Opis wdrożonych środków organizacyjnych i technicznych służących ochronie Danych Osobowych.
A. Organizacyjne środki bezpieczeństwa.
I. Organizacja Systemu Zarządzania Bezpieczeństwem Informacji.
1.Opracowano ogólną politykę bezpieczeństwa oraz szczegółowe polityki bezpieczeństwa dotyczące bezpieczeństwa organizacji, bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych oraz bezpieczeństwa osób i mienia, w których określono podstawowe cele jakim mają służyć działania związane z realizacją polityk.
2. Określono ogólne i szczególne standardy bezpieczeństwa realizujące założenia polityk bezpieczeństwa w zakresie bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, bezpieczeństwa osób i mienia.
3. Opracowano szczegółowe procedury i instrukcje postępowania dotyczące realizacji standardów bezpieczeństwa w zakresie bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych, bezpieczeństwa osób i mienia.
4. Polityki, standardy, procedury i instrukcje podlegają okresowym przeglądom i aktualizacjom zatwierdzanym przez najwyższe kierownictwo GetResponse.
5. Opracowano, wdrożono i zapewniono utrzymanie ciągłości działania systemu monitorowania zmian w obowiązujących przepisach prawa dotyczących zasad przetwarzania Danych Osobowych.
II. Role i zadania
1. Określono role i zadania w procesach związanych z zarządzaniem bezpieczeństwem – wyznaczono osoby odpowiedzialne za realizację każdej polityki bezpieczeństwa.
2. Dla każdego zasobu (fizycznego i elektronicznego), mającego wartość dla organizacji, wyznaczono osobę odpowiedzialną (Właściciela Zasobu), której przypisano odpowiedzialność za zarządzanie bezpieczeństwem danego zasobu.
3. W celu zapewnienia właściwego poziomu realizacji ochrony Danych Osobowych wyznaczono i powołano niezależnego Inspektora Ochrony Danych.
4. Zapewniono bezpośrednią podległość Inspektora Ochrony Danych pod najwyższe kierownictwo GetResponse.
5. Zapewniono włączenie Inspektora Ochrony Danych we wszystkie procesy związane z przetwarzaniem Danych Osobowych.
6. Zapewniono Inspektorowi Ochrony Danych Osobowych odpowiedni dostęp do informacji i dokumentacji związanej z przetwarzaniem Danych Osobowych.
7. Osoby przetwarzające Dane Osobowe na zlecenie i w imieniu GetResponse otrzymały imienne upoważnienie do przetwarzania Danych Osobowych.
8. Wszystkie osoby upoważnione do przetwarzania Danych Osobowych zostały objęte systemem wewnętrznych szkoleń z zakresu bezpieczeństwa i ochrony Danych Osobowych.
9. Wszystkie osoby upoważnione do przetwarzania Danych Osobowych zostały zobowiązane do zachowania poufności w czasie trwania stosunku pracy oraz po jego ustaniu.
III. Zarządzanie uprawnieniami i dostępami
1. Opracowano system zarządzania uprawnieniami dostępu do nośników danych, pomieszczeń, stref, budynków oraz systemów informatycznych i elementów infrastruktury informatycznej oraz sieci.
2. Zapewniono, iż osobom uprawnionym do przetwarzania Danych Osobowych przydzielane są minimalne uprawnienia dostępu, uzależnione od realizowanych zadań.
3. Zapewniono, iż uprawnienia dostępu do Danych Osobowych są doraźnie oraz okresowo monitorowane i kontrolowane.
4. Zapewniono, iż klucze, kody dostępu oraz uprawnienia dostępu w systemie kontroli dostępu do budynków, stref, pomieszczeń lub części pomieszczeń, w których przetwarzane są Dane Osobowe, przydzielane są osobom upoważnionym do przetwarzania Danych Osobowych zgodnie z zakresem upoważnienia i zakresem zadań realizowanych na danym stanowisku pracy.
