# Środki Bezpieczeństwa ## Środki ochrony danych ### Sposób zabezpieczenia pomieszczenia * Dokumenty papierowe zawierające dane osobowe przechowywane są w zamykanych niemetalowych szafkach, do których dostęp mają wyłącznie upoważnieni pracownicy. * Wdrożono zasadę czystego biurka i czystego ekranu. * Wdrożono i pouczono pracowników o zakazie zostawiania dokumentów bez nadzoru. * Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. * Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, jest ograniczony do osób upoważnionych i realizowany za pomocą wielopoziomowego systemu kontroli dostępu (kontrola wejścia do budynku, dostęp do pięter oraz pomieszczeń biurowych na podstawie kart pracowniczych). * Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. * Wejście do biura, objęte jest systemem kontroli dostępu (identyfikacja kartą pracowniczą). * Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony. * Wydzielono jedno miejsce do drukowania i skanowania dokumentów. Drukarki znajdują się w strefie pracowniczej za bramkami, windą i wejściem do biura chronionym kartą magnetyczną. * Wprowadzono i pouczono pracowników o zasadzie „no tailgating” + stosowanie drzwi samozamykających. * Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy. * Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone przy użyciu niszczarek dokumentów (poziom P3). * Recepcja oraz księga „wejść / wyjść” Gości. ### Środki organizacyjne * Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. * Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. * Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. * Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. * Dane osobowe nie są udostępniane przez pracowników osobom postronnym w trakcie wykonywania czynności (np. pobieranie danych osobowych do faktury VAT przy innym kliencie). * Wprowadzono polityki i procedury w zakresie reagowania i dokumentowania incydentów. * Wdrożono politykę ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. * Wdrożono Zintegrowany System Zarządzania ISO 27001, ISO 22301, ISO 27018 i związany z nimi system klasyfikacji informacji. * Stosowana jest zasada rozliczalności działań mająca na celu wykazanie, że dokonywane są czynności administracyjne związane z zapewnieniem bezpieczeństwa. * Prowadzona jest inwentaryzacja sprzętu przetwarzającego dane osobowe. * Ewidencjonowane są incydenty dot. bezpieczeństwa danych osobowych. * Prowadzony jest Rejestr Czynności Przetwarzania i Rejestr Wszystkich Kategorii Czynności Przetwarzania. Dodatkowo aktualizuje się Środki Techniczne i Organizacyjne w przypadku zmian.\ Imienne upoważnienie do przetwarzania danych zawiera zakres, systemy i kategorie przetwarzanych danych przez pracownika. * Prowadzony jest rejestr upoważnień do przetwarzania różnych kategorii danych osobowych przez pracowników (aktualizowany na bieżąco). * Przeprowadza się symulacje phishingowe, w celu zwiększenia świadomości pracowników. * Przeprowadza się okresowy przegląd uprawnień osób upoważnionych do przetwarzania audytów wewnętrznych w zakresie funkcjonowania RODO w organizacji. * Uregulowano zasady pracy zdalnej w formie odpowiedniego Regulaminu..Wdrożono politykę haseł, regulującą m.in. ich minimalną długość w systemach Vercom, oraz konieczność użycia znaków specjalnych. ### Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej * Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego, którego dysk dodatkowo jest szyfrowany. * Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową (VPN). Dodatkowo w zakresie komputerów przenośnych stosuje się MFA (CISCO DUO). * Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania. * Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. * Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. * Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł. * Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. * Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.\ Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.\ Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. * Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. * Użyto system Firewall do ochrony dostępu do sieci komputerowej. * Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. * Zastosowano szyfrowanie nośników danych w tym w szczególności dysków w komputerach przenośnych. * Wprowadzono zakaz BYOD/BYOAI w całej organizacji. * Wdrożono separację VLAN - Oddzielna sieć „Guest Wi-Fi” od sieci firmowej. * Wprowadzono zabezpieczenia WiFi (WPA 3, silne hasło). * Wprowadzono procedurę w zakresie zagubienia/kradzież sprzętu służbowego i kart magnetycznych. * Dane firmowe są backupowane i przechowywane w bezpiecznych centrach danych (patrz. niżej). * Kopie zapasowe przechowywane są na innych serwerach niż wykorzystywane na produkcji do bieżącego funkcjonowania aplikacji. Dodatkowo przeprowadza się okresowo testy odtworzenia. * Wprowadzono mechanizm monitorowania i zarządzania aktualizacjami systemów obecnych na urządzeniach przenośnych pracowników. * Stosuje się blokady i ograniczenia w zakresie korzystania z urządzeń USB na urządzeniach przenośnych pracowników. * Dostęp do folderów z danymi opiera się na uprawnieniach pracownika (np. dział HR nie ma dostępu do folderów działu Sales) #### Środki ochrony w ramach narzędzi programowych i baz danych * Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych (podział ról). * Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. * Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. (5 minut.) * Wykonywane są kopie zapasowe przechowywane na serwerach Vercom S.A. w bezpiecznych Data Center (patrz. niżej). * Wykonywana jest aktualizacja aplikacji i systemów operacyjnych. * Przeprowadzane są wewnętrzne i zewnętrzne testy penetracyjne oraz automatyczne skany podatności (SIEM/Wazuh, integracja z CERT Polska). * Przeprowadzane jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (audyt). * Wprowadzono zakaz współdzielenia kont administracyjnych. * Wprowadzono szyfrowanie „in transit” (TLS) dla usług, poczty, portali klienta. * Wprowadzono szyfrowanie załączników/danych wrażliwych jak hasła/DO przy wysyłce mailem (polityka + narzędzia – Kleopatra, klucze PGP). * Obowiązuje zakaz wysyłania danych firmowych przez pracowników na ich prywatne skrzynki pocztowe. * Wprowadzono DLP w zakresie maili i załączników. ## Dostęp * VERCOM przeprowadza analizę ryzyka i wdrożyć odpowiednie kontrole w swoich systemach przed uzyskaniem dostępu do danych. Kontrole te obejmują połączenie warstw prawnych, technicznych, fizycznych, proceduralnych i ludzkich, w celu zapobiegania nieuprawnionemu nadużyciu, zniszczeniu, ujawnieniu lub modyfikacji danych. * Obszar pomieszczeń i obiektów lub budynków, w których znajdują się informacje, systemy informatyczne lub inna infrastruktura sieciowa, jest chroniony w sposób fizycznie trwały oraz za pomocą odpowiednich zabezpieczeń zorientowanych na ryzyko. * Wprowadzono formalne procedury przyznawania dostępu do danych. * Dostęp do danych ma tylko upoważniony pracownik. * Dostęp jest przyznawany w oparciu o tzw. zasadę ograniczonego dostępu, minimalizując niezbędny i uzasadniony dostęp, który wynika bezpośrednio z zakresu obowiązków pracownika. * Dostęp do danych może być przyznany jedynie zidentyfikowanej osobie fizycznej z powiązanymi indywidualnymi kontami użytkowników, a zapisy audytowe tych działań muszą być rejestrowane i udostępniane na żądanie. Korzystanie z uprzywilejowanych praw dostępu i kont nieosobistych jest ograniczone i kontrolowane. * Dane są udostępniane na zasadzie ""ograniczonego dostępu"". Użytkownicy lub klienci (zewnętrzni lub wewnętrzni) nie mogą mieć możliwości uzyskania dostępu do danych, które ich nie dotyczą. * Nośniki przenośne są zabezpieczone poprzez szyfrowanie i odpowiednio oznakowane. * Uwierzytelnianie wieloczynnikowe jest wdrażane dla wszystkich uprawnionych dostępów. * Co najmniej raz w roku dokonuje się okresowego przeglądu dostępu. ## Odpowiedzialność * Za każdy dostęp do danych Klienta jest odpowiedzialna możliwa do zidentyfikowania osoba lub zautomatyzowany proces. * Formalne procesy, które udzielają, usuwają lub modyfikują dostęp do danych są wprowadzone. Wszelkie tego typu działania są rejestrowane. * Systemy, sprzęty i oprogramowanie wykorzystywane do przetwarzania danych są utrzymywane zgodnie z tymi wymogami bezpieczeństwa. ## Reagowanie na incydenty i raportowanie * Wszystkie wykryte incydenty bezpieczeństwa i naruszenia danych mające wpływ na dane Klienta lub usługi świadczone na rzecz Klienta, muszą być zgłaszane przez VERCOM bez zbędnej zwłoki, zgodnie z