search
MessageFlowPricingBlogAPI docs

Środki Bezpieczeństwa

hashtag
Środki ochrony danych

hashtag
Sposób zabezpieczenia pomieszczenia

  • Dokumenty papierowe zawierające dane osobowe przechowywane są w zamykanych niemetalowych szafkach, do których dostęp mają wyłącznie upoważnieni pracownicy.

  • Wdrożono zasadę czystego biurka i czystego ekranu.

  • Wdrożono i pouczono pracowników o zakazie zostawiania dokumentów bez nadzoru.

  • Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.

  • Dostęp do pomieszczeń, w których przetwarzane są dane osobowe, jest ograniczony do osób upoważnionych i realizowany za pomocą wielopoziomowego systemu kontroli dostępu (kontrola wejścia do budynku, dostęp do pięter oraz pomieszczeń biurowych na podstawie kart pracowniczych).

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

  • Wejście do biura, objęte jest systemem kontroli dostępu (identyfikacja kartą pracowniczą).

  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony.

  • Wydzielono jedno miejsce do drukowania i skanowania dokumentów. Drukarki znajdują się w strefie pracowniczej za bramkami, windą i wejściem do biura chronionym kartą magnetyczną.

  • Wprowadzono i pouczono pracowników o zasadzie „no tailgating” + stosowanie drzwi samozamykających.

  • Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.

  • Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone przy użyciu niszczarek dokumentów (poziom P3).

  • Recepcja oraz księga „wejść / wyjść” Gości.

hashtag
Środki organizacyjne

  • Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.

  • Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.

  • Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.

  • Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.

  • Dane osobowe nie są udostępniane przez pracowników osobom postronnym w trakcie wykonywania czynności (np. pobieranie danych osobowych do faktury VAT przy innym kliencie).

  • Wprowadzono polityki i procedury w zakresie reagowania i dokumentowania incydentów.

  • Wdrożono politykę ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

  • Wdrożono Zintegrowany System Zarządzania ISO 27001, ISO 22301, ISO 27018 i związany z nimi system klasyfikacji informacji.

  • Stosowana jest zasada rozliczalności działań mająca na celu wykazanie, że dokonywane są czynności administracyjne związane z zapewnieniem bezpieczeństwa.

  • Prowadzona jest inwentaryzacja sprzętu przetwarzającego dane osobowe.

  • Ewidencjonowane są incydenty dot. bezpieczeństwa danych osobowych.

  • Prowadzony jest Rejestr Czynności Przetwarzania i Rejestr Wszystkich Kategorii Czynności Przetwarzania. Dodatkowo aktualizuje się Środki Techniczne i Organizacyjne w przypadku zmian. Imienne upoważnienie do przetwarzania danych zawiera zakres, systemy i kategorie przetwarzanych danych przez pracownika.

  • Prowadzony jest rejestr upoważnień do przetwarzania różnych kategorii danych osobowych przez pracowników (aktualizowany na bieżąco).

  • Przeprowadza się symulacje phishingowe, w celu zwiększenia świadomości pracowników.

  • Przeprowadza się okresowy przegląd uprawnień osób upoważnionych do przetwarzania audytów wewnętrznych w zakresie funkcjonowania RODO w organizacji.

  • Uregulowano zasady pracy zdalnej w formie odpowiedniego Regulaminu..Wdrożono politykę haseł, regulującą m.in. ich minimalną długość w systemach Vercom, oraz konieczność użycia znaków specjalnych.

hashtag
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej

  • Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego, którego dysk dodatkowo jest szyfrowany.

  • Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową (VPN). Dodatkowo w zakresie komputerów przenośnych stosuje się MFA (CISCO DUO).

  • Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.

  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

  • Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.

  • Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.

  • Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.

  • Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.

  • Użyto system Firewall do ochrony dostępu do sieci komputerowej.

  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

  • Zastosowano szyfrowanie nośników danych w tym w szczególności dysków w komputerach przenośnych.

  • Wprowadzono zakaz BYOD/BYOAI w całej organizacji.

  • Wdrożono separację VLAN - Oddzielna sieć „Guest Wi-Fi” od sieci firmowej.

  • Wprowadzono zabezpieczenia WiFi (WPA 3, silne hasło).

  • Wprowadzono procedurę w zakresie zagubienia/kradzież sprzętu służbowego i kart magnetycznych.

  • Dane firmowe są backupowane i przechowywane w bezpiecznych centrach danych (patrz. niżej).

  • Kopie zapasowe przechowywane są na innych serwerach niż wykorzystywane na produkcji do bieżącego funkcjonowania aplikacji. Dodatkowo przeprowadza się okresowo testy odtworzenia.

  • Wprowadzono mechanizm monitorowania i zarządzania aktualizacjami systemów obecnych na urządzeniach przenośnych pracowników.

