Bezpieczeństwo – Najczęściej Zadawane Pytania (FAQ)

Ogólne Pytania o Usługę i Dane

Czy EmailLabs świadczy usługi w chmurze?

Tak, EmailLabs kwalifikuje się jako usługa "publicznej chmury". Serwer SMTP, będący prywatnym serwerem wirtualnym (VPS), jest oddzielony od fizycznego serwera VERCOM i może być współdzielony lub dedykowany klientowi. Szczegółową specyfikacje techniczną znajdziesz poniżej: I. Część Wysyłkowa: Główną funkcją usługi EmailLabs jest masowe wysyłanie wiadomości e-mail do bazy adresowej określonej przez klienta. II. Baza Danych: Dane zawarte w wiadomościach e-mail przetwarzane są na serwerach należących do VERCOM. W przypadku kopii zapasowych dane są szyfrowane (i przechowywane w tej formie na serwerach dostarczanych przez strony trzecie).

Jak wygląda proces przetwarzania danych w EmailLabs?

Przetwarzanie danych rozróżnia:

Dane w ruchu: Szyfrowane protokołem SSL.
Dane statyczne: Przechowujemy tylko adresy e-mail odbiorców (logi e-maili w panelu). Te dane nie są szyfrowane z powodu obciążenia obliczeniowego związanego z przetwarzaniem takich baz danych. W I kwartale 2024 roku będzie dostępna funkcja anonimizacji danych.

Czy dostępna jest anonimizacja danych?

Tak, proces obejmuje zapisywanie logów z anonimizowanymi adresami TO. Na przykład zamiast "[email protected]" będzie "j**********@abcabc.pl".

Inspektor Danych Osobowych

Czy Procesor wyznaczył Inspektora Ochrony Danych Osobowych?

Tak, VERCOM S.A. wyznaczył inspektora Ochrony Danych Osobowych.

Jakie są dane kontaktowe Inspektora Ochrony Danych Osobowych?

Inspektor Ochrony Danych Osobowych Vercom S.A to: Marika Rybarczyk [email protected]

Czy działania Inspektora Ochrony Danych (osoby odpowiedzialnej za obszar ochrony danych osobowych) są dokumentowane?

Tak, działania IOD są dokumentowane.

Administrator Danych Osobowych (AOD)

Czy wdrożono zasady realizacji praw podmiotów danych (do informacji, dostępu do danych oraz ich kopii, do sprostowania lub uzupełnienia danych, do usunięcia danych, do ograniczenia przetwarzania, do przenoszenia danych, do sprzeciwu, do nie podlegania automatycznemu profilowaniu)?

Tak, w zakresie w jakim obowiązki te spoczywają na Vercom S.A. jako Administratorze danych osobowych.

Vercom w niezbędnym zakresie wspiera Administratorów w wywiązywaniu się obowiązków wynikających z regulacji prawnych. Rozwiązania Vercom nie są systemami do zarządzania bazami danych, a więc funkcjonalności w tym zakresie mogą być ograniczone.

Czy podmiot przetwarzający prowadzi rejestr żądań osób których dotyczą dane?

Jako podmiot przetwarzający nie prowadzimy rejestru żądań osób, których dane dotyczą, gdyż są to kwestie spoczywające po stronie ADO.

Wszystkie żądania od Podmiotów Danych, które do nas wpływają, są niezwłocznie przekazywane do Administratorów zgodnie z umową powierzenia, a podmiot zgłaszający otrzymuje informację, że przekazaliśmy dane do Administratora. Podmiot przetwarzający wspiera Administratorów w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą.

Czy są wyznaczone osoby odpowiedzialne za utrzymanie kontaktu z Administratorem powierzającym przetwarzanie?

Tak, są wyznaczone osoby odpowiedzialne za utrzymanie kontaktu z Administratorem powierzającym przetwarzanie.

Pierwszą linią wsparcia jest opiekun biznesowy oraz BOK, każdy ADO ma również możliwość kontaktu bezpośrednio z IOD

Powierzenie i dalsze powierzenie przetwarzania danych osobowych

Mogę podpisać z EmailLabs umowę DPA?

Tak, sprawdź wzór Umowy DPA: Wzory Dokumentów dla Klientów

Jaki jest przedmiot, charakter i cel przetwarzania danych osobowych?

Przetwarzanie następuje w celu świadczenia Usługi na rzecz Klienta w oparciu o Umowę Główną oraz w celu wypełnienia zobowiązań Vercom wynikających z niniejszej Umowy powierzenia odnoszących się, w szczególności, do zabezpieczenia danych, w tym zapewnienia ich integralności i dostępności.

Jaki jest czas trwania przetwarzania?

