Bezpečnostní kontroly

Doba uchovávání osobních údajů je zdokumentována a osobní údaje jsou uchovávány pouze po dobu nezbytnou pro obchodní účely a v souladu s platnými právními předpisy.

Společnost má zavedeny plány kontinuity provozu a obnovy po havárii, které vymezují komunikační postupy pro zajištění kontinuity informační bezpečnosti při nedostupnosti klíčového personálu.

Společnost používá zabezpečené přenosové protokoly k šifrování důvěrných a citlivých dat při přenosu přes veřejné sítě.

Společnost dokumentuje nové účely zpracování dříve shromážděných osobních údajů, informuje o nich jednotlivce, v případě potřeby získává jejich souhlas a zajišťuje, že údaje jsou používány pouze v souladu s těmito účely.

Vedení společnosti a/nebo právní oddělení přezkoumává a schvaluje způsoby shromažďování osobních údajů před jejich zavedením, aby bylo zajištěno jejich spravedlivé a zákonné zpracování.

Společnost má zavedenou formální metodiku SDLC upravující vývoj, akvizici, implementaci, změny (včetně havarijních) a údržbu informačních systémů.

Společnost má zavedené procesy a postupy pro evidenci, ověřování a řešení žádostí, dotazů, stížností nebo sporů týkajících se práv subjektů údajů na přístup, přezkum, opravu a/nebo výmaz osobních údajů. Žádosti o přístup k osobním údajům jsou evidovány v určeném systému pro účely historie a auditu.

Zásady ochrany osobních údajů jsou dostupné zákazníkům, zaměstnancům a relevantním třetím stranám před nebo nejpozději v okamžiku shromažďování osobních údajů od jednotlivce.

Společnost provádí sebehodnocení kontrol alespoň jednou ročně za účelem ověření jejich existence a efektivního fungování. Na základě zjištění jsou přijímána nápravná opatření v souladu se stanovenými SLA.

Společnost má uzavřeny písemné smlouvy s dodavateli a dalšími třetími stranami, které zahrnují závazky mlčenlivosti a ochrany osobních údajů.

Společnost po ukončení služby v souladu s osvědčenými postupy odstraňuje zákaznická data obsahující důvěrné informace z aplikačního prostředí.

Společnost má zavedené zásady ochrany osobních údajů, které srozumitelně popisují rozsah shromažďovaných osobních údajů, povinnosti společnosti, práva jednotlivců na přístup, opravu nebo výmaz osobních údajů a aktuální kontaktní údaje pro dotazy či žádosti.

Společnost zásady ochrany osobních údajů průběžně přezkoumává a aktualizuje tak, aby byly v souladu s platnými právními předpisy, regulacemi a příslušnými standardy.

Společnost má zavedené, jasně datované a srozumitelně formulované zásady ochrany osobních údajů, které popisují postupy a účely shromažďování, zpracování, používání a zpřístupňování osobních údajů.

Členové představenstva disponují dostatečnými odbornými znalostmi k dohledu nad schopností vedení navrhovat, implementovat a provozovat kontroly informační bezpečnosti. V případě potřeby jsou zapojováni externí experti a konzultanti v oblasti informační bezpečnosti.

Společnost po ověření identity poskytuje požadované informace včas a v souladu s platnými právními předpisy.

Společnost provádí prověrky nových zaměstnanců.

Společnost udržuje kybernetické pojištění za účelem zmírnění finančních dopadů provozních výpadků.

Používání nebo ukládání důvěrných či citlivých zákaznických dat v neprodukčních prostředích je zakázáno interní politikou.

Autentizace k „produkční síti“ je vynucena pomocí jedinečných uživatelských jmen a hesel nebo schválených SSH klíčů.

Společnost přezkoumává přístup do datových center alespoň jednou ročně.

Společnost využívá vícelokační strategii produkčních prostředí umožňující obnovení provozu v jiném datovém centru při výpadku lokality.

