API DOCSEmail API & Cloud SMTPPricingBlog

Środki Bezpieczeństwa

Środki ochrony danych

Sposób zabezpieczenia pomieszczenia

  • Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi zamykanymi na klucz (niewzmacnianymi, nie przeciwpożarowymi)

  • Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C

  • Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej

  • Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęty jest systemem kontroli dostępu

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony

  • Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie

  • Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej

  • Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy

  • Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone przy użyciu niszczarek dokumentów

Środki organizacyjne

  • Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych

  • Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego

  • Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy

  • Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane

  • Dane osobowe nie są udostępniane przez pracowników osobom postronnym w trakcie wykonywania czynności (np. pobieranie danych osobowych do faktury VAT przy innym kliencie)

  • Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco

  • Wdrożono politykę ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

  • Wdrożono Zintegrowany System Zarządzania ISO 27001, ISO 22301, ISO 27018

  • Stosowana jest zasada rozliczalności działań mająca na celu wykazanie, że dokonywane są czynności administracyjne związane z zapewnieniem bezpieczeństwa

  • Prowadzona jest inwentaryzacja sprzętu przetwarzającego dane osobowe

  • Ewidencjonowane są incydenty dot. bezpieczeństwa danych osobowych

Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej

  • Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.

  • Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową.

  • Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.

  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

  • Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.

  • Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.

  • Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.

  • Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.

  • Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.

  • Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.

  • Użyto system Firewall do ochrony dostępu do sieci komputerowej.

  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

  • Zastosowano szyfrowanie nośników danych w tym w szczególności dysków w komputerach przenośnych.

Środki ochrony w ramach narzędzi programowych i baz danych

  • Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.

  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. (5 minut).

  • Wykonywane są kopie zapasowe.

  • Wykonywana jest aktualizacja aplikacji i systemów operacyjnych.

  • Przeprowadzane są wewnętrzne i zewnętrzne testy penetracyjne oraz automatyczne skany podatności.

  • Przeprowadzane jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (audyt).

Dostęp

  • VERCOM przeprowadza analizę ryzyka i wdrożyć odpowiednie kontrole w swoich systemach przed uzyskaniem dostępu do danych. Kontrole te obejmują połączenie warstw prawnych, technicznych, fizycznych, proceduralnych i ludzkich, w celu zapobiegania nieuprawnionemu nadużyciu, zniszczeniu, ujawnieniu lub modyfikacji danych.

  • Obszar pomieszczeń i obiektów lub budynków, w których znajdują się informacje, systemy informatyczne lub inna infrastruktura sieciowa, jest chroniony w sposób fizycznie trwały oraz za pomocą odpowiednich zabezpieczeń zorientowanych na ryzyko.

  • Wprowadzono formalne procedury przyznawania dostępu do danych.

  • Dostęp do danych ma tylko upoważniony pracownik.

  • Dostęp jest przyznawany w oparciu o tzw. zasadę ograniczonego dostępu, minimalizując niezbędny i uzasadniony dostęp, który wynika bezpośrednio z zakresu obowiązków pracownika.

  • Dostęp do danych może być przyznany jedynie zidentyfikowanej osobie fizycznej z powiązanymi indywidualnymi kontami użytkowników, a zapisy audytowe tych działań muszą być rejestrowane i udostępniane na żądanie. Korzystanie z uprzywilejowanych praw dostępu i kont nieosobistych jest ograniczone i kontrolowane.

  • Dane są udostępniane na zasadzie ""ograniczonego dostępu"". Użytkownicy lub klienci (zewnętrzni lub wewnętrzni) nie mogą mieć możliwości uzyskania dostępu do danych, które ich nie dotyczą.

  • Nośniki przenośne są zabezpieczone poprzez szyfrowanie i odpowiednio oznakowane.

  • Uwierzytelnianie wieloczynnikowe jest wdrażane dla wszystkich uprawnionych dostępów.

  • Co najmniej raz w roku dokonuje się okresowego przeglądu dostępu.

Odpowiedzialność

  • Za każdy dostęp do danych Klienta jest odpowiedzialna możliwa do zidentyfikowania osoba lub zautomatyzowany proces.

  • Formalne procesy, które udzielają, usuwają lub modyfikują dostęp do danych są wprowadzone. Wszelkie tego typu działania są rejestrowane.

  • Systemy, sprzęty i oprogramowanie wykorzystywane do przetwarzania danych są utrzymywane zgodnie z tymi wymogami bezpieczeństwa.

Reagowanie na incydenty i raportowanie

  • Wszystkie wykryte incydenty bezpieczeństwa i naruszenia danych mające wpływ na dane Klienta lub usługi świadczone na rzecz Klienta, muszą być zgłaszane przez VERCOM bez zbędnej zwłoki, zgodnie z Procedurą Incydentów.

  • Zgłoszenie naruszenia ochrony danych osobowych zawiera co najmniej następujące informacje:

    • Charakter naruszenia danych osobowych,

    • Charakter danych osobowych, których to dotyczy,

    • Kategorie i liczbę osób, których dane dotyczą,

    • Liczba rekordów danych osobowych, których to dotyczy,

    • Środki podjęte w celu zaradzenia naruszeniu danych,

    • Możliwe konsekwencje i negatywny wpływ naruszenia danych, oraz

    • Wszelkie inne informacje, które Klient jest zobowiązany zgłosić odpowiedniemu organowi regulacyjnemu lub podmiotowi danych.

Employment screening

  • VERCOM stosuje employment screening pracowników, który obejmują referencje dotyczące zatrudnienia i odpowiednie kwalifikacje oraz następujące kwestie:

    • Dokument potwierdzający tożsamość osoby (np. paszport).

    • Dokument potwierdzający zdobyte wykształcenie (np. świadectwa).

    • Dokument potwierdzający doświadczenie zawodowe (np. życiorys/CV i referencje).

    • Podpisywanie przez pracownika oświadczenia o niekaralności.

PreviousData ActNextO Systemie

Last updated