Polityka bezpieczeństwa

  1. Amilon wdraża Politykę Bezpieczeństwa Informacji odpowiednią do zakresu świadczonych przez siebie usług, ze szczególnym uwzględnieniem przetwarzania danych osobowych.
  2. Amilon aktualizuje Politykę Bezpieczeństwa co najmniej raz w roku i informuje o tym swoich pracowników, współpracowników oraz osoby trzecie zaangażowane w przetwarzanie danych.

Role i obowiązki

  1. Amilon definiuje, dokumentuje i informuje innych o rolach i obowiązkach personelu zaangażowanego w zarządzanie procesami ochrony danych.
  2. Role i zakresy obowiązków przypisane głównym podmiotom zaangażowanym w zarządzanie ochroną danych (np. urzędnikowi ds. bezpieczeństwa, audytorowi bezpieczeństwa, inspektorowi ochrony danych) są określone zgodnie z zasadą rozdziału obowiązków, tj. są tak odrębne i niezależne, jak to tylko możliwe.

Zarządzanie dostępem

  1. Amilon ustanawia, dokumentuje i wdraża politykę dostępu z precyzyjnymi zasadami kontroli dostępu, z określonymi prawami i ograniczeniami w zależności od roli, jaką użytkownik odgrywa w przetwarzaniu danych osobowych.
  2. Na podstawie zweryfikowanych kryteriów kwalifikacyjnych, Amilon identyfikuje role, którym nadawane są uprawnienia administratora i ogranicza ich nadawanie do minimalnej liczby użytkowników.
  3. Amilon wdraża system kontroli dostępu dla wszystkich użytkowników systemów informatycznych, który przewiduje tworzenie, zatwierdzanie, monitorowanie i usuwanie kont.
  4. Używanie ogólnych lub współdzielonych kont jest zabronione, dlatego konta są indywidualne i niepowtarzalne.
  5. Wdrożony mechanizm uwierzytelniania zapewnia dostęp do systemów poprzez użycie identyfikatora użytkownika i hasła lub poprzez uwierzytelnianie biometryczne (odciski palców). Hasło jest złożone (długość, cyfry, litery, znaki specjalne) i jest ważne maksymalnie 90 dni. Po upływie 90 dni użytkownik jest zmuszony do jego zmiany.
  6. Polityka haseł jest formalnie udokumentowana i rozpowszechniona wśród pracowników.
  7. Hasła użytkowników przechowywane są w postaci hashowanej, czyli zaszyfrowane algorytmem, który nie pozwala na odwracalność szyfrowania.

Zarządzanie aktywami

  1. Amilon sporządza i na bieżąco aktualizuje wykaz aktywów informatycznych (sprzęt, oprogramowanie, sieć) wykorzystywanych do przetwarzania danych osobowych; wykaz zawiera następujące informacje: składnik aktywów, typ, lokalizacja, administrator aktywów, odbiorca aktywów.
  2. Amilon identyfikuje pracowników, którzy mogą lub nie mogą mieć dostępu do każdego zasobu informacji, zwłaszcza jeśli są zaangażowani w przetwarzanie konkretnych danych osobowych.

Zarządzanie zmianami

  1. Amilon rejestruje i monitoruje wszystkie zmiany dokonywane w swoich zasobach informatycznych przez upoważniony personel.
  2. Zadania rozwojowe realizowane są w chronionym środowisku, oddzielonym od systemów informatycznych służących do przetwarzania danych osobowych.
  3. Środowisko testowe, oddzielone od środowisk rozwojowych i produkcyjnych, nie zawiera rzeczywistych danych, a jeśli są one obecne, to są chronione środkami bezpieczeństwa równoważnymi do tych, które są obecne w środowisku produkcyjnym.
  4. Amilon ustanawia i dokumentuje Politykę Zarządzania Zmianami, która definiuje role i obowiązki zaangażowanych funkcji oraz proces kontroli.

Zarządzanie incydentami

  1. Amilon wdraża plan zarządzania incydentami.
  2. Amilon wdraża procedurę zarządzania naruszeniami danych i powiadamiania Inspektora Ochrony Danych.
  3. Amilon posiada rejestr incydentów o dużym wpływie (w tym naruszeń danych), w którym wskazuje podjęte działania łagodzące.

Ciągłość działania i odzyskiwanie danych po awarii

  1. Amilon ustanawia, dokumentuje i wdraża plan ciągłości działania, który określa gwarantowany poziom usług oraz identyfikuje role i obowiązki zaangażowane w proces.
  2. Amilon opracowuje, dokumentuje i wdraża plan odzyskiwania danych po awarii.

Szkolenie pracowników

  1. Podstawowe zasady i przepisy dotyczące ochrony danych są rozpowszechniane wśród wszystkich pracowników.
  2. W zależności od roli, jaką pracownicy odgrywają w procesie przetwarzania danych osobowych, organizowane są specjalne szkolenia i programy odświeżające wiedzę w zakresie GDPR.

