Załącznik II – Środki techniczne i organizacyjne
Globalization Partners otrzymała certyfikat i poświadczenie potwierdzające zgodność ze 2 standardami SOC od niezależnych audytorów. Raporty Service Organization Controls (SOC) pokazują nasze zaangażowanie w ochronę danych klientów. Program bezpieczeństwa Globalization Partners ma na celu:
-
Ochrona poufności, integralności i dostępności Danych klienta znajdujących się w posiadaniu Globalization Partners lub do których Globalization Partners ma dostęp;
-
Ochrona przed wszelkimi przewidywanymi zagrożeniami dla poufności, integralności i dostępności Danych klienta;
-
Ochrona przed nieuprawnionym lub bezprawnym dostępem, wykorzystaniem, ujawnieniem, zmianą lub zniszczeniem Danych Klienta;
-
Ochrona przed przypadkową utratą, zniszczeniem lub uszkodzeniem Danych klienta; oraz
-
Zabezpiecz informacje zgodnie z wszelkimi przepisami, które mogą podlegać regulacjom Globalization Partners.
Poniżej opisano funkcje, procesy, mechanizmy kontroli, systemy, procedury i środki, które Globalization Partners podjęła w celu zapewnienia bezpieczeństwa Przetwarzania Danych Klienta:
1) ŚRODKI TECHNICZNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH
a) Prywatność w fazie projektowania i domyślnejGlobalization Partners uwzględnia wymogi art. 25 RODO w fazie projektowania i rozwoju produktu. Procesy i funkcje są tak skonfigurowane, aby zasady ochrony danych, takie jak legalność, przejrzystość, ograniczenie celu, minimalizacja danych itp., jak również bezpieczeństwo przetwarzania danych były brane pod uwagę na wczesnym etapie.
b) Szyfrowanie danych osobowych:Zapewnienie, że dane osobowe są przechowywane w systemie tylko w sposób, który nie pozwala stronom trzecim na identyfikację osoby, której dane dotyczą.
-
Szyfrowanie bazy danych i pamięci masowej:
We wszystkich bazach danych używanych przez Globalization Partners stosuje się szyfrowanie „w spoczynku” zgodnie z aktualnym stanem wiedzy, aby dane z bazy danych mogły być odczytywane tylko po odpowiednim uwierzytelnieniu w odpowiednim systemie baz danych.
-
Szyfrowanie mobilnych nośników danych:
Wykorzystywanie mobilnych nośników danych do przechowywania danych klientów jest niedozwolone.
-
Szyfrowanie nośników danych na laptopach:
Na wszystkich laptopach pracowników zainstalowano odpowiednie, najnowocześniejsze szyfrowanie dysku twardego.
-
Szyfrowana wymiana informacji i plików:
Zasadniczo wymiana informacji i plików jest bezpośrednio szyfrowana za pomocą specjalnej aplikacji. Jeśli dane osobowe lub informacje poufne muszą zostać przesłane na serwery, których nie można przesłać za pomocą protokołu HTTPS szyfrowanego TLS, zostaną one przesłane za pomocą protokołu Secure File Transfer Protocol (SFTP), zaszyfrowanej usługi koperty lub innego zaszyfrowanego mechanizmu zgodnie z aktualnym stanem wiedzy.
-
Szyfrowanie poczty e-mail:
Zasadniczo wszystkie wiadomości e-mail wysyłane przez pracowników Globalization Partners są szyfrowane za pomocą TLS. Wyjątkiem może być sytuacja, w której serwer poczty odbierającej nie obsługuje TLS. Klient zapewni, że odpowiednie serwery pocztowe wykorzystywane w ramach zamówienia będą obsługiwać szyfrowanie TLS
c) Kontrole przyjęć są przeznaczone i wprowadzone w celu zapobiegania wykorzystywaniu i przetwarzaniu danych chronionych przez przepisy o ochronie danych przez osoby nieupoważnione.
-
Korzystanie z metod uwierzytelniania
Dostęp do danych osobowych odbywa się zawsze za pomocą zaszyfrowanych protokołów: SSH, SSL/TLS, HTTPS lub porównywalnych. Procedura uwierzytelniania dla systemu informatycznego: logowanie wieloskładnikowe do systemu informatycznego.
-
Automatyczne blokowanie w przypadku braku aktywności
Laptopy używane przez pracowników firmy Globalization Partners są zabezpieczone hasłem lub kodem PIN, gdy nie są używane przez użytkownika. Ponadto po 15 minutach bezczynności ustawiana jest automatyczna blokada ekranu z ochroną hasłem.
-
Korzystanie z oprogramowania antywirusowego
Laptopy używane przez pracowników Globalization Partners są wyposażone w najnowocześniejsze oprogramowanie antywirusowe, które jest na bieżąco aktualizowane we wszystkich operacyjnych lub biznesowych systemach informatycznych. Zasadniczo żadne komputery nie mogą być obsługiwane bez ochrony przed wirusami rezydenta, chyba że podjęto inne równoważne najnowocześniejsze środki bezpieczeństwa lub nie ma ryzyka. Nie wolno dezaktywować ani obchodzić domyślnych ustawień zabezpieczeń.
-
„Polityka czystego biurka”
Pracownicy Globalization Partners są instruowani, aby nie drukować ani nie przechowywać lokalnie danych osobowych osób, których dane dotyczą, nie pozostawiać materiałów roboczych w miejscu, w którym mogą być przeglądane przez osoby trzecie, oraz aby odpowiednio przechowywać wszystkie materiały robocze. Dokumenty, które firma Globalization Partners jest prawnie zobowiązana przechowywać w formie papierowej, są przechowywane w zamkniętych szafkach.
d) Kontrola dostępu w ramach kontroli dostępu do platformy zapewnia, że osoby upoważnione do korzystania z systemu przetwarzania mają dostęp tylko do danych osobowych objętych ich autoryzacją dostępu.
-
Role i autoryzacja
-
Role i platforma autoryzacji – użytkownicy z dostępem klienta mogą przeglądać i edytować informacje o koncie klienta.
-
Platforma ról i autoryzacji – użytkownicy Professional Access Professional mogą przeglądać i edytować własne informacje zawodowe
.Profesjonaliści mogą również uzyskać rolę dostępu klienta po spełnieniu wymagań + zatwierdzeniu
-
Platforma ról i autoryzacji – użytkownicy
dostępu wewnętrznego mają różne role. Mają zróżnicowany dostęp do tworzenia, wyświetlania, edytowania i zatwierdzania następujących elementów:
-
Informacje o kliencie
-
Informacje rozliczeniowe
-
Informacje o partnerze
-
Profesjonalny personel rejestruje informacje
Dostęp do systemu administracyjnego jest generalnie ograniczony do przeszkolonych pracowników w zakresie obsługi klienta i rozwoju produktów.
e) Zapora sieciowa jako Globalization Partners wykorzystuje zewnętrzną zaporę sieciową jako usługę, która umożliwia jej udzielanie lub blokowanie dostępu do stron internetowych w celu upewnienia się, że systemy nie mają dostępu do złośliwych treści i ograniczenia dostępu do nieodpowiednich treści.
f) Zapis logowania do PlatformyGlobalizacjaGlobalization Partners prowadzi rejestr wszystkich działań związanych z logowaniem.
g) Odrębność Zapewnianie, że dane osobowe gromadzone w różnych celach mogą być przetwarzane oddzielnie i są oddzielone od innych danych i systemów w taki sposób, że nieplanowe wykorzystanie tych danych do innych celów jest wykluczone.
-
Rozdzielenie środowisk programistycznych, testowych i operacyjnych
Dane ze środowiska operacyjnego mogą być przekazywane do środowisk testowych lub programistycznych tylko wtedy, gdy zostały całkowicie zanonimizowane przed przekazaniem. Przesyłanie zanonimizowanych danych musi być szyfrowane lub realizowane za pośrednictwem godnej zaufania sieci.
-
Separacja w sieciach
Globalization Partners Dzieli swoje sieci zgodnie z zadaniami. Następujące sieci są używane na stałe: środowisko operacyjne („Produkcja”), środowisko testowe („Samochłonność”, „Sandbox”), środowisko programistyczne („Dev”) – personel IT biura. Oprócz tych sieci tworzone są również inne, odrębne sieci, np. do testów przywracania i penetracji. W zależności od możliwości technicznych sieci są rozdzielane fizycznie lub za pomocą sieci wirtualnych.
h) Kontrola dostępnościGlobalizacjaGlobalization Partners podejmuje następujące kroki w celu zapewnienia ochrony danych osobowych przed przypadkowym zniszczeniem lub utratą.
-
Procedury/kopie zapasowe dotyczące ochrony danych
Aby zapewnić odpowiednią dostępność, Globalization Partners wdraża codzienne migawki swojej bazy danych z replikacją do innego regionu. Podejmowane są również środki w celu zapewnienia, że pracownicy, którzy mają potrzebę weryfikacji danych na podstawie stanowiska, mają dostęp wyłącznie do replik zestawów danych.
-
Georedundancja w odniesieniu do infrastruktury serwerów danych produktywnych i kopii zapasowych
-
Zarządzanie incydentami IT („Zarządzanie reagowaniem na incydenty”)
Istnieje koncepcja i udokumentowane procedury postępowania z incydentami i zdarzeniami związanymi z bezpieczeństwem. Obejmuje to planowanie i przygotowanie reakcji na incydenty, procedury monitorowania, wykrywania i analizowania bezpieczeństwa – istotnych zdarzeń oraz definicję odpowiednich obowiązków i kanałów zgłaszania w przypadku naruszenia ochrony danych osobowych w ramach wymogów prawnych.
2) ŚRODKI ORGANIZACYJNE W CELU ZAPEWNIENIA PRYWATNOŚCI I OCHRONY DANYCH
Globalization Partners wdrożyła następujące środki organizacyjne, aby zapewnić, że organizacja działa w sposób spełniający wymogi dotyczące prywatności i ochrony danych.
a) Instrukcje organizacyjneGlobalizacjaGlobalization Partners opracowała i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne, których muszą przestrzegać pracownicy. Dokumentacja zawiera informacje o tym, jak identyfikować problemy związane z prywatnością danych i zarządzać nimi, najlepsze praktyki zapewniające zgodność z przepisami dotyczącymi prywatności oraz zasady rozwiązywania incydentów związanych z prywatnością.
b) Zobowiązanie do zachowania poufności i ochrony danychGlobalizacjaGlobalization Partners opracowała i opracowuje program zarządzania danymi, w tym polityki, procedury i wytyczne, których pracownicy muszą przestrzegać. Wszyscy pracownicy i kontrahenci są zobowiązani na piśmie do zachowania poufności i ochrony danych, a także do przestrzegania innych stosownych przepisów. Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa. Regularnie przeprowadzane są audyty wewnętrzne dotyczące ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów. Pracownicy i kontrahenci Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie w celach zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi zgodnymi z prawem obowiązkami organizacji.
c) Szkolenie w zakresie ochrony danych Wszyscy pracownicy przechodzą szkolenie w zakresie prywatności i bezpieczeństwa, które pozostaje dostępne do wglądu w dowolnym momencie na platformie szkoleniowej Globalization Partners .
d) Środki kontroli dostępu Globalization Partners stosuje następujące fizyczne środki kontroli w celu uniemożliwienia osobom nieupoważnionym dostępu do sprzętu systemów informatycznych wykorzystywanego do przetwarzania.
-
Elektroniczna ochrona drzwi
Drzwi wejściowe do pomieszczeń biur Globalization Partners są zawsze zamknięte i zabezpieczone elektronicznie. Drzwi otwiera się za pomocą osobistego transpondera elektronicznego.
-
Kontrolowana dystrybucja kluczy
Centralna, udokumentowana alokacja kluczy do pracowników Globalization Partners ma miejsce. Te elektroniczne transpondery/klucze mogą być dezaktywowane centralnie przez każdego kierownika biura lub dział zasobów ludzkich.
-
Nadzór i towarzyszenie osobom z zewnątrz
Zewnętrzni dostawcy usług i inne osoby trzecie mogą uzyskać dostęp do obiektu wyłącznie za uprzednią zgodą lub w towarzystwie pracownika Globalization Partners. Globalization Partners stosuje swoją pisemną Politykę dla gości, gdy osoby odwiedzające są zapraszane do obiektu.