Procedurą Incydentów. * Zgłoszenie naruszenia ochrony danych osobowych zawiera co najmniej następujące informacje: * Charakter naruszenia danych osobowych, * Charakter danych osobowych, których to dotyczy, * Kategorie i liczbę osób, których dane dotyczą, * Liczba rekordów danych osobowych, których to dotyczy, * Środki podjęte w celu zaradzenia naruszeniu danych, * Możliwe konsekwencje i negatywny wpływ naruszenia danych, oraz * Wszelkie inne informacje, które Klient jest zobowiązany zgłosić odpowiedniemu organowi regulacyjnemu lub podmiotowi danych. ## Employment screening * VERCOM stosuje employment screening pracowników, który obejmują referencje dotyczące zatrudnienia i odpowiednie kwalifikacje oraz następujące kwestie: * Dokument potwierdzający tożsamość osoby (np. paszport). * Dokument potwierdzający zdobyte wykształcenie (np. świadectwa). * Dokument potwierdzający doświadczenie zawodowe (np. życiorys/CV i referencje). * Podpisywanie przez pracownika oświadczenia o niekaralności. ## Ciągłość działania oraz kopie zapasowe • VERCOM posiada plan ciągłości działania zawierający odpowiednie sekcje dotyczące zarządzania incydentami i sytuacjami kryzysowymi, odpornością, kopiami zapasowymi i procedurami odzyskiwania danych po awarii, które podlegają przeglądowi i testom co najmniej raz w roku\ • VERCOM bezpiecznie przechowuje kopie aktualnego, niezbędnego oprogramowania systemowego, obrazów, danych i dokumentacji, aby zapewnić szybkie i kontrolowane odzyskiwanie zasobów informacyjnych ## Integralność danych, zarządzanie zmianami i podatnością • Wszystkie dane dostarczone przez użytkownika i dane wprowadzone przez użytkownika muszą być zatwierdzone w celu zachowania integralności danych\ • Wprowadzono sformalizowany proces zarządzania zmianą\ • Wprowadzono zarządzanie podatnością na zagrożenia i poprawkami z uwzględnieniem regularnych aktualizacji w celu zapewnienia ciągłej integralności systemu i terminowego łagodzenia nowych zagrożeń bezpieczeństwa\ • Wymagana jest ścisła separacja danych środowisk produkcyjnych od środowisk rozwojowych (deweloperskich) lub testowych. Nie dopuszcza się przechowywania danych produkcyjnych w żadnym środowisku nieprodukcyjnym, takim jak środowisko rozwojowe (deweloperskie) czy testowe.\ • Testy penetracyjne są wykonywane co najmniej raz w roku, a podsumowanie wyników dostarczone Klientowi na żądanie. ## Szyfrowanie Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych. ## Ochrona antywirusowa • VERCOM ustawicznie podnosi świadomość użytkowników i wdrażać stosowne kontrole i polityki dotyczące wykrywania, zapobiegania i odzyskiwania danych w przypadku złośliwego oprogramowania (wirusy, złośliwy kod)\ • VERCOM przeprowadza okresowe szkolenia pracowników w tym zakresie. ## Odpowiedzialność prawna • Należy w pełni przestrzegać przepisów RODO oraz innych obowiązujących przepisów, regulacji i zobowiązań umownych ## Szkolenie z zakresu bezpieczeństwa • Wszyscy pracownicy mający dostęp do danych lub informacji, muszą odbyć odpowiednie szkolenie w zakresie bezpieczeństwa\ • Vercom sprawdza poziom wiedzy pracowników po szkoleniach ## Własność aktywów • Wszystkie zasoby informacyjne (dane, systemy, procesy itp.) mają obowiązkowo określonego odpowiedzialnego właściciela wewnątrz firmy VERCOM\ • Po zakończeniu czynności zleconych lub gdy dane nie są już potrzebne do realizacji czynności przetwarzania, zostaną zwrócone Klientowi i bezpiecznie zniszczone. ## Niezaprzeczalność • Należy wprowadzić kontrole w celu zapewnienia, że działania i zdarzenia będą miały skutek prawny i nie będą mogły zostać zakwestionowane lub zanegowane przez VERCOM oraz że działania spełniają wymogi odpowiedzialnych osób z VERCOM, w tym pełnomocnika i IOD.\ Przegląd okresowy\ • Vercom przeprowadza okresowy przegląd dostępu, kontroli zabezpieczeń i ryzyka, co najmniej raz w roku, aby zagwarantować, że bezpieczeństwo aktywów nie zostanie naruszone. ## Prawo do audytu • Klient i jego podmioty stowarzyszone mają prawo w okresie obowiązywania umowy z VERCOM do przeprowadzenia oceny bezpieczeństwa w uzgodnionym terminie i zakresie, w celu zapewnienia odpowiedniego poziomu ochrony danych. Ta ochrona bezpieczeństwa będzie obejmować środki związane z technicznymi, fizycznymi, proceduralnymi i ludzkimi środkami i kontrolami.