Okres przetwarzania danych będzie taki sam jak okres świadczenia Usług na podstawie Umowy Głównej, z zastrzeżeniem, że umowa powierzenia obowiązuje do momentu usunięcia danych zgodnie z jej postanowieniami.

Jakie kategorie osób fizycznych obejmuje umowa?

Przetwarzane dane osobowe dotyczą następujących kategorii osób fizycznych: Użytkownicy końcowi – osoby fizyczne będące odbiorcami komunikacji elektronicznej wysyłanej przez Klienta na podstawie Umowy Głównej.

Jakie rodzaje szczególnych kategorii danych osobowych są objęte umową?

Przetwarzane szczególne kategorie danych osobowych obejmują następujące kategorie: Nie Dotyczy.

Z ilu podzleceniobiorców i w jakim zakresie korzysta podmiot przetwarzający?

W zależności od świadczonej usługi lista procesorów może się różnić. Szczegóły reguluje zawarta umowa powierzenia przetwarzania danych osobowych.

Lista dostępna w zakładce Przetwarzanie Danych Osobowych w EmailLabs.

Czy EmailLabs przetwarza dane poza Unią Europejską?

Przetwarzanie danych osobowych odbywa się na terytorium Unii Europejskiej lub Europejskiego Obszaru Gospodarczego, chyba że obowiązek przekazania danych osobowych do kraju trzeciego wynika z przepisów GDPR. Więcej informacji znajdziesz w zakładce Ochrona Danych Osobowych i Zgodność z Przepisami oraz w sekcji Ochrona Usług i Zabezpieczenia Połączeń (Cloudflare WAF)

Gdzie są przechowywane dane powierzone do przetwarzania?

Wszystkie operacje wykonywane na danych osobowych odbywają się w systemie informatycznym. Dane powierzone do przetwarzania nie są przechowywane na komputerach pracowników. Vercom nie przetwarza, w ramach świadczonych usług, danych osobowych w wersji papierowej. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu.

Czy są ustalone mechanizmy przechowywania, usuwania, w tym anonimizacji danych osobowych?

Tak.

PBI - 01 Zał. 07 Procedura Retencji Danych VERCOM. Kwestie uregulowane są dodatkowo w Umowie powierzenia przetwarzania danych Dane usuwane są w terminie 3 dni roboczych od rozwiązania lub wygaśnięcia Umowy Głównej. Dane Osobowe ulegają automatycznemu usunięciu, chyba że obowiązek ich zachowania wynikać będzie z przepisów prawa obowiązujących Vercom. Dane z backupu usuwane są po dwóch latach.

Czy wszyscy wykorzystywani w trakcie świadczenia usług podwykonawcy, zostali sprawdzeni pod kątem zapewnienia odpowiedniego poziomu ochrony danych osobowych?

Tak, podwykonawcy podlegają corocznej ocenie.

Czy prowadzona jest ewidencja dostawców, którym powierzacie lub wtórnie powierzacie Państwo przetwarzanie danych osobowych?

Tak, prowadzona jest szczegółowa lista dalszych podmiotów przetwarzających Vercom S.A., ostatnia aktualizacja 20.03.2023 oraz Rejestr Czynności Przetwarzania w VERCOM S.A.

Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?

Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności.

Ostatni audyt ISO 22301 miał miejsce w styczniu 2025, poprzednie audyty zewnętrzne 27001 oraz ISO 27018 miał miejsce w sierpniu 2024. Obejmowały zakresem całą organizację i wszystkie wymagane normy oraz pomiar skuteczoności zabezpieczeń. Nastąpiła weryfikacja zgodności z normą ISO 22301, ISO 27001 oraz 27018. Uzyskano certyfikat zgodności.

W roku 2024 przepriwadzono dodatkowo 3 audyty wewnętrzne zakończone powstaniem raportu z audytu i przeglądem funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.

Gdzie są przechowywane dane powierzone do przetwarzania?

W jaki sposób podmiot zapewnia oddzielenie powierzonych mu danych przez Administratora od danych innych podmiotów w tym danych własnych?

W systemach Vercom udostępnianych w ramach świadczonych usług zastosowana jest separacja logiczna danych.

Czy Przetwarzający stosuje zatwierdzony kodeks postępowania, o którym mowa w art. 40 RODO?

Nie.

Nie podlegamy pod wymóg stosowania zatwierdzonych kodeksów postępowania.

Czy jest prowadzony Rejestr Czynności Przetwarzania?

Tak.

Czy jest prowadzony Rejestr Kategorii Czynności Przetwarzania?

Tak.

Implementacja Systemu Zarządzania Bezpieczeństwa Informacji

Czy została wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące przetwarzania i ochrony danych osobowych?

Tak.