  • Stosuje się blokady i ograniczenia w zakresie korzystania z urządzeń USB na urządzeniach przenośnych pracowników.

  • Dostęp do folderów z danymi opiera się na uprawnieniach pracownika (np. dział HR nie ma dostępu do folderów działu Sales)

hashtag
Środki ochrony w ramach narzędzi programowych i baz danych

  • Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych (podział ról).

  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

  • Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. (5 minut.)

  • Wykonywane są kopie zapasowe przechowywane na serwerach Vercom S.A. w bezpiecznych Data Center (patrz. niżej).

  • Wykonywana jest aktualizacja aplikacji i systemów operacyjnych.

  • Przeprowadzane są wewnętrzne i zewnętrzne testy penetracyjne oraz automatyczne skany podatności (SIEM/Wazuh, integracja z CERT Polska).

  • Przeprowadzane jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (audyt).

  • Wprowadzono zakaz współdzielenia kont administracyjnych.

  • Wprowadzono szyfrowanie „in transit” (TLS) dla usług, poczty, portali klienta.

  • Wprowadzono szyfrowanie załączników/danych wrażliwych jak hasła/DO przy wysyłce mailem (polityka + narzędzia – Kleopatra, klucze PGP).

  • Obowiązuje zakaz wysyłania danych firmowych przez pracowników na ich prywatne skrzynki pocztowe.

  • Wprowadzono DLP w zakresie maili i załączników.

hashtag
Dostęp

  • VERCOM przeprowadza analizę ryzyka i wdrożyć odpowiednie kontrole w swoich systemach przed uzyskaniem dostępu do danych. Kontrole te obejmują połączenie warstw prawnych, technicznych, fizycznych, proceduralnych i ludzkich, w celu zapobiegania nieuprawnionemu nadużyciu, zniszczeniu, ujawnieniu lub modyfikacji danych.

  • Obszar pomieszczeń i obiektów lub budynków, w których znajdują się informacje, systemy informatyczne lub inna infrastruktura sieciowa, jest chroniony w sposób fizycznie trwały oraz za pomocą odpowiednich zabezpieczeń zorientowanych na ryzyko.

  • Wprowadzono formalne procedury przyznawania dostępu do danych.

  • Dostęp do danych ma tylko upoważniony pracownik.

  • Dostęp jest przyznawany w oparciu o tzw. zasadę ograniczonego dostępu, minimalizując niezbędny i uzasadniony dostęp, który wynika bezpośrednio z zakresu obowiązków pracownika.

  • Dostęp do danych może być przyznany jedynie zidentyfikowanej osobie fizycznej z powiązanymi indywidualnymi kontami użytkowników, a zapisy audytowe tych działań muszą być rejestrowane i udostępniane na żądanie. Korzystanie z uprzywilejowanych praw dostępu i kont nieosobistych jest ograniczone i kontrolowane.

  • Dane są udostępniane na zasadzie ""ograniczonego dostępu"". Użytkownicy lub klienci (zewnętrzni lub wewnętrzni) nie mogą mieć możliwości uzyskania dostępu do danych, które ich nie dotyczą.

  • Nośniki przenośne są zabezpieczone poprzez szyfrowanie i odpowiednio oznakowane.

  • Uwierzytelnianie wieloczynnikowe jest wdrażane dla wszystkich uprawnionych dostępów.

  • Co najmniej raz w roku dokonuje się okresowego przeglądu dostępu.

hashtag
Odpowiedzialność

  • Za każdy dostęp do danych Klienta jest odpowiedzialna możliwa do zidentyfikowania osoba lub zautomatyzowany proces.

  • Formalne procesy, które udzielają, usuwają lub modyfikują dostęp do danych są wprowadzone. Wszelkie tego typu działania są rejestrowane.

  • Systemy, sprzęty i oprogramowanie wykorzystywane do przetwarzania danych są utrzymywane zgodnie z tymi wymogami bezpieczeństwa.

hashtag
Reagowanie na incydenty i raportowanie

  • Wszystkie wykryte incydenty bezpieczeństwa i naruszenia danych mające wpływ na dane Klienta lub usługi świadczone na rzecz Klienta, muszą być zgłaszane przez VERCOM bez zbędnej zwłoki, zgodnie z Procedurą Incydentów.

