Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

Środki Ochrony Danych

Sposób zabezpieczenia pomieszczenia

Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi zamykanymi na klucz (niewzmacnianymi, nie przeciwpożarowymi).
Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C.
Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, objęty jest systemem kontroli dostępu.
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony.
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony.
Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie.
Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej.
Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy.
Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone przy użyciu niszczarek dokumentów.
Recepcja oraz księga "wejść/wyjść" Gości.

Środki organizacyjne

Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego.
Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy.
Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
Dane osobowe nie są udostępniane przez pracowników osobom postronnym w trakcie wykonywania czynności (np. pobieranie danych osobowych do faktury VAT przy innym kliencie).
Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
Wdrożono politykę ochrony danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Wdrożono System Zarządzania Bezpieczeństwem informacji ISO 27001.
Stosowana jest zasada rozliczalności działań mająca na celu wykazanie, że dokonywane są czynności administracyjne związane z zapewnieniem bezpieczeństwa.
Prowadzona jest inwentaryzacja sprzętu przetwarzającego dane osobowe.
Ewidencjonowane są incydenty dot. bezpieczeństwa danych osobowych.

Środki sprzętowe Infrastruktury Informatycznej i Telekomunikacyjnej

Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego.
Komputer służący do przetwarzania danych osobowych jest połączony z lokalną siecią komputerową.
Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
Zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł.
Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji.
Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
Użyto system Firewall do ochrony dostępu do sieci komputerowej.
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
Zastosowano szyfrowanie nośników danych w tym w szczególności dysków w komputerach przenośnych.

Środki Ochrony w Ramach Narzędzi Programowych i Baz Danych

Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych.
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe (5 minut).
Wykonywane są kopie zapasowe.
Wykonywana jest aktualizacja aplikacji i systemów operacyjnych.
Przeprowadzane są wewnętrzne i zewnętrzne testy penetracyjne oraz automatyczne skany podatności.
Przeprowadzane jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych (audyt).

Środki Techniczne i Organizacyjne

VERCOM S.A. wdraża polityki, procedury, normy i wytyczne dotyczące bezpieczeństwa informacji, zwykle w kontekście Systemu Zarządzania Bezpieczeństwem Informacji, określanego w normach ISO/IEC 27001 i ISO 27018.

Dostęp

VERCOM przeprowadza analizę ryzyka i wdraża odpowiednie kontrole w swoich systemach przed uzyskaniem dostępu do danych. Kontrole te obejmują połączenie warstw prawnych, technicznych, fizycznych, proceduralnych i ludzkich, w celu zapobiegania nieuprawnionemu nadużyciu, zniszczeniu, ujawnieniu lub modyfikacji danych.
Obszar pomieszczeń i obiektów lub budynków, w których znajdują się informacje, systemy informatyczne lub inna infrastruktura sieciowa, jest chroniony w sposób fizycznie trwały oraz za pomocą odpowiednich zabezpieczeń zorientowanych na ryzyko.
Wprowadzono formalne procedury przyznawania dostępu do danych.
Dostęp do danych ma tylko upoważniony pracownik.
Dostęp jest przyznawany w oparciu o tzw. zasadę ograniczonego dostępu, minimalizując niezbędny i uzasadniony dostęp, który wynika bezpośrednio z zakresu obowiązków pracownika.
Dostęp do danych może być przyznany jedynie zidentyfikowanej osobie fizycznej z powiązanymi indywidualnymi kontami użytkowników, a zapisy audytowe tych działań muszą być rejestrowane i udostępniane na żądanie. Korzystanie z uprzywilejowanych praw dostępu i kont nieosobistych jest ograniczone i kontrolowane.
Dane są udostępniane na zasadzie "ograniczonego dostępu". Użytkownicy lub klienci (zewnętrzni lub wewnętrzni) nie mogą mieć możliwości uzyskania dostępu do danych, które ich nie dotyczą.
Nośniki przenośne są zabezpieczone poprzez szyfrowanie i odpowiednio oznakowane.
Uwierzytelnianie wieloczynnikowe jest wdrażane dla wszystkich uprawnionych dostępów.
Co najmniej raz w roku dokonuje się okresowego przeglądu dostępu.

Odpowiedzialność

Za każdy dostęp do danych Klienta jest odpowiedzialna możliwa do zidentyfikowania osoba lub zautomatyzowany proces.
Formalne procesy, które udzielają, usuwają lub modyfikują dostęp do danych są wprowadzone. Wszelkie tego typu działania są rejestrowane i udostępniane Klientowi w ciągu 48 godzin na jego żądanie.
Systemy, sprzęty i oprogramowanie wykorzystywane do przetwarzania danych są utrzymywane zgodnie z tymi wymogami bezpieczeństwa.

Reagowanie na Bezpieczeństwo i Incydenty

Wszystkie wykryte incydenty bezpieczeństwa i naruszenia danych mające wpływ na dane Klienta lub usługi świadczone na rzecz Klienta, muszą być zgłaszane przez VERCOM bez zbędnej zwłoki, maksymalnie 48 godzin po ich wykryciu.