Wdrożone i potwierdzone certyfikatem ISO 27001 oraz ISO 27018 PBI - 01 Księga Procesu Bezpieczeństwa Informacji DO-01 Polityka Bezpieczeństwa Danych Osobowych

Czy została wdrożona instrukcja zarządzania systemami IT służącymi do przetwarzania danych osobowych lub inne regulacje wewnętrzne dot. zasad zarządzania infrastrukturą IT?

Tak. Wdrożona i udokumentowana procedura DO-02 Instrukcja zarządzania systemem informatycznym.

Czy Wdrożona Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są zaakceptowana przez kadrę zarządzającą?

Tak.

Czy zapewniamy zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania?

Tak.

Czy Polityka Bezpieczeństwa Informacji oraz regulacje dotyczące ochrony danych osobowych są opublikowane i dostępne dla Personelu (pracownicy/zleceniobiorcy)?

Tak.

Czy podmiot przetwarzający realizuje zasadę ochrony danych w fazie projektowania (Privacy by design)?

Tak. Działamy zgodnie z zasadą Privacy by design oraz Privacy by default.

Czy zostały przygotowane i są wdrożone regulacje wewnętrzne dotyczące nadzoru i monitorowania procesów przetwarzania danych osobowych?

Tak. Przeprowadzane są okresowe audyty wewnętrzne oraz zewnętrzne. Testowanie odbywa się minimum raz na 12 miesięcy lub częściej w razie konieczności. Ostatni audyt ISO 22301 miał miejsce w styczniu 2025, poprzednie audyty zewnętrzne 27001 oraz ISO 27018 miał miejsce w sierpniu 2024. Obejmowały zakresem całą organizację i wszystkie wymagane normy oraz pomiar skuteczoności zabezpieczeń. Nastąpiła weryfikacja zgodności z normą ISO 22301, ISO 27001 oraz 27018. Uzyskano certyfikat zgodności. W roku 2024 przeprowadzono dodatkowo 3 audyty wewnętrzne zakończone powstaniem raportu z audytu i przeglądem funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji.

Szacowanie Ryzyka

Czy jest wdrożona metodologia szacowania ryzyka naruszenia praw lub wolności osób fizycznych?

Tak. Wdrożona procedura DO-03 Metodyka Szacowania Ryzyka Danych Osobowych

Czy jest wdrożona metodologia oceny skutków dla ochrony danych osobowych?

Tak. Wdrożona procedura DO-03 Metodyka Szacowania Ryzyka Danych Osobowych.

Czy szacowanie ryzyka jest wykonywane okresowo? Proszę podać datę ostatniego szacowania ryzyka.

Tak, 14.04.2023.

Zgodnie z wdrożoną i udokumentowaną procedurą Szacowania Ryzyka prowadzony jest Arkusz Szacowania Ryzyka w formie elektronicznej. Szacowanie odbywa się raz do roku, oraz w razie zaistnienia konieczności wynikającej z planowanych działań, każdorazowo dodatkowo.

Ciągłość Działania

Czy są stosowane mechanizmy monitorowania i wykrywania działań mogących mieć wpływ na bezpieczeństwo informacji oraz ciągłość działania?

Tak, wdrożony jest szereg rozwiązań monitorujących darzenia w systemie i alertujących o wykrytych nieprawidłowościach. Dodatkowo firma posiada wewnętrzny zespół ds. cyberbezpieczeństwa prowadzący regularne testy wdrożonych rozwiązań.

Czy wdrożono Plan Ciągłości Działania BCP lub/i DRP?

Tak. Jest opracowany i wdrożony Plan ciągłości działania, który jest regularnie testowany (nie rzadziej niż raz na rok) PBI - 01 Zał. 03 Schemat ciągłości działania (BCP); Vercom posiada również plan DRP.

Czy stosowane jest regularne testowanie i ocenianie skuteczności wdrożonych środków organizacyjnych i technicznych mających zapewnić odpowiedni poziom bezpieczeństwa przetwarzania?

Tak, w ramach corocznych testów BCP

Co z kopiami zapasowymi systemu?

Kopie zapasowe, szyfrowane różnymi algorytmami, w tym AES256, są przeprowadzane wyłącznie w naszych CPD, zlokalizowanych wyłącznie w obszarze EOG, w celu ewentualnej utraty operacyjnych danych i przywracania systemu. Więcej informacji: Bezpieczeństwo Fizyczne i Infrastrukturalne Centrów Danych

Zarządzanie Incydentami Bezpieczeństwa i Naruszeniem Danych Osobowych

Czy dostawca ustalił procedury dotyczące postępowania na wypadek naruszenia ochrony danych osobowych (incydentu bezpieczeństwa)?