Rejestrowanie i monitorowanie

  1. Rejestry dostępu do wszystkich systemów informacyjnych są śledzone i przechowywane w bezpieczny sposób.
  2. Śledzone są działania podejmowane przez administratorów systemu, w tym dodawanie, zmiana i usuwanie uprawnień użytkowników.
  3. Dostęp do logów i wszelkie zmiany są z kolei śledzone przez logi.
  4. Wdrożony jest proces okresowego monitorowania dzienników.

Bezpieczeństwo baz danych i serwerów

  1. Bazy danych i serwery aplikacyjne są skonfigurowane zgodnie z zasadą minimalizacji danych (w systemach nie ma więcej danych niż jest to absolutnie konieczne).
  2. Do obsługi na poziomie Database i Application Server wymagane są oddzielne konta, natomiast na poziomie systemu operacyjnego nadawane są minimalne uprawnienia.

Bezpieczeństwo stacji roboczej

  1. Przypisani użytkownicy stacji roboczej nie mogą wyłączać ani omijać ustawień zabezpieczeń.
  2. Oprogramowanie antywirusowe i sygnatury wykrywania są skonfigurowane na wszystkich komputerach.
  3. Komputery są ustawione na automatyczne blokowanie sesji po określonym czasie bezczynności użytkownika (5 minut).
  4. W przypadku 5 błędnych wpisów hasła dostępu użytkownik zostaje zablokowany na 10 minut.
  5. Regularnie instalowane są odpowiednie aktualizacje wydane przez twórcę systemu operacyjnego.
  6. Możliwość przenoszenia danych osobowych ze stacji roboczej na zewnętrzny nośnik pamięci (np. USB, zewnętrzne dyski twarde, CD/DVD) jest zniechęcana poprzez ustanowienie norm zachowania.

Bezpieczeństwo sieci i komunikacji

  1. Transmisje informacji przez Internet są chronione poprzez zastosowanie szyfrowanych protokołów komunikacyjnych, w szczególności Amilon stosuje protokoły https/ftps.
  2. Dostęp do systemów informatycznych poprzez sieć bezprzewodową jest dozwolony tylko dla użytkowników i systemów autoryzowanych przez Dział Systemów.
  3. Tam, gdzie jest to konieczne, zdalny dostęp jest realizowany tylko przez urządzenia uprzednio autoryzowane poprzez Wirtualną Sieć Prywatną (VPN).
  4. Ruch przychodzący i wychodzący z systemów informatycznych jest monitorowany i kontrolowany za pomocą zapór sieciowych i systemów wykrywania włamań.

Tworzenie kopii zapasowych i przywracanie

  1. Kopie zapasowe są przechowywane w bezpieczny sposób, zgodnie z zasadami i procedurami ustalonymi w zależności od rodzaju danych i usługi, która z nich korzysta.
  2. Wykonywanie kopii zapasowych jest monitorowane, a okresowo przeprowadzane są testy przywracania w celu oceny ich spójności i kompletności.
  3. Codziennie tworzone są całkowite i przyrostowe kopie zapasowe danych dotyczących ruchu kart podarunkowych.

Urządzenie przenośne

  1. Korzystanie z urządzeń mobilnych i przenośnych jest regulowane poprzez opracowywanie i publikowanie zasad zachowania.

Bezpieczeństwo cyklu życia aplikacji

  1. Na wczesnych etapach tworzenia oprogramowania definiuje się pewne wymagania dotyczące bezpieczeństwa.
  2. Cykl życia aplikacji jest prowadzony z wykorzystaniem i konsultacją najlepszych praktyk i standardów bezpiecznego kodowania (https://safecode.org/).
  3. Okresowo przeprowadzana jest ocena podatności i testy penetracyjne.
  4. Przed zainstalowaniem w środowisku produkcyjnym poprawki są testowane i autoryzowane w środowisku testowym.

Usuwanie i utylizacja danych

  1. Wszystkie urządzenia podlegają przepisaniu przed utylizacją.
  2. Amilon odradza korzystanie z nośników papierowych w przypadku dokumentów zawierających dane osobowe i/lub niejawne; jednak w razie potrzeby dokumenty te są bezpiecznie przechowywane w zamykanych szafach i/lub szufladach lub niszczone w bezpieczny sposób.
  3. Urządzenia komputerowe, których dane nie mogą być bezpiecznie usunięte, są fizycznie niszczone w taki sposób, aby uniemożliwić ich odzyskanie.

Bezpieczeństwo fizyczne

  1. Systemy informatyczne są chronione poprzez stosowanie barier fizycznych przed nieuprawnionym dostępem.
  2. Wejścia do pomieszczeń, w których znajdują się systemy informatyczne są rejestrowane i monitorowane.
  3. Pracownicy obsługi technicznej oraz osoby odwiedzające są rejestrowane i towarzyszy im upoważniona osoba do kontaktów wewnętrznych przez cały czas trