Kontroly

Společnost komunikuje změny systémů oprávněným interním uživatelům.

Společnost využívá vícelokační strategii produkčních prostředí umožňující obnovení provozu v jiném datovém centru při výpadku lokality.

Společnost po ověření identity poskytuje požadované informace včas a v souladu s platnými právními předpisy.

Penetrační testování je prováděno alespoň jednou ročně. Je vypracován plán nápravy a opatření jsou realizována v souladu se SLA.

Přístup k systémům a aplikacím je vynucen pomocí jedinečných přihlašovacích údajů nebo schválených SSH klíčů.

Společnost testuje plán reakce na incidenty alespoň jednou ročně.

Používání nebo ukládání důvěrných či citlivých zákaznických dat v neprodukčních prostředích je zakázáno interní politikou.

Autentizace k „produkční síti“ je vynucena pomocí jedinečných uživatelských jmen a hesel nebo schválených SSH klíčů.

Role a odpovědnosti za návrh, vývoj, implementaci, provoz, údržbu a monitoring kontrol informační bezpečnosti jsou formálně přiřazeny v pracovních náplních a/nebo v politice rolí a odpovědností.

Vzdálený přístup k produkčním systémům je povolen pouze autorizovaným zaměstnancům prostřednictvím schváleného šifrovaného připojení.

Síť společnosti je segmentována s cílem zabránit neoprávněnému přístupu k zákaznickým datům.

Společnost šifruje přenosná a vyměnitelná paměťová média při jejich používání.

Společnost udržuje kybernetické pojištění za účelem zmírnění finančních dopadů provozních výpadků.

Změny softwaru a infrastruktury musí být autorizovány, formálně zdokumentovány, otestovány, přezkoumány a schváleny před nasazením do produkčního prostředí.

Společnost má zavedenou formální metodiku SDLC upravující vývoj, akvizici, implementaci, změny (včetně havarijních) a údržbu informačních systémů.

Zpracován popis systému pro sekci III auditní zprávy.

Společnost vyžaduje, aby smlouvy s kontraktory obsahovaly kodex chování nebo odkaz na kodex chování společnosti.

Společnost provádí prověrky nových zaměstnanců.

Zaměstnanci podepisují dohodu o mlčenlivosti během onboardingu.

Zaměstnanci potvrzují kodex chování při nástupu. Porušení kodexu je řešeno disciplinárními opatřeními v souladu s interní politikou.

Kontraktoři podepisují dohodu o mlčenlivosti při zahájení spolupráce.

Vedoucí pracovníci provádějí hodnocení výkonu přímých podřízených alespoň jednou ročně.

Návštěvníci se musí registrovat, nosit návštěvnický průkaz a být doprovázeni oprávněným zaměstnancem při vstupu do datových center nebo zabezpečených prostor.

Kontroly environmentálních bezpečnostních opatření v datových centrech jsou prováděny alespoň jednou ročně.

Společnost má zavedeny plány kontinuity provozu a obnovy po havárii, které vymezují komunikační postupy pro zajištění kontinuity informační bezpečnosti při nedostupnosti klíčového personálu.

Vrcholový management informuje představenstvo alespoň jednou ročně o stavu kybernetických a bezpečnostních rizik.

Představenstvo společnosti má zdokumentovaný statut, který vymezuje jeho odpovědnosti za dohled nad systémem interních kontrol.

Společnost má zdokumentované a komunikované politiky a postupy reakce na bezpečnostní a incidenty ochrany osobních údajů.

Společnost poskytuje interním i externím uživatelům přehledný popis svých produktů a služeb.

Společnost poskytuje zákazníkům pokyny a technické podpůrné zdroje týkající se provozu systémů.

Společnost po ukončení služby v souladu s osvědčenými postupy odstraňuje zákaznická data obsahující důvěrné informace z aplikačního prostředí.

Společnost má zavedenu politiku klasifikace dat, která zajišťuje odpovídající zabezpečení důvěrných dat a jejich omezení na oprávněné osoby.