5. Zapewniono, iż budynki, strefy, pomieszczenia lub części pomieszczeń, w których przetwarzane są Dane Osobowe, zabezpiecza się przed dostępem osób nieuprawnionych, w czasie nieobecności osób uprawnionych do przebywania w tych pomieszczeniach. Osoby nieuprawnione do przebywania w pomieszczeniach służących do przetwarzania Danych Osobowych mogą przebywać w nich jedynie pod nadzorem osób uprawnionych.
6. Opracowano i wdrożono proces nadawania i odbierania uprawnień dostępu do Danych Osobowych, w szczególności systemów informatycznych.
7. Zapewniono, iż dla każdej osoby uprawnionej do dostępu do systemu informatycznego, elementu infrastruktury informatycznej lub sieci nadawany jest unikalny identyfikator, który nie może zostać przypisany innej osobie.
8. Przeprowadzane są i udokumentowane okresowe przeglądy dostępu wszystkich użytkowników, kont systemowych, kont testowych oraz kont ogólnych.
9. Zapewniono, iż dla każdej osoby uprawnionej do dostępu do systemu informatycznego, elementu infrastruktury informatycznej lub sieci autoryzacja realizowana jest przy użyciu bezpiecznych metod transmisji danych służących do uwierzytelnienia.
10. Zapewniono, iż ustanowione dla każdej osoby uprawnionej do dostępu do systemu informatycznego, elementu infrastruktury informatycznej lub sieci hasło dostępu podlega procedurom audytu oraz zmianie w ustalonym okresie czasu.
11. Opracowano i wdrożono standard bezpiecznego przekazywania haseł w przypadku konieczności przekazania użytkownikowi systemu informatycznego hasła tymczasowego.
12. Opracowano i wdrożono standard dotyczący tworzenia bezpiecznych haseł użytkowników systemów informatycznych.
13. Z momentem zakończenia współpracy osoby z uprawnieniami do dostępu, uprawnienia te są odbierane.
IV. Bezpieczeństwo Usługi
1. Elementy infrastruktury sieciowej służącej do przetwarzania Danych Osobowych zabezpiecza się przed utratą dostępności poprzez zastosowanie i zapewnienie usług serwisowych świadczonych przez producentów i dystrybutorów.
2. Przeprowadzane są okresowe niezależne testy podatności systemów informatycznych przetwarzających Dane Osobowe na zagrożenia.
3. Przeprowadzane jest okresowe skanowanie luk bezpieczeństwa na platformach i sieciach przetwarzających Dane Osobowe w celu zapewnienia zgodności z powszechnymi normami bezpieczeństwa związanymi konkretnie z wzmocnieniem systemu.
4. W wyniku testów penetracji, skanowania podatności na atak oraz oceny zgodności, prowadzony jest okresowo program naprawczy w podejściu opartym o ryzyko w celu wykorzystania uzyskanych wniosków.
5. Opracowano i zapewniono program szkoleń z zakresu zasad bezpiecznego wytwarzania oprogramowania.
6. Opracowano i zapewniono program testów bezpieczeństwa oprogramowania.
7. Opracowano zasady wyboru podwykonawców i dostawców gwarantujące zapewnienie odpowiedniego poziomu bezpieczeństwa technicznego i organizacyjnego świadczonych usług i realizowanych zadań.
8. Opracowano standardy i mechanizmy kontroli podwykonawców i dostawców usług oraz zagwarantowano ich realizację.
V. Zarządzanie zmianą i incydentami
1. Opracowano i wdrożono zasady zarzadzania zmianą w zakresie zatwierdzania, klasyfikacji i testowania planu back-out oraz rozdzielenie obowiązków pomiędzy wniosek, zatwierdzenie a wdrożenie.
2. Opracowano i wdrożono standard bezpiecznego wytwarzania oprogramowania.
3. Wdrożono procedury zarządzania i reagowania na incydenty naruszenia bezpieczeństwa, które umożliwiają wykrywanie, badanie, reagowanie, łagodzenie skutków i powiadamianie o zdarzeniach, które obejmują zagrożenie dla poufności, integralności i/lub dostępności do Danych Osobowych. Procedury reagowania i zarządzania są udokumentowane, sprawdzone i przynajmniej raz do roku podlegają przeglądom.