Vzdálený přístup k produkčním systémům je povolen pouze autorizovaným zaměstnancům prostřednictvím schváleného šifrovaného připojení.

Společnost ověřuje žádosti o vymazání a po jejich potvrzení odstraňuje požadované informace v souladu s platnými právními předpisy.

Společnost má zavedené formální postupy pro bezpečné uchovávání a likvidaci dat společnosti i zákazníků.

Společnost před shromažďováním, používáním nebo zpřístupněním citlivých osobních údajů získává, eviduje a uchovává výslovný souhlas subjektu údajů v souladu s právními a regulatorními požadavky.

Společnost poskytuje zákazníkům pokyny a technické podpůrné zdroje týkající se provozu systémů.

Produkční systémy jsou vzdáleně přístupné pouze autorizovaným zaměstnancům s platným vícefaktorovým ověřením (MFA).

Hodnocení rizik společnosti probíhá alespoň jednou ročně a zahrnuje identifikaci hrozeb, změn a rizik podvodu, které mohou ovlivnit dosažení stanovených cílů.

Společnost má zaveden a zdokumentován program řízení rizik, který zahrnuje identifikaci hrozeb, hodnocení rizik a stanovení opatření k jejich zmírnění.

Společnost má zavedenou, udržuje a minimálně jednou ročně přezkoumává dokumentaci popisující povahu, rozsah a účel osobních údajů, které jsou shromažďovány, zpracovávány, uchovávány a/nebo zpřístupňovány třetím stranám.

Společnost průběžně přezkoumává a aktualizuje své politiky a postupy v oblasti ochrany osobních údajů tak, aby bylo zajištěno, že shromažďované osobní údaje jsou jasně rozlišeny na nezbytné a volitelné, jsou zpracovávány se souhlasem jednotlivce v souladu s právními předpisy a jsou používány výhradně k účelům uvedeným v zásadách ochrany osobních údajů.

Role a odpovědnosti za návrh, vývoj, implementaci, provoz, údržbu a monitoring kontrol informační bezpečnosti jsou formálně přiřazeny v pracovních náplních a/nebo v politice rolí a odpovědností.

Před zpřístupněním osobních údajů společnost ověřuje totožnost jednotlivce nebo jeho oprávněného zástupce a potvrzuje, že přístup není v rozporu s právními předpisy.

Zaměstnanci absolvují školení bezpečnosti do 30 dnů od nástupu a následně alespoň jednou ročně.

Společnost testuje plán reakce na incidenty alespoň jednou ročně.

Vedení společnosti přezkoumává a schvaluje zdroje osobních údajů pocházejících od třetích stran, aby byla zajištěna jejich spolehlivost a zákonný způsob získání.

Představenstvo společnosti má zdokumentovaný statut, který vymezuje jeho odpovědnosti za dohled nad systémem interních kontrol.

Představenstvo společnosti se schází alespoň jednou ročně a vede formální zápisy ze zasedání. Představenstvo zahrnuje členy, kteří jsou na společnosti nezávislí.

Společnost má zdokumentované a komunikované politiky a postupy reakce na bezpečnostní a incidenty ochrany osobních údajů.

Společnost má zdokumentované postupy pro řešení stížností a podnětů týkajících se ochrany osobních údajů, včetně jejich evidence a komunikace výsledků dotčeným osobám.

Společnost poskytuje interním i externím uživatelům přehledný popis svých produktů a služeb.

Společnost bezpečně likviduje osobní údaje v souladu se zdokumentovanými postupy. Osobní údaje jsou anonymizovány, bezpečně vymazány a/nebo zničeny, pokud již nejsou dále potřebné.

Vedení společnosti má stanovené a zdokumentované role a odpovědnosti pro dohled nad návrhem a implementací kontrol informační bezpečnosti.

Politiky a postupy informační bezpečnosti společnosti jsou zdokumentovány a přezkoumávány alespoň jednou ročně.