  • Zgłoszenie naruszenia ochrony danych osobowych zawiera co najmniej następujące informacje:

    • Charakter naruszenia danych osobowych,

    • Charakter danych osobowych, których to dotyczy,

    • Kategorie i liczbę osób, których dane dotyczą,

    • Liczba rekordów danych osobowych, których to dotyczy,

    • Środki podjęte w celu zaradzenia naruszeniu danych,

    • Możliwe konsekwencje i negatywny wpływ naruszenia danych, oraz

    • Wszelkie inne informacje, które Klient jest zobowiązany zgłosić odpowiedniemu organowi regulacyjnemu lub podmiotowi danych.

hashtag
Employment screening

  • VERCOM stosuje employment screening pracowników, który obejmują referencje dotyczące zatrudnienia i odpowiednie kwalifikacje oraz następujące kwestie:

    • Dokument potwierdzający tożsamość osoby (np. paszport).

    • Dokument potwierdzający zdobyte wykształcenie (np. świadectwa).

    • Dokument potwierdzający doświadczenie zawodowe (np. życiorys/CV i referencje).

    • Podpisywanie przez pracownika oświadczenia o niekaralności.

hashtag
Ciągłość działania oraz kopie zapasowe

• VERCOM posiada plan ciągłości działania zawierający odpowiednie sekcje dotyczące zarządzania incydentami i sytuacjami kryzysowymi, odpornością, kopiami zapasowymi i procedurami odzyskiwania danych po awarii, które podlegają przeglądowi i testom co najmniej raz w roku • VERCOM bezpiecznie przechowuje kopie aktualnego, niezbędnego oprogramowania systemowego, obrazów, danych i dokumentacji, aby zapewnić szybkie i kontrolowane odzyskiwanie zasobów informacyjnych

hashtag
Integralność danych, zarządzanie zmianami i podatnością

• Wszystkie dane dostarczone przez użytkownika i dane wprowadzone przez użytkownika muszą być zatwierdzone w celu zachowania integralności danych • Wprowadzono sformalizowany proces zarządzania zmianą • Wprowadzono zarządzanie podatnością na zagrożenia i poprawkami z uwzględnieniem regularnych aktualizacji w celu zapewnienia ciągłej integralności systemu i terminowego łagodzenia nowych zagrożeń bezpieczeństwa • Wymagana jest ścisła separacja danych środowisk produkcyjnych od środowisk rozwojowych (deweloperskich) lub testowych. Nie dopuszcza się przechowywania danych produkcyjnych w żadnym środowisku nieprodukcyjnym, takim jak środowisko rozwojowe (deweloperskie) czy testowe. • Testy penetracyjne są wykonywane co najmniej raz w roku, a podsumowanie wyników dostarczone Klientowi na żądanie.

hashtag
Szyfrowanie

Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych.

hashtag
Ochrona antywirusowa

• VERCOM ustawicznie podnosi świadomość użytkowników i wdrażać stosowne kontrole i polityki dotyczące wykrywania, zapobiegania i odzyskiwania danych w przypadku złośliwego oprogramowania (wirusy, złośliwy kod) • VERCOM przeprowadza okresowe szkolenia pracowników w tym zakresie.

hashtag
Odpowiedzialność prawna

• Należy w pełni przestrzegać przepisów RODO oraz innych obowiązujących przepisów, regulacji i zobowiązań umownych

hashtag
Szkolenie z zakresu bezpieczeństwa

• Wszyscy pracownicy mający dostęp do danych lub informacji, muszą odbyć odpowiednie szkolenie w zakresie bezpieczeństwa • Vercom sprawdza poziom wiedzy pracowników po szkoleniach

hashtag
Własność aktywów

• Wszystkie zasoby informacyjne (dane, systemy, procesy itp.) mają obowiązkowo określonego odpowiedzialnego właściciela wewnątrz firmy VERCOM • Po zakończeniu czynności zleconych lub gdy dane nie są już potrzebne do realizacji czynności przetwarzania, zostaną zwrócone Klientowi i bezpiecznie zniszczone.

hashtag
Niezaprzeczalność

• Należy wprowadzić kontrole w celu zapewnienia, że działania i zdarzenia będą miały skutek prawny i nie będą mogły zostać zakwestionowane lub zanegowane przez VERCOM oraz że działania spełniają wymogi odpowiedzialnych osób z VERCOM, w tym pełnomocnika i IOD. Przegląd okresowy • Vercom przeprowadza okresowy przegląd dostępu, kontroli zabezpieczeń i ryzyka, co najmniej raz w roku, aby zagwarantować, że bezpieczeństwo aktywów nie zostanie naruszone.

hashtag
Prawo do audytu

• Klient i jego podmioty stowarzyszone mają prawo w okresie obowiązywania umowy z VERCOM do przeprowadzenia oceny bezpieczeństwa w uzgodnionym terminie i zakresie, w celu zapewnienia odpowiedniego poziomu ochrony danych. Ta ochrona bezpieczeństwa będzie obejmować środki związane z technicznymi, fizycznymi, proceduralnymi i ludzkimi środkami i kontrolami.

PreviousData ActNextTesty Bezpieczeństwa

Last updated