Tak, istnieje i został wdrożony formalny proces obsługi wszelkich naruszeń ochrony danych osobowych i incydentów bezpieczeństwa, wszystkie naruszenia ochrony danych osobowych i incydenty bezpieczeństwa są raportowane do kadry zarządzającej, są rejestrowane oraz obsługiwane przez wyznaczone osoby.

Posiadamy udokumentowaną i wdrożoną PBI - 03 Zarządzanie incydentami bezpieczeństwa, posiadamy pełną dokumentację, w tym dokumentację nadzorczą, w ramach której prowadzony jest PBI-03 Zał. 1 Rejestr naruszeń oraz incydentów ochrony danych osobowych w VERCOM S.A.

Czy prowadzona jest ewidencja naruszeń?

Tak, prowadzimy Rejestr Incydentów bezpieczeństwa i ochrony danych osobowych

Jaka jest liczba naruszeń zgłoszonych do UDODO w ciągu ostatnich 12 mc?

Brak

Czy kiedykolwiek stwierdzono prawomocną decyzją organu nadzorczego lub prawomocnym wyrokiem sądu naruszenie ochrony danych osobowych przez dostawcę?

Nie

Klasyfikacja Informacji

Czy w organizacji wdrożona jest klasyfikacja i podział informacji ze względu na ich ważność?

Tak.

Czy regulacje w odniesieniu do przetwarzanych informacji obejmują: bezpieczne przetwarzanie, przechowywanie, transmisję, transport, niszczenie oraz zmianę klasyfikacji informacji?

Tak.

Czy pracownicy są poinformowani o sposobach klasyfikacji i sposobach przetwarzania informacji obowiązujących w organizacji?

Tak.

Pracownicy

Czy pracownicy/współpracownicy zostali zobowiązani do zachowania danych osobowych w poufności?

Tak. Każdy pracownik i współpracownik po zatrudnieniu podpisuje oświadczenie o zachowaniu poufności.

Czy wydawane są upoważnienia dla pracowników zaangażowanych w proces przetwarzania danych osobowych

Tak. Dostęp do danych mają jedynie pracownicy odpowiednio upoważnieni. Dostępu udziela się na zasadzie ograniczonego dostępu (zasada "need to know") - w zakresie niezbędnym do wykonywania pracy na danym, zajmowanym stanowisku.

Jest prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych, aktualizowana na bieżąco.

Czy pracownicy otrzymują identyfikatory oraz czy są zobowiązani do ich noszenia?

Każdy pracownik posiada kartę kontroli dostępu i jest zobowiązany do posiadania jej przy sobie. Każdy identyfikator jest przypisany do konkretnego użytkownika i służy do uzyskania dostępu do pomieszczeń biurowych. Każdorazowe użycie identyfikatora jest logowane w systemie.

Przydzielane identyfikatory nie posiadają oznaczenia firmy ani pracownika ze względów bezpieczeństwa, aby w razie zagubienia nie zachęcały potencjalnego znalazcy do jego użycia.

Czy organizowane jest szkolenia dla nowozatrudnionych przed podjęciem czynności przetwarzania danych osobowych?

Tak. W ciągu maksymalnie 30 dni od podjęcia pracy przez Pracownika pełnomocnik ds. ISO przeprowadza z nowo zatrudnionym Pracownikiem szkolenie podstawowe z zakresu przetwarzania danych osobowych w spółce oraz z zakresu zasad na stanowisku pracy (Instrukcja Stanowiskowa) i zapoznawany jest z Polityką Bezpieczeństwa Informacji.

Czy organizacja dba o bieżące doskonalenie wiedzy swoich pracowników/współpracowników poprzez cykliczne szkolenia oraz inne działania mające na celu uświadamianie pracowników w zakresie zagadnień dotyczących ochrony danych osobowych?

Przynajmniej raz w roku Pełnomocnik ds. SZBI organizuje obowiązkowe szkolenia dla Pracowników z zakresu przetwarzania danych osobowych w Spółce oraz z zakresu zasad na stanowisku pracy. Pracownicy uczestniczą w szkoleniach zgodnie z procedurami PBI 04 Załącznik 1 Instrukcja zarządzania dostępami i zasobami. Ostatnie szkolenie: 23.08.2024

Oprócz corocznych, obowiązkowych szkoleń, zarówno z zakresu RODO jak i ISO, pracownicy i współpracownicy biorą udział w dodatkowych szkoleniach prowadzonych przez Pentestera z Cyberbezpieczeństwa, w ramach dobrych praktyk funkcjonuje w organizacji cykl szkoleń Cyber Wtorki. Umożliwiamy też udział w dodatkowych szkoleniach związanych z tematyką dotyczącą cyfrowych zagrożeń i do tego każdy pracownik niezwłocznie po zatrudnieniu zapoznaje się ze szczegółową Instrukcją Stanowiskową. Cykliczne i obowiązkowe są też specjalistyczne szkolenia działu IT, a także cykle szkoleń dedykowane pracownikom BOK. Regularnie dbamy o ciągłe doskonalenie i podnoszenie kwalifikacji pracowników i współpracowników zapewniając im dostęp do dedykowanych względem działu zatrudnienia, odpowiednich szkoleń.