VI. Ochrona prywatności
1. Opracowano i wdrożono standard dotyczący analizy ryzyka naruszenia praw podstawowych i wolności osób których dane dotyczą oraz utraty poufności, dostępności i integralności Danych Osobowych na każdym etapie cyklu życia produktu.
2. Opracowano standard dotyczący zachowania zasady ochrony prywatności w fazie projektowania oprogramowania.
3. Opracowano standard dotyczący zachowania zasady ochrony prywatności w ustawieniach domyślnych w fazie projektowania oprogramowania.
B. Techniczne środki bezpieczeństwa.
I. Bezpieczeństwo obszaru przetwarzania
1. Ustalono minimalny zakres stosowania technicznych środków bezpieczeństwa w celu zapewnienia bezpieczeństwa Danych Osobowych. Rodzaj i zakres stosowanych dodatkowych technicznych środków bezpieczeństwa ustalany jest indywidualnie w zależności od zidentyfikowanych zagrożeń, wymaganego stopnia ochrony i możliwości technicznych.
2. Budynki i obszary, w których znajdują się pomieszczenia i ich części służące do przetwarzania Danych Osobowych zabezpiecza się przed dostępem osób nieuprawnionych poprzez zastosowanie systemów kontroli dostępu, systemu sygnalizacji włamania i napadu, systemu dozoru realizowanego przez pracowników ochrony fizycznej, zamków mechanicznych lub szyfrowych.
3. Budynki i obszary, w których znajdują się pomieszczenia i ich części służące do przetwarzania danych zabezpiecza się przed pożarem poprzez zastosowanie drzwi o podwyższonej klasie odporności na ogień.
4. Budynki i obszary, w których znajdują się pomieszczenia i ich części służące do przetwarzania danych zabezpiecza się przed zniszczeniem na skutek pożaru lub zalania poprzez zastosowanie systemu alarmu pożarowego oraz systemu sygnalizacji włamania i napadu.
5.Budynki i obszary, w których znajdują się pomieszczenia i ich części służące do przetwarzania danych zabezpiecza się w celu monitorowania oraz identyfikowania zagrożeń i zdarzeń niepożądanych przez zastosowanie systemu telewizji przemysłowej.
II. Bezpieczeństwo transmisji danych
Dane Osobowe przekazywane drogą teletransmisji zabezpiecza się przed utratą poufności i integralności przy pomocy kryptograficznych środków ochrony Danych Osobowych (szyfrowanie danych w tranzycie).
Dane Osobowe przekazywane drogą teletransmisji zabezpiecza się przed utratą poufności poprzez zastosowanie segmentacji sieci teleinformatycznych (segmentacja sieci).
Klucze szyfrujące służące do zabezpieczenia teletransmisji danych przechowywane są w bezpiecznym miejscu z zarządzaniem dostępem do nich oraz z wykazaną możliwością odtwarzania klucza.
III. Bezpieczeństwo nośników danych
1. Dane Osobowe przechowywane na nośnikach danych w stanie spoczynku zabezpiecza się przed utratą poufności i integralności przy pomocy kryptograficznych środków ochrony Danych Osobowych. (szyfrowanie danych w spoczynku)
2. Dane Osobowe przechowywane na nośnikach danych zabezpiecza się przed utratą poufności poprzez zastosowanie fizycznej lub logicznej separacji danych. (separacja danych)
3. Dane Osobowe przechowywane na nośnikach danych zabezpiecza się przed utratą dostępności i integralności poprzez zastosowanie mechanizmów tworzących kopie danych w czasie rzeczywistym. (replikacja danych)
4. Dane Osobowe przechowywane na nośnikach danych zabezpiecza się przed utratą dostępności i integralności poprzez zastosowanie mechanizmów tworzących przyrostowe lub całościowe kopie bezpieczeństwa danych w ustalonym interwale czasowym. (backup danych)
5. Dane Osobowe przechowywane na nośnikach danych zabezpiecza się przed utratą dostępności poprzez zastosowanie mechanizmów i procedur przywracania danych, przełączania źródeł danych oraz odtwarzania kopii bezpieczeństwa danych.