-
Zabezpieczanie pomieszczeń o zwiększonej potrzebie ochrony
Obiekty lub szafki o podwyższonych wymaganiach dotyczących ochrony, takie jak biura prawne i niektóre lokalizacje operacyjne, są wyposażone w szafki i szuflady blokujące. Szafki i szuflady, w których przechowywane są dokumenty prawne, umowy i poufna dokumentacja, należy zawsze zamykać na klucz, z wyjątkiem sytuacji, gdy są używane.
-
Zamknięte drzwi i okna
Pracownicy są poinstruowani organizacyjnie, aby zamykać lub zamykać okna i drzwi poza godzinami pracy.
e) Możliwość odzyskaniaGlobalization Partners zapewnia, że używane systemy mogą zostać przywrócone w przypadku awarii fizycznej lub technicznej.
-
Regularne testy odzyskiwania danych („Przywracanie-Testy”)
Regularne pełne testy przywracania są przeprowadzane w celu zapewnienia możliwości odzyskania w przypadku awarii.
-
Plan awaryjny („Koncepcja powrotu do normalnej działalności”)
Istnieje koncepcja postępowania w sytuacjach awaryjnych i odpowiedniego planu awaryjnego. Globalization Partners zapewnia odzyskiwanie wszystkich systemów na podstawie kopii zapasowych danych, zwykle w ciągu 48 godzin.
-
Przegląd i ocena środków
Przedstawienie procedur regularnego przeglądu, oceny i oceny skuteczności środków technicznych i organizacyjnych.
f) Zespół ds. ochrony prywatności Organizacja posiada Globalne Biuro ds. Ochrony Danych, którego zadaniem jest planowanie, wdrażanie, ocena i dostosowywanie środków w zakresie ochrony danych.
g) Zarządzanie ryzykiem Istnieje proces analizy, oceny i alokacji ryzyka oraz określania środków na podstawie tych rodzajów ryzyka.
3) NIEZALEŻNY PRZEGLĄD BEZPIECZEŃSTWA INFORMACJI
a) Regularne przeprowadzanie audytów wewnętrznych w zakresie ochrony danych i bezpieczeństwa informacji. Audyty są przeprowadzane na podstawie wspólnych kryteriów/schematów testów.
b) Regularnie sprawdzana jest zgodność z politykami i standardami bezpieczeństwa Zgodność z obowiązującymi wytycznymi bezpieczeństwa, standardami i innymi wymogami bezpieczeństwa dotyczącymi przetwarzania danych osobowych. Tam, gdzie to możliwe, kontrole te są przeprowadzane losowo i niespodziewanie.
c) Weryfikacja zgodności ze specyfikacjami technicznymi Regularne automatyczne i ręczne skanowanie luk w zabezpieczeniach jest wykonywane przez dział IT lub inny wykwalifikowany personel w celu weryfikacji bezpieczeństwa aplikacji i infrastruktury, a także regularnego rozwoju produktu. Szczegółowe testy penetracyjne są przeprowadzane przez zewnętrznego dostawcę usług w celu szczegółowej analizy aplikacji i infrastruktury pod kątem luk w zabezpieczeniach.
d) Przetwarzanie na polecenie Pracownicy Globalization Partners są instruowani, aby przetwarzać dane osobowe wyłącznie z powodów zgodnych z prawem, zgodnie z obowiązującymi umowami z klientem i specjalistą, z należytym uwzględnieniem wszelkich wyraźnych zgód udzielonych lub wstrzymanych przez osobę, której dane dotyczą, oraz zgodnie z wszelkimi obowiązkami prawnymi organizacji.
e) Staranny dobór dostawcówGlobalizacjaGlobalization Partners przestrzega swojego Procesu wstępnej kwalifikacji dostawców przy wyborze dostawców, którzy mogą napotkać chronione dane. Proces ten obejmuje informacje zwrotne z działów finansów i prawnego/prywatności oraz obejmuje ocenę ryzyka, wstępną kwalifikację bezpieczeństwa i etapy certyfikacji dokumentacji. Dostawcy, którzy będą przetwarzać chronione dane, będą zobowiązani do wykazania przestrzegania przez nich obowiązujących przepisów o ochronie danych, w tym art. 28 RODO w odniesieniu do danych objętych ochroną.