Společnost ověřuje žádosti o vymazání a po jejich potvrzení odstraňuje požadované informace v souladu s platnými právními předpisy.

Představenstvo společnosti se schází alespoň jednou ročně a vede formální zápisy ze zasedání. Představenstvo zahrnuje členy, kteří jsou na společnosti nezávislí.

Společnost informuje zákazníky o kritických změnách systémů, které mohou ovlivnit zpracování jejich dat nebo služeb.

Společnost udržuje organizační schéma popisující organizační strukturu a reportingové linie.

Společnost provádí sebehodnocení kontrol alespoň jednou ročně za účelem ověření jejich existence a efektivního fungování. Na základě zjištění jsou přijímána nápravná opatření v souladu se stanovenými SLA.

Společnost stanovuje cíle umožňující identifikaci a hodnocení rizik souvisejících s těmito cíli.

Politiky a postupy informační bezpečnosti společnosti jsou zdokumentovány a přezkoumávány alespoň jednou ročně.

Společnost oznamuje opravy nebo výmaz osobních údajů jednotlivce oprávněným uživatelům a relevantním třetím stranám, kterým byly tyto osobní údaje sdíleny nebo předány.

Společnost používá zabezpečené přenosové protokoly k šifrování důvěrných a citlivých dat při přenosu přes veřejné sítě.

Společnost má zaveden a zdokumentován program řízení rizik, který zahrnuje identifikaci hrozeb, hodnocení rizik a stanovení opatření k jejich zmírnění.

Společnost má zavedené formální postupy pro bezpečné uchovávání a likvidaci dat společnosti i zákazníků.

Společnost má uzavřeny písemné smlouvy s dodavateli a dalšími třetími stranami, které zahrnují závazky mlčenlivosti a ochrany osobních údajů.

Společnost před shromažďováním, používáním nebo zpřístupněním citlivých osobních údajů získává, eviduje a uchovává výslovný souhlas subjektu údajů v souladu s právními a regulatorními požadavky.

Společnost dokumentuje nové účely zpracování dříve shromážděných osobních údajů, informuje o nich jednotlivce, v případě potřeby získává jejich souhlas a zajišťuje, že údaje jsou používány pouze v souladu s těmito účely.

Společnost má zavedenou, udržuje a minimálně jednou ročně přezkoumává dokumentaci popisující povahu, rozsah a účel osobních údajů, které jsou shromažďovány, zpracovávány, uchovávány a/nebo zpřístupňovány třetím stranám.

Společnost získává a eviduje souhlas a preference jednotlivců nejpozději v okamžiku shromažďování údajů a tyto preference včas uplatňuje při jejich zpracování.

Společnost má zavedené procesy pro udělování, změny a ukončení fyzického přístupu do datových center na základě schválení odpovědnými vlastníky kontrol.

Společnost má zavedené, jasně datované a srozumitelně formulované zásady ochrany osobních údajů, které popisují postupy a účely shromažďování, zpracování, používání a zpřístupňování osobních údajů.

Jednotlivci mohou udělit nebo odvolat souhlas s používáním nepodstatných cookies a bez platného souhlasu nejsou osobní údaje ukládány ani zpracovávány.

Zásady ochrany osobních údajů jsou dostupné zákazníkům, zaměstnancům a relevantním třetím stranám před nebo nejpozději v okamžiku shromažďování osobních údajů od jednotlivce.

Společnost přezkoumává přístup do datových center alespoň jednou ročně.

Bezpečnostní závazky společnosti jsou komunikovány zákazníkům prostřednictvím rámcových smluv (MSA) nebo obchodních podmínek (TOS).

Společnost zásady ochrany osobních údajů průběžně přezkoumává a aktualizuje tak, aby byly v souladu s platnými právními předpisy, regulacemi a příslušnými standardy.