Czy prowadzony jest PRE-Employment screening?

Tak. Wdrożono i stosuje się system procedur weryfikacji zatrudniania Pracowników.

Weryfikacja obejmuje m.in. wgląd w referencje pracownika, analizę kwalifikacji, a także następujące aspekty: - potwierdzenie tożsamości na podstawie odpowiedniego dokumentu (dowód osobisty lub paszport) - potwierdzenie posiadania odpowiednich kwalifikacji naukowych (na podstawie certyfikatów/dyplomów/świadectw ukończenia) - potwierdzenie deklarowanego doświadczenia zawodowego (w CV i w referencjach).

Czy firma zbiera od pracowników oświadczenia o niekaralności?

Tak, pracownicy podpisują stosowne oświadczenia i zobowiązani są do poinformowania pracodawcy w razie jakiejkolwiek zmiany.

Czy stosowana jest zasada czystego biurka?

Tak

Czy stosowana jest zasada czystego ekranu?

Tak.

Kontrola Dostępu i Zarządzanie Dostępem (do Systemów i Panelu)

Czy panel umożliwia zarządzanie poziomami dostępu dla różnych użytkowników?

Tak, panel umożliwia zarządzanie użytkownikami i różnymi poziomami dostępu.

Mogę skonfigurować uwierzytelnienie dwuskładnikowe - 2FA?

Tak, nowy panel użytkownika oferuje 2FA do weryfikacji użytkownika.

Czy firma posiada uregulowaną politykę haseł?

Tak, została wdrożona spójna polityka haseł.

Dla hasła ustalony jest maksymalnie okres ważności, minimalna długość znaków, wymuszona jest historia haseł, nie może być zbyt łatwe i oczywiste, nie może być wyrazem słownikowym. Każdy pracownik oraz współpracownik przechowuje hasła w managerze haseł (KeePassXC).

Czy istnieje procedura zarządzająca dostępem i tożsamością?

Tak, zgodnie z PBI - 04 Zał. 01 Instrukcja Zarządzania dostępami w Vercom S.A.

Nadawanie dostępu jest wyłącznie na podstawie akceptacji przez kadrę zarządzającą, pracownicy muszą posiadać unikalne identyfikatory, mają zakaz dzielenia się indywidualnymi hasłami z innymi. Jest wdrożona procedura związana z uwierzytelnianiem użytkownika w systemie informatycznym – Instrukcja Zarządzania Systemem Informatycznym. Indywidualne konta, loginy, hasła dla każdego pracownika.

Czy zapewniamy rozliczalność osób wykorzystujących zasoby informatyczne i dane poprzez zarządzanie tożsamościami cyfrowymi i rejestrowanie aktywności osób przepisanych do tych tożsamości?

Tak.

Czy w ramach procedury są zabezpieczone, blokowane, usuwane domyślne konta takie jak konta generyczne (generic accounts, konta wbudowane), konta niespersonalizowane i konta gościa?

System nie zezwala na tworzenie kont generycznych, niespersonalizowanych, ani kont gościa.

Zdalny Dostęp

Czy zdalny dostęp do zasobów organizacji uregulowany jest wewnętrznymi procedurami?

Tak, zgodnie z udokumentowaną i wdrożoną Procedurą Korzystanie z zasobów informatycznych przez użytkowników.

Czy zdalny dostęp jest autoryzowany przez kadrę zarządzającą dla każdego z poszczególnych pracowników lub grup pracowników?

Tak.

Czy przy zdalnym dostępie pod uwagę brane są wymagania bezpieczeństwa obowiązujące w organizacji?

Tak.

Czy pracownicy są poinformowani o zagrożeniach w pracy z wykorzystaniem zdalnego dostępu?

Tak. Każdy nowo przyjęty pracownik i współpracownik przechodzi obowiązkowe szkolenia w tym zakresie.

Czy wymagane jest szyfrowane połączenie "end-to-end" pomiędzy organizacją a użytkownikiem końcowym?

Tak.

Czy do zdalnego dostępu wymagana jest autentykacja dwupoziomowa?

Tak.

Urządzenia Przenośne i Mobilne

Czy reguły używania urządzeń przenośnych są opisane, udokumentowane i wdrożone?