6. Nośniki danych (dyski twarde) służące do przetwarzania Danych Osobowych, przed zainstalowaniem w urządzeniu, zabezpiecza się przed dostępem osób nieuprawnionych poprzez ograniczenie i kontrolę dostępu realizowaną za pomocą szaf pancernych i sejfów.
7. Nośniki danych (dyski twarde) służące do przetwarzania Danych Osobowych zabezpiecza się przed utratą poufności danych przez zastosowanie wbudowanych procedur kryptograficznej ochrony danych. (kryptograficzna ochrona nośników danych)
8. Nośniki danych (dyski twarde) służące do przetwarzania Danych Osobowych zabezpiecza się przed utratą dostępności poprzez zastosowanie systemów automatycznego monitoringu działania, wykorzystania pojemności i czasu dostępności.
9. Nośniki danych służące do przetwarzania danych osobowych zabezpiecza się przed niedozwolonym wykorzystaniem poprzez zastosowanie procedur użycia i konfiguracji elementów infrastruktury informatycznej (zarządzanie konfiguracją).
10. Nośniki danych służące do przetwarzania danych osobowych przeznaczone do ponownego wykorzystania zabezpiecza się przed ujawnieniem danych osobie nieuprawnionej lub systemowi informatycznemu poprzez zastosowanie bezpiecznych metod usuwania danych.
11. Nośniki danych służące do przetwarzania Danych Osobowych przeznaczone do likwidacji zabezpiecza się przed ponownym wykorzystaniem poprzez trwałe i celowe mechaniczne uszkodzenie.
IV. Bezpieczeństwo baz danych
1. Dane Osobowe przechowywane w bazach danych zabezpiecza się przed utratą integralności poprzez zastosowanie reguł spójności w zakresie semantycznym (definicja typu danych), zakresie encji (definicja kluczy podstawowych) oraz w zakresie referencyjnym (definicja kluczy obcych).
2. Dane Osobowe zabezpiecza się przed utratą rozliczalności poprzez zastosowanie rozwiązań pozwalających przypisać określone działania konkretnej osobie lub systemowi informatycznemu.
V. Bezpieczeństwo infrastruktury informatycznej
1. Dane Osobowe zabezpiecza się przed utratą poufności za pomocą bezpiecznych metod uwierzytelniania dostępu dla osób i systemów informatycznych.
2. Dane Osobowe zabezpiecza się przed utratą poufności i dostępności za pomocą monitorowania poprawności działania oraz sposobu użycia bezpiecznych metod uwierzytelniania dostępu dla osób i systemów informatycznych.
3. Dane Osobowe zabezpiecza się przed utratą dostępności poprzez zastosowanie dodatkowych, zapasowych i awaryjnych źródeł zasilania infrastruktury informatycznej służącej do przetwarzania Danych Osobowych.
4. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych (komputery, serwery, urządzenia sieciowe) zabezpiecza się przed dostępem osób nieuprawnionych oraz systemów informatycznych przez zastosowanie bezpiecznych metod uwierzytelniania dostępu.
5. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych zabezpiecza się przed dostępem osób nieuprawnionych, systemów informatycznych oraz utratą dostępności poprzez monitorowanie aktualności systemu operacyjnego i zainstalowanego oprogramowania.
6. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych zabezpiecza się przed dostępem osób nieuprawnionych, systemów informatycznych oraz utratą dostępności poprzez zastosowanie oprogramowania typu Firewall, Intrusion Detection Systems, Intrusion Prevention Systems, Anty DDOS.
7. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych zabezpiecza się przed utratą dostępności poprzez zastosowanie zwielokrotnienia, wirtualizacji i automatycznych procedur skalowania.
8. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych zabezpiecza się przed utratą dostępności poprzez zastosowanie automatycznych procesów monitorowania dostępności, obciążenia i wydajności.
9. Elementy infrastruktury informatycznej służącej do przetwarzania Danych Osobowych zabezpiecza się przed utratą dostępności poprzez zastosowanie zapasowych źródeł zasilania oraz automatycznych procedur zmiany źródła zasilania.