Společnost má zaveden externí systém podpory, který uživatelům umožňuje hlásit selhání systémů, incidenty, podněty a další stížnosti příslušnému personálu.

Před zpřístupněním osobních údajů společnost ověřuje totožnost jednotlivce nebo jeho oprávněného zástupce a potvrzuje, že přístup není v rozporu s právními předpisy.

Členové představenstva disponují dostatečnými odbornými znalostmi k dohledu nad schopností vedení navrhovat, implementovat a provozovat kontroly informační bezpečnosti. V případě potřeby jsou zapojováni externí experti a konzultanti v oblasti informační bezpečnosti.

Zaměstnanci absolvují školení bezpečnosti do 30 dnů od nástupu a následně alespoň jednou ročně.

Doba uchovávání osobních údajů je zdokumentována a osobní údaje jsou uchovávány pouze po dobu nezbytnou pro obchodní účely a v souladu s platnými právními předpisy.

Hodnocení rizik společnosti probíhá alespoň jednou ročně a zahrnuje identifikaci hrozeb, změn a rizik podvodu, které mohou ovlivnit dosažení stanovených cílů.

Jednotlivci, zákazníci nebo oprávnění držitelé účtů mohou aktualizovat své osobní údaje prostřednictvím zákaznického portálu nebo kontaktních kanálů uvedených v zásadách ochrany osobních údajů, aby byla zajištěna jejich přesnost a úplnost.

Produkční systémy jsou vzdáleně přístupné pouze autorizovaným zaměstnancům s platným vícefaktorovým ověřením (MFA).

Společnost informuje jednotlivce při nebo před shromažďováním osobních údajů, případně při jejich použití pro nové účely, které nebyly dříve uvedeny v zásadách ochrany osobních údajů.

Formální politiky společnosti stanovují požadavky na řízení zranitelností a monitoring systémů.

Autentizace k produkčním datovým úložištím je vynucena prostřednictvím schválených bezpečných autentizačních mechanismů, například jedinečných SSH klíčů.

Vedení společnosti má stanovené a zdokumentované role a odpovědnosti pro dohled nad návrhem a implementací kontrol informační bezpečnosti.

Společnost má zavedené procesy a postupy pro evidenci, ověřování a řešení žádostí, dotazů, stížností nebo sporů týkajících se práv subjektů údajů na přístup, přezkum, opravu a/nebo výmaz osobních údajů. Žádosti o přístup k osobním údajům jsou evidovány v určeném systému pro účely historie a auditu.

Společnost bezpečně likviduje osobní údaje v souladu se zdokumentovanými postupy. Osobní údaje jsou anonymizovány, bezpečně vymazány a/nebo zničeny, pokud již nejsou dále potřebné.

Vedení společnosti a/nebo právní oddělení přezkoumává a schvaluje způsoby shromažďování osobních údajů před jejich zavedením, aby bylo zajištěno jejich spravedlivé a zákonné zpracování.

Vedení společnosti přezkoumává a schvaluje zdroje osobních údajů pocházejících od třetích stran, aby byla zajištěna jejich spolehlivost a zákonný způsob získání.

Společnost má zdokumentované postupy pro řešení stížností a podnětů týkajících se ochrany osobních údajů, včetně jejich evidence a komunikace výsledků dotčeným osobám.

Společnost průběžně přezkoumává a aktualizuje své politiky a postupy v oblasti ochrany osobních údajů tak, aby bylo zajištěno, že shromažďované osobní údaje jsou jasně rozlišeny na nezbytné a volitelné, jsou zpracovávány se souhlasem jednotlivce v souladu s právními předpisy a jsou používány výhradně k účelům uvedeným v zásadách ochrany osobních údajů.

Společnost má zavedené zásady ochrany osobních údajů, které srozumitelně popisují rozsah shromažďovaných osobních údajů, povinnosti společnosti, práva jednotlivců na přístup, opravu nebo výmaz osobních údajů a aktuální kontaktní údaje pro dotazy či žádosti.