Tak, w procedurze Korzystanie z zasobów informatycznych przez użytkowników.

Czy użycie prywatnych urządzeń przenośnych jest uregulowane w wewnętrznych instrukcjach?

Tak Użycie prywatnych urządzeń przenośnych jest uregulowane, opisane, udokumentowane i wdrożone w wewnętrznych instrukcjach PBI - 04 Korzystanie z zasobów informatycznych przez użytkowników.

W organizacji występuje całkowity zakaz korzystania z prywatnych urządzeń przenośnych.

Czy urządzenia przenośne są chronione oprogramowaniem wykrywającym wirusy / malware. Oprogramowanie to i jego aktualizacje są centralnie zarządzane?

Tak, zgodnie z wdrożonymi procedurami w zakresie urządzeń mobilnych wykorzystywanych przez pracowników. Urządzenia mobilne mają skonfigurowaną kontrolę dostępu, urządzenia mobilne są chronione oprogramowaniem anty malware i anty wirusowym oprogramowanie to i jego aktualizacje są centralnie zarządzane.

Czy wszystkie urządzenia przenośne używane w organizacji są zarejestrowane w centralnym rejestrze?

Tak, prowadzona jest rejestr sprzętu.

Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym i nie są przesyłane poza nim.

Czy wobec urządzeń mobilnych stosuje się techniki kryptograficzne?

Tak, mamy udokumentowaną i wdrożoną Procedurę Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi związaną także z bezpieczeństwem użytkowania urządzeń mobilnych.

Czy tylko autoryzowane przez administratorów nośniki przenośne są zezwolone do użytku w organizacji?

Zgodnie z naszą Procedurą Korzystania z Zasobów Informatycznych przez użytkowników jest całkowity zakaz korzystania zewnętrznych nośników informacji. Z dysków zewnętrznych mogą korzystać jedynie wybrani pracownicy działu IT oraz Administratorzy systemu, po uprzedniej zgodzie IOD oraz Pełnomocnika ds. SZBI. Podlegają one szczegółowym wytycznym, liczba jest ściśle określona, są ewidencjonowane, szyfrowane i podlegają corocznym przeglądom. Nie można na nich przechowywać żadnych danych osobowych. Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym i nie są przesyłane poza nim.

Czy reguły niszczenia przenośnych nośników danych, a także danych przechowywanych na tych nośnikach, są uregulowane w wewnętrznych instrukcjach?

Tak. Wszystko odbywa się zgodnie z udokumentowaną i wdrożoną Procedurą Retencji Danych VERCOM oraz Instrukcją Zarządzania Systemem Informatycznym, w sposób dostosowany do kategorii danych.

Niszczenie Dokumentów

Czy w organizacji w odpowiedni sposób zarządza się wydrukami oraz istnieje procedura zarządzania nimi?

Tak. Postępowanie z wydrukami opisane we wdrożonej i udokumentowanej procedurze DO - 02 Instrukcja Zarządzania Systemem Informatycznym. Dokumenty niepotrzebne są niszczone w sposób uniemożliwiający ich odczytanie, np. przy użyciu niszczarek z odpowiednim stopniem bezpieczeństwa - rekomendowane są do niszczenia dokumentów zawierających dane osobowe takie jak np. imię, nazwisko, adres mailowy itp. oraz specjalnej firmy zewnętrznej specjalizującej się w niszczeniu dokumentów.

Dane powierzone do przetwarzania, przetwarzane są wyłącznie w systemie informatycznym. Vercom nie przetwarza danych Klienta w formie papierowej.

Czy pracownicy zostali zobowiązani do niezwłocznego odbierania z drukarek wydruków zawierających dane osobowe lub inne poufne informacje?

Tak. Zgodnie z wdrożoną i udokumentowaną procedurą DO - 02 Instrukcja Zarządzania Systemem Informatycznym.

Vercom nie przetwarza danych Klienta w formie papierowej.

Bezpieczeństwo Serwerów

Czy dostęp do serwerów możliwy jest tylko dla uprawnionych administratorów?

Tak.

Czy serwery zlokalizowane są wyłącznie w centrum przetwarzania danych?

Tak.

Czy centrum przetwarzania danych posiada odpowiednie zabezpieczenia?

Obiekt spełnia wymogi międzynarodowego standardu Tier III. W centrum przetwarzania danych zainstalowany jest m.in. system klimatyzacji, system podtrzymania zasilania (UPS), system gaszenia, wykorzystywane są systemy redundantnego zasilania (np. w serwerach), systemy klimatyzacji i UPS są regularnie testowane. Więcej informacji na temat bezpieczeństwa wykorzystywanej serwerowni głównej dostępne bezpośrednio na stronie: https://www.beyond.pl/centra-danych/beyond-pl-data-center-1/

Czy zasoby serwerów są monitorowane (np. Użycie CPU, RAM, przestrzeni dyskowej)?