Bezpečnostní závazky společnosti jsou komunikovány zákazníkům prostřednictvím rámcových smluv (MSA) nebo obchodních podmínek (TOS).

Síť společnosti je segmentována s cílem zabránit neoprávněnému přístupu k zákaznickým datům.

Společnost stanovuje cíle umožňující identifikaci a hodnocení rizik souvisejících s těmito cíli.

Společnost má zavedené procesy pro udělování, změny a ukončení fyzického přístupu do datových center na základě schválení odpovědnými vlastníky kontrol.

Jednotlivci mohou udělit nebo odvolat souhlas s používáním nepodstatných cookies a bez platného souhlasu nejsou osobní údaje ukládány ani zpracovávány.

Společnost udržuje organizační schéma popisující organizační strukturu a reportingové linie.

Společnost šifruje přenosná a vyměnitelná paměťová média při jejich používání.

Zpracován popis systému pro sekci III auditní zprávy.

Penetrační testování je prováděno alespoň jednou ročně. Je vypracován plán nápravy a opatření jsou realizována v souladu se SLA.

Společnost má zaveden externí systém podpory, který uživatelům umožňuje hlásit selhání systémů, incidenty, podněty a další stížnosti příslušnému personálu.

Vedoucí pracovníci provádějí hodnocení výkonu přímých podřízených alespoň jednou ročně.

Změny softwaru a infrastruktury musí být autorizovány, formálně zdokumentovány, otestovány, přezkoumány a schváleny před nasazením do produkčního prostředí.

Jednotlivci, zákazníci nebo oprávnění držitelé účtů mohou aktualizovat své osobní údaje prostřednictvím zákaznického portálu nebo kontaktních kanálů uvedených v zásadách ochrany osobních údajů, aby byla zajištěna jejich přesnost a úplnost.

Společnost má zavedenu politiku klasifikace dat, která zajišťuje odpovídající zabezpečení důvěrných dat a jejich omezení na oprávněné osoby.

Společnost komunikuje změny systémů oprávněným interním uživatelům.

Společnost oznamuje opravy nebo výmaz osobních údajů jednotlivce oprávněným uživatelům a relevantním třetím stranám, kterým byly tyto osobní údaje sdíleny nebo předány.

Zaměstnanci potvrzují kodex chování při nástupu. Porušení kodexu je řešeno disciplinárními opatřeními v souladu s interní politikou.

Společnost informuje zákazníky o kritických změnách systémů, které mohou ovlivnit zpracování jejich dat nebo služeb.

Kontraktoři podepisují dohodu o mlčenlivosti při zahájení spolupráce.

Společnost informuje jednotlivce při nebo před shromažďováním osobních údajů, případně při jejich použití pro nové účely, které nebyly dříve uvedeny v zásadách ochrany osobních údajů.

Zaměstnanci podepisují dohodu o mlčenlivosti během onboardingu.

Autentizace k produkčním datovým úložištím je vynucena prostřednictvím schválených bezpečných autentizačních mechanismů, například jedinečných SSH klíčů.

Společnost získává a eviduje souhlas a preference jednotlivců nejpozději v okamžiku shromažďování údajů a tyto preference včas uplatňuje při jejich zpracování.

Kontroly environmentálních bezpečnostních opatření v datových centrech jsou prováděny alespoň jednou ročně.

Návštěvníci se musí registrovat, nosit návštěvnický průkaz a být doprovázeni oprávněným zaměstnancem při vstupu do datových center nebo zabezpečených prostor.

Formální politiky společnosti stanovují požadavky na řízení zranitelností a monitoring systémů.

Přístup k systémům a aplikacím je vynucen pomocí jedinečných přihlašovacích údajů nebo schválených SSH klíčů.

Společnost vyžaduje, aby smlouvy s kontraktory obsahovaly kodex chování nebo odkaz na kodex chování společnosti.