Zgłoszenie naruszenia ochrony danych osobowych zawiera co najmniej następujące informacje:

Charakter danych osobowych, których to dotyczy.
Kategorie i liczbę osób, których dane dotyczą.
Liczba rekordów danych osobowych, których to dotyczy.
Środki podjęte w celu zaradzenia naruszeniu danych.
Możliwe konsekwencje i negatywny wpływ naruszenia danych.
Wszelkie inne informacje, które Klient jest zobowiązany zgłosić odpowiedniemu organowi regulacyjnemu lub podmiotowi danych.

Kontrola Pracowników

VERCOM musi wdrożyć procedury dotyczące kontroli pracowników, które obejmują referencje dotyczące zatrudnienia i odpowiednie kwalifikacje oraz następujące kwestie:

Dokument potwierdzający tożsamość osoby (np. paszport).
Dokument potwierdzający zdobyte wykształcenie (np. świadectwa).
Dokument potwierdzający doświadczenie zawodowe (np. życiorys/CV i referencje).

O ile dotyczy:

Sprawdzenie niekaralności (team obsługujący banki, instytucje finansowe)
Sprawdzanie zdolności kredytowej

Ciągłość Działania oraz Kopie Zapasowe

VERCOM posiada plan ciągłości działania zawierający odpowiednie sekcje dotyczące zarządzania incydentami i sytuacjami kryzysowymi, odpornością, kopiami zapasowymi i procedurami odzyskiwania danych po awarii, które podlegają przeglądowi i testom co najmniej raz w roku.
VERCOM bezpiecznie przechowuje kopie aktualnego, niezbędnego oprogramowania systemowego, obrazów, danych i dokumentacji, aby zapewnić szybkie i kontrolowane odzyskiwanie zasobów informacyjnych.

Integralność Danych, Zarządzanie Zmianami i Podatnością

Wszystkie dane dostarczone przez użytkownika i dane wprowadzone przez użytkownika muszą być zatwierdzone w celu zachowania integralności danych.
Wprowadzono sformalizowany proces zarządzania zmianą.
Wprowadzono zarządzanie podatnością na zagrożenia i poprawkami z uwzględnieniem regularnych aktualizacji w celu zapewnienia ciągłej integralności systemu i terminowego łagodzenia nowych zagrożeń bezpieczeństwa.
Wymagana jest ścisła separacja danych środowisk produkcyjnych od środowisk rozwojowych (deweloperskich) lub testowych. Nie dopuszcza się przechowywania danych produkcyjnych w żadnym środowisku nieprodukcyjnym, takim jak środowisko rozwojowe (deweloperskie) czy testowe.
Testy penetracyjne są wykonywane co najmniej raz w roku, a podsumowanie wyników dostarczone Klientowi na żądanie.

Szyfrowanie

Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych.

Ochrona Antywirusowa

VERCOM ustawicznie podnosi świadomość użytkowników i wdrażać stosowne kontrole i polityki dotyczące wykrywania, zapobiegania i odzyskiwania danych w przypadku złośliwego oprogramowania (wirusy, złośliwy kod)
VERCOM przeprowadza okresowe szkolenia pracowników w tym zakresie.

Odpowiedzialność Prawna

Należy w pełni przestrzegać przepisów RODO oraz innych obowiązujących przepisów, regulacji i zobowiązań umownych

Szkolenie z Zakresu Bezpieczeństwa

Wszyscy pracownicy mający dostęp do danych lub informacji, muszą odbyć odpowiednie szkolenie w zakresie bezpieczeństwa
VERCOM sprawdza poziom wiedzy pracowników po szkoleniach

Własność Aktywów

Wszystkie zasoby informacyjne (dane, systemy, procesy itp.) mają obowiązkowo określonego odpowiedzialnego właściciela wewnątrz firmy VERCOM
Po zakończeniu czynności zleconych lub gdy dane nie są już potrzebne do realizacji czynności przetwarzania, zostaną zwrócone Klientowi i bezpiecznie zniszczone.

Niezaprzeczalność

Należy wprowadzić kontrole w celu zapewnienia, że działania i zdarzenia będą miały skutek prawny i nie będą mogły zostać zakwestionowane lub zanegowane przez VERCOM oraz że działania spełniają wymogi odpowiedzialnych osób z VERCOM, w tym pełnomocnika i IOD.

Przegląd Okresowy

VERCOM przeprowadza okresowy przegląd dostępu, kontroli zabezpieczeń i ryzyka, co najmniej raz w roku, aby zagwarantować, że bezpieczeństwo aktywów nie zostanie naruszone.

Prawo do Audytu

Klient i jego podmioty stowarzyszone mają prawo w okresie obowiązywania umowy z VERCOM do przeprowadzenia oceny bezpieczeństwa w uzgodnionym i dogodnym czasie, w celu zapewnienia odpowiedniego poziomu ochrony danych. Ta ochrona bezpieczeństwa będzie obejmować środki związane z technicznymi, fizycznymi, proceduralnymi i ludzkimi środkami i kontrolami.

PreviousBezpieczeństwo Fizyczne i Infrastrukturalne Centrów Danych NextOchrona Usług i Zabezpieczenia Połączeń (Cloudflare WAF)

Last updated 3 days ago