Tak.

Czy serwery są chronione systemem Firewall?

Tak.

Bezpieczeństwo Sieci

Czy sieć wewnętrzna oddzielona jest od sieci Internet urządzeniami Firewall/IPS/IDS?

Tak.

PBI - 04 Korzystanie z zasobów informatycznych przez użytkowników 1.2; PBI - 05 Korzystanie z zasobów - administratorzy 1.2

Czy tylko upoważnione osoby mają dostęp do urządzeń sieciowych?

Tak.

Czy istnieją i są wdrożone plany awaryjne dla urządzeń sieciowych?

Tak.

Czy zapewniamy środki filtrowania/blokowania/ przychodzącego i wychodzącego ruchu sieciowego, chroniące dane i zasoby przed celowym lub przypadkowym naruszeniem poufności, integralności lub dostępności informacji?

Tak.

Czy dostęp do sieci bezprzewodowej jest monitorowany pod kątem nieautoryzowanego dostępu?

Tak.

Jakie zabezpieczenia są zaimplementowane na styku z siecią publiczną?

Sieć bezprzewodowa jest odseparowana od sieci wewnętrznej LAN za pomocą reguł Firewall, Dostęp do sieci lokalnej oraz sieci zdalnych (np. Internetu) nadawany jest na podstawie zlecenia przełożonego danego pracownika w formie zgłoszenia poprzez utworzenie zgłoszenia mailowego do Administratora systemu z prośbą o nadanie uprawnień do systemów i dostępu do zasobów IT (login, hasło, email), lub bezpośrednio przez Kierownika działu. Zezwalanie na dostęp do stron internetowych i blokowanie go. Organizacja określa, które adresy URL są zablokowane, jak również określa, które z nich są dozwolone.

Logi

Czy logi sieciowe są zapisywane?

Tak.

Jak długo przechowywane są logi sieciowe?

Logi sieciowe są przechowywane 1-12 miesięcy.

W jaki sposób analizowane są logi?

Automatycznie. Logi sieciowe analizowane są automatycznie oraz ręcznie gdy wystąpi potrzeba analizy zdarzenia.

Kto ma dostęp do logów?

Administratorzy oraz programiści obsługujący zgłoszenia klientów.

Bezpieczeństwo Danych w Spoczynku i Ruchu

Czy posiadamy procedurę regulującą szyfrowanie danych w spoczynku i ruchu?

Zgodnie z wdrożoną polityka PBI - 04 Zał. 02 Procedura Zarządzania Zabezpieczeniami i Kluczami Kryptograficznymi. Dane w ruchu są szyfrowane za pomocą protokołu SSL. Długoterminowe przechowywanie danych w formie backupu jest w pełni szyfrowane. Dane operacyjne nie są szyfrowane ze względów optymalizacyjnych.

Czy dostęp do danych oraz czynności skutkujące zmianami w środowiskach produkcyjnych są rejestrowane/logowane (rejestrowane w logach)?

Tak.

Zarządzanie Zmianą i Rozwojem Oprogramowani

Czy mamy wdrożone procedury i procesy dotyczące infrastruktury i oprogramowania w zakresie nabywania, testowania, zabezpieczenia, utrzymywania, wycofania i innych, oparte o najlepsze aktualne praktyki z obszaru bezpieczeństwa informacji oraz wymagania regulatorów?

Tak.

Czy cykl rozwoju oprogramowania i zarządzania odbywa się zgodnie z udokumentowaną procedurą zaakceptowaną przez kierownictwo i narzucającą z góry ścieżkę promowania systemów i aplikacji (przez kolejne środowiska i fazy podczas ich rozwoju)?

Tak.

Rozwój i testowanie systemów IT/aplikacji odbywa się wyłącznie poza środowiskiem produkcyjnym?

Tak.

Czy istnieje segregacja/separacja środowiska produkcyjnego od środowisk rozwojowych, testowych czy akceptacyjnych?

Tak.

Czy do testowania bezpieczeństwa oprogramowania wykorzystuje się rozwiązania takie jak: automatyczny (statyczny) przegląd/analiza kodu, dynamiczna analiza kodu, skanowanie podatności, testy penetracyjne, wzajemny przegląd kodu.

Tak.

Czy zapewniona jest kontrola kodu źródłowego, który jest rozwijany przez Dostawcę lub dla Dostawcy?

Tak. Kod rozwijany jest wewnętrznie.

Czy kod źródłowy i powiązane z nim elementy przechowuje się w centralnej bibliotece źródłowej objętej kontrolą?

Tak.

