dziennie. Wszystkie dane przechowywane w produkcyjnych bazach danych posiadają repliki. Baza danych współrzędnych jest replikowana do trzech oddzielnych węzłów (kworum). Użytkownicy końcowi nie mogą usuwać informacji bezpośrednio na poziomie bazy danych.
Logowanie. Firma Ruptela wykorzystuje rozwiązanie do logowania, które śledzi zmiany wprowadzone w maszynach wirtualnych. Działania użytkowników systemu (logowanie/wylogowanie, usuwanie, wprowadzanie danych) są również monitorowane i można je zidentyfikować za pomocą adresu IP użytkowników.
Zachowanie ciągłości działania firmy. Firma Ruptela ustanowiła główne procedury i mechanizmy kontrolne, które należy stosować w celu zapewnienia wymaganego poziomu ciągłości i dostępności systemu informatycznego przetwarzającego dane osobowe w przypadku incydentu/naruszenia ochrony danych osobowych. Plan ciągłości działania firmy jest regularnie testowany w celu sprawdzenia, czy w razie incydentu możliwe będzie zapewnienie nieprzerwanego funkcjonowania.
Incydenty i przypadki naruszenia ochrony danych. Firma Ruptela wprowadziła plan reagowania w przypadku incydentów, który zapewnia skuteczne zarządzanie incydentami związanymi z bezpieczeństwem danych osobowych. Incydenty i przypadki naruszenia ochrony danych. Są one zgłaszane kierownictwu bez zbędnej zwłoki. Ustanowione zostały procedury powiadamiania właściwych organów o naruszeniach.
Podmioty przetwarzające. Przed rozpoczęciem przetwarzania określa się, dokumentuje i uzgadnia formalne wytyczne i procedury dotyczące przetwarzania danych osobowych przez podmioty przetwarzające (wykonawców/firmy zewnętrzne).
Ocena skutków dla ochrony danych. Przy wyborze systemów informacyjnych wymaganych w działalności organizacji, przeprowadza się ocenę skutków dla ochrony danych zgodnie z RODO. Wykorzystywane jest tylko certyfikowane, regularnie aktualizowane oprogramowanie.
Kontrola dostępu fizycznego. Dostęp do obiektu jest chroniony przez system kontroli dostępu.
Ochrona przed złośliwym oprogramowaniem. Wszystkie stacje robocze są chronione przed wirusami, posiadają system operacyjny Microsoft Windows 10 wraz ze wszystkimi najnowszymi aktualizacjami zabezpieczeń i są zarządzane centralnie. Dyski twarde stacji roboczej są szyfrowane.
Zarządzanie zapytaniami. Wszystkie zapytania klientów są rejestrowane w scentralizowanym systemie z uwzględnieniem czasu zapytania. Logowanie do systemu jest chronione hasłem. System zarządza incydentami, zmianami i konsultacjami. Zapewnione jest również scentralizowane zarządzanie problemami i zmianami. Jakość działania systemów klienta jest zapewniona poprzez ciągłe monitorowanie, dzięki czemu każde zdarzenie jest rejestrowane i analizowane w scentralizowanym systemie. Zarządza się incydentami zgodnie z ustalonym planem reagowania w przypadku incydentów, przy czym informowane są osoby odpowiedzialne oraz, w razie potrzeby, powoływany jest zespół ds. zarządzania ciągłością działania firmy. Przeprowadzane są okresowe testy i szkolenia przewidziane w planie ciągłości działania firmy.
Oprogramowanie. Krytyczne i ważne poprawki dotyczące luk w zabezpieczeniach są wdrażane dla całego oprogramowania.
Centra danych. Firma Ruptela przechowuje swoje serwery w dwóch centrach danych posiadających certyfikaty Tier 3 i Tier 3 Design. Dane te są przechowywane w Europejskim Obszarze Gospodarczym i nie są przekazywane do państw trzecich.