Kontrolné mechanizmy

Zamestnanci podpisujú dohodu o mlčanlivosti počas onboardingu.

Doba uchovávania osobných údajov je zdokumentovaná a osobné údaje sa uchovávajú len po dobu nevyhnutnú na obchodné účely a v súlade s platnými právnymi predpismi.

Spoločnosť používa zabezpečené prenosové protokoly na šifrovanie dôverných a citlivých dát pri prenose cez verejné siete.

Spoločnosť dokumentuje nové účely spracúvania už zhromaždených osobných údajov, informuje o nich jednotlivcov, v prípade potreby získava ich súhlas a zabezpečuje používanie údajov v súlade s týmito účelmi.

Spoločnosť má zavedené procesy a postupy na evidenciu, overovanie a riešenie žiadostí, dopytov, sťažností alebo sporov týkajúcich sa práv dotknutých osôb na prístup, preskúmanie, opravu a/alebo vymazanie osobných údajov. Žiadosti o prístup k osobným údajom sú evidované v určenom systéme na historické a auditné účely.

Vedenie spoločnosti a/alebo právne oddelenie prehodnocuje a schvaľuje spôsoby zhromažďovania osobných údajov pred ich zavedením, aby bolo zabezpečené ich spravodlivé a zákonné spracovanie.

Spoločnosť má zavedenú formálnu metodiku SDLC upravujúcu vývoj, akvizíciu, implementáciu, zmeny (vrátane núdzových) a údržbu informačných systémov.

Kontroly environmentálnych bezpečnostných opatrení v dátových centrách sú vykonávané aspoň raz ročne.

Zásady ochrany osobných údajov sú dostupné zákazníkom, zamestnancom a relevantným tretím stranám pred alebo najneskôr v čase zhromažďovania osobných údajov od jednotlivca.

Spoločnosť vykonáva sebahodnotenie kontrol aspoň raz ročne s cieľom overiť ich existenciu a efektívne fungovanie. Na základe zistení sú prijímané nápravné opatrenia v súlade so SLA.

Spoločnosť má zavedené zásady ochrany osobných údajov, ktoré zrozumiteľne opisujú rozsah zhromažďovaných osobných údajov, povinnosti spoločnosti, práva jednotlivcov na prístup, opravu alebo vymazanie osobných údajov a aktuálne kontaktné údaje na otázky alebo žiadosti.

Spoločnosť má uzatvorené písomné zmluvy s dodávateľmi a ďalšími tretími stranami, ktoré zahŕňajú záväzky mlčanlivosti a ochrany osobných údajov.

Spoločnosť zásady ochrany osobných údajov priebežne prehodnocuje a aktualizuje tak, aby boli v súlade s platnými právnymi predpismi, reguláciami a príslušnými normami.

Členovia predstavenstva majú dostatočné odborné znalosti na dohľad nad schopnosťou manažmentu navrhovať, implementovať a prevádzkovať kontroly informačnej bezpečnosti. V prípade potreby sú zapájaní externí odborníci a konzultanti.

Spoločnosť po ukončení služby v súlade s osvedčenými postupmi odstraňuje zákaznícke údaje obsahujúce dôverné informácie z aplikačného prostredia.

Spoločnosť má zdokumentované postupy na riešenie sťažností a podnetov týkajúcich sa ochrany osobných údajov vrátane ich evidencie a komunikácie výsledkov dotknutým osobám.

Spoločnosť preskúmava zásady ochrany osobných údajov podľa potreby alebo pri vzniku zmien a aktualizuje ich tak, aby boli v súlade s platnými zákonmi, nariadeniami a príslušnými štandardmi.

Spoločnosť vykonáva preverovanie nových zamestnancov.

Spoločnosť udržiava kybernetické poistenie na zmiernenie finančných dopadov prevádzkových výpadkov.

Spoločnosť po overení identity poskytuje požadované informácie včas a v súlade s platnými právnymi predpismi.

Spoločnosť prehodnocuje prístup do dátových centier aspoň raz ročne.

Používanie alebo ukladanie dôverných alebo citlivých zákazníckych dát v neprodukčných prostrediach je zakázané internou politikou.

Spoločnosť využíva viaclokálnu stratégiu produkčných prostredí umožňujúcu obnovenie prevádzky v inom dátovom centre pri výpadku lokality.

Spoločnosť má zavedené, jasne datované a zrozumiteľne formulované zásady ochrany osobných údajov, ktoré opisujú postupy a účely zhromažďovania, spracúvania, používania a sprístupňovania osobných údajov.

Vzdialený prístup k produkčným systémom je povolený len autorizovaným zamestnancom prostredníctvom schváleného šifrovaného pripojenia.

Spoločnosť overuje žiadosti o vymazanie a po ich potvrdení odstraňuje požadované informácie v súlade s platnými právnymi predpismi.

Návštevníci sa musia registrovať, nosiť návštevnícku kartu a byť sprevádzaní oprávneným zamestnancom.

Spoločnosť má zavedené formálne postupy na bezpečné uchovávanie a likvidáciu údajov spoločnosti a zákazníkov.

Spoločnosť pred zhromažďovaním, používaním alebo sprístupnením citlivých osobných údajov získava, eviduje a uchováva výslovný súhlas dotknutej osoby v súlade s právnymi a regulačnými požiadavkami.

Produkčné systémy sú vzdialene prístupné len autorizovaným zamestnancom s platným viacfaktorovým overením (MFA).

Spoločnosť poskytuje zákazníkom pokyny a technické podporné zdroje týkajúce sa prevádzky systémov.

Hodnotenie rizík spoločnosti prebieha aspoň raz ročne a zahŕňa identifikáciu hrozieb, zmien a rizík podvodu.

Spoločnosť priebežne prehodnocuje a aktualizuje svoje politiky a postupy v oblasti ochrany osobných údajov tak, aby bolo zabezpečené, že zhromažďované osobné údaje sú jasne rozlíšené na nevyhnutné a voliteľné, sú spracúvané so súhlasom jednotlivca v súlade s právnymi predpismi a sú používané výlučne na účely uvedené v zásadách ochrany osobných údajov.

Spoločnosť má zavedenú, udržiava a minimálne raz ročne prehodnocuje dokumentáciu opisujúcu povahu, rozsah a účel osobných údajov, ktoré sa zhromažďujú, spracúvajú, uchovávajú a/alebo poskytujú tretím stranám.

Spoločnosť má zavedený a zdokumentovaný program riadenia rizík, ktorý zahŕňa identifikáciu hrozieb, hodnotenie rizík a stanovenie opatrení na ich zmiernenie.

Roly a zodpovednosti za návrh, vývoj, implementáciu, prevádzku, údržbu a monitorovanie kontrol informačnej bezpečnosti sú formálne priradené v pracovných náplniach a/alebo v politike rolí a zodpovedností.

Pred sprístupnením osobných údajov spoločnosť overuje totožnosť jednotlivca alebo jeho oprávneného zástupcu a overuje, že prístup je zákonne povolený.

Spoločnosť testuje plán reakcie na incidenty aspoň raz ročne.

Predstavenstvo spoločnosti má zdokumentovaný štatút, ktorý vymedzuje jeho zodpovednosti za dohľad nad systémom interných kontrol.

Spoločnosť má zdokumentované a komunikované politiky a postupy reakcie na bezpečnostné a incidenty ochrany osobných údajov.

Predstavenstvo spoločnosti sa stretáva aspoň raz ročne a vedie formálne zápisnice zo zasadnutí. Súčasťou predstavenstva sú aj nezávislí členovia.

Zamestnanci absolvujú bezpečnostné školenie do 30 dní od nástupu a následne aspoň raz ročne.

Vrcholový manažment informuje predstavenstvo aspoň raz ročne o stave kybernetických a privacy rizík.

Vedenie spoločnosti prehodnocuje a schvaľuje zdroje osobných údajov získaných od tretích strán, aby bola zabezpečená ich spoľahlivosť a zákonný spôsob získania.

Spoločnosť poskytuje interným aj externým používateľom prehľadný popis svojich produktov a služieb.

Spoločnosť bezpečne likviduje osobné údaje v súlade so zdokumentovanými postupmi. Osobné údaje sú anonymizované, bezpečne vymazané a/alebo zničené, ak už nie sú potrebné.

Manažment spoločnosti má stanovené a zdokumentované roly a zodpovednosti na dohľad nad návrhom a implementáciou kontrol informačnej bezpečnosti.

Bezpečnostné záväzky spoločnosti sú komunikované zákazníkom prostredníctvom rámcových zmlúv (MSA) alebo obchodných podmienok (TOS).

Spoločnosť má zavedené procesy na udeľovanie, zmenu a odobratie fyzického prístupu do dátových centier na základe schválenia vlastníkmi kontrol.

Politiky a postupy informačnej bezpečnosti spoločnosti sú zdokumentované a prehodnocované aspoň raz ročne.

Prístup k systémom a aplikáciám je vynútený pomocou jedinečných prihlasovacích údajov alebo schválených SSH kľúčov.

Spoločnosť stanovuje ciele umožňujúce identifikáciu a hodnotenie rizík súvisiacich s týmito cieľmi.

Sieť spoločnosti je segmentovaná s cieľom zabrániť neoprávnenému prístupu k zákazníckym dátam.

Spoločnosť šifruje prenosné a vymeniteľné pamäťové médiá pri ich používaní.

Spoločnosť udržiava organizačnú schému, ktorá popisuje organizačnú štruktúru a reportovacie línie.

Vypracovaný popis systému pre sekciu III auditnej správy.

Penetračné testovanie je vykonávané aspoň raz ročne. Vypracuje sa plán nápravy a opatrenia sa realizujú v súlade so SLA.

Vedúci pracovníci vykonávajú hodnotenia výkonu priamych podriadených aspoň raz ročne.

Spoločnosť má zavedený externý systém podpory, ktorý umožňuje používateľom hlásiť zlyhania systémov, incidenty, podnety a sťažnosti príslušnému personálu.

Zmeny softvéru a infraštruktúry musia byť autorizované, formálne zdokumentované, otestované, preskúmané a schválené pred nasadením do produkčného prostredia.

Jednotlivci, zákazníci alebo oprávnení držitelia účtov môžu aktualizovať svoje osobné údaje prostredníctvom zákazníckeho portálu alebo kontaktných kanálov uvedených v zásadách ochrany osobných údajov, aby bola zabezpečená ich presnosť a úplnosť.

Spoločnosť má zavedenú politiku klasifikácie údajov, ktorá zabezpečuje primerané chránenie dôverných údajov a ich prístup len oprávneným osobám.

Spoločnosť oznamuje opravy alebo vymazanie osobných údajov jednotlivca oprávneným používateľom a relevantným tretím stranám, ktorým boli osobné údaje poskytnuté alebo prenesené.

Spoločnosť komunikuje zmeny systémov oprávneným interným používateľom.

Autentifikácia k „produkčnej sieti“ je vynútená pomocou jedinečných používateľských mien a hesiel alebo schválených SSH kľúčov.

Zamestnanci potvrdzujú kódex správania pri nástupe. Porušenie kódexu je riešené disciplinárnymi opatreniami v súlade s internou politikou.

Spoločnosť má zavedené plány kontinuity prevádzky a obnovy po havárii, ktoré definujú komunikačné postupy na zachovanie kontinuity informačnej bezpečnosti pri nedostupnosti kľúčového personálu.

Kontraktoři podpisujú dohodu o mlčanlivosti pri začatí spolupráce.

Spoločnosť informuje jednotlivcov pri alebo pred zhromažďovaním osobných údajov, prípadne pri ich použití na nové účely, ktoré neboli predtým uvedené v zásadách ochrany osobných údajov.

Spoločnosť informuje zákazníkov o kritických zmenách systémov, ktoré môžu ovplyvniť spracovanie ich údajov alebo služieb.

Autentifikácia k produkčným dátovým úložiskám je vynútená prostredníctvom schválených bezpečných autentifikačných mechanizmov, napríklad jedinečných SSH kľúčov.

Spoločnosť získava a eviduje súhlas a preferencie jednotlivcov najneskôr v čase zhromažďovania údajov a tieto preferencie včas uplatňuje pri spracúvaní údajov.

Formálne politiky spoločnosti stanovujú požiadavky na riadenie zraniteľností a monitorovanie systémov.

Spoločnosť vyžaduje, aby zmluvy s kontraktormi obsahovali kódex správania alebo odkaz na kódex správania spoločnosti.