Czy kod źródłowy i powiązane z nim elementy nie znajduje się w środowisku produkcyjnym?

Tak. Kod źródłowy przechowywany jest w niezależnym środowisku.

Czy regularnie wykonujemy testy penetracyjne? Z jaką częstotliwością?

Tak. Vercom wykonuje testy penetracyjne zgodnie z dokumentem "Proces zarządzania podatnościami Vercom" -przeprowadzamy cykliczne testy penetracyjne posiadanej przez nas aplikacji raz w roku wewnętrznie przez naszego Pentestera oraz przynajmniej raz na dwa lata przez zewnętrzną firmę audytującą (na przemian raz jedne, raz drugie). Plan testów ustala koordynator testów w porozumieniu z dyrektorami projektów oraz CTO. Szczegółowy plan testów ustalany jest każdorazowo na podstawie sugerowanego harmonogramu.

Bezpieczeństwo Fizyczne

Czy w budynku są wdrożone środki bezpieczeństwa fizycznego (np. system kamer, bezpieczne zamki, identyfikatory, kontrola dostępu)?

Dostęp do budynku tylko i wyłącznie dla autoryzowanego personelu, blokady wszystkich wejść na karty imienne. Biurowiec klasy Premium. Zgodnie z zakładką Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

Czy w oparciu o analizę ryzyka wdrożono adekwatne środki organizacyjne i techniczne, które zapewniają odpowiedni poziom bezpieczeństwa dla poufności, integralności, dostępności i odporności systemów oraz usług?

Tak.

Czy po godzinach pracy dostęp do pomieszczeń pozostających w dyspozycji Podmiotu Przetwarzającego nie jest możliwy dla osób trzecich, a dla firmy sprzątającej i ochrony jest szczegółowo nadzorowany?

Tylko dostęp osób upoważnionych, blokady wszystkich wejść na kartę imienne. W budynkach biurowych w których pracujemy, nie są przechowywane powierzone nam do przetwarzania dane osobowe. Wszystkie dane osobowe powierzone nam do przetwarzania są przechowywane w zewnętrznej serwerowni spełniającej najwyższe standardy bezpieczeństwa i podlegają tam wielopoziomowemu zabezpieczeniu - certyfikacja SOC 2. W Budynku biurowym po godzinach pracy pracowników mogą przebywać osoby sprzątające lub w sytuacjach nadzwyczajnych wstęp ma także ochrona biurowca. Mamy to przewidziane w naszych procedurach związanych z wdrożonym ISO 27001. z każdą osobą mamy podpisane umowy NDA w tym z osobami z firmy sprzątającej, które sprzątają po godzinach pracy. Ale miejsca, gdzie są przechowywane dane NIE są dostępne dla osób trzecich po godzinach pracy.

Chmura Obliczeniowa

Czy dane osobowe powierzone do przetwarzania będą przetwarzane w chmurze obliczeniowej?

Tak, Nasza usługa stanowi specyficzną formę chmury obliczeniowej publicznej, będącą w całości stworzoną i zarządzaną przez Vercom S.A - nie korzystamy z dostawcy usługi chmurowej lecz sami jesteśmy tym dostawcą. W rozumieniu, że chmurą obliczeniową jest nie tylko powszechnie rozumiane jako chmura „zasoby”, „przestrzeń wirtualna”, ale także usługi, infrastruktura oraz platformy do rozwoju aplikacji. Należy je określić jako rozwiązanie hybrydowe tj. połączenie usługi, platformy oraz infrastruktury. Powszechne zrobiło się także określenie CPaaS (Communications Platform as a Service) oznaczające rozwiązanie dedykowane dla komunikacji przedsiębiorców z ich klientami za pomocą dedykowanej platformy porządkującej ten proces komunikacji.

Czy Przeprowadzane są zewnętrzne audyty świadczonych usług chmurowych?

Tak, audyt bezpieczeństwa oparty o OWASP TOP 10 (Open Web Application Security Project TOP 10 vulnerabilities) oraz metodologię OWASP ASVS. Również audyt przeprowadzany w związku z certyfikacją ISO 27001 oraz ISO 27018.

Środki Ochrony Danych

Proszę wskazać sposób zabezpieczenia pomieszczeń.

Zgodnie z zakładką Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

Proszę wskazać Środki organizacyjne ochrony Danych Osobowych.

Zgodnie z zakładką Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

Proszę wskazać środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej.

Zgodnie z zakładką Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

Proszę wskazać środki ochrony w ramach narzędzi programowych i baz danych.

Zgodnie z zakładką Środki Techniczne i Organizacyjne Stosowane przez EmailLabs

PreviousZgłaszanie Nadużyć (Polityka Anti-Abuse)

Last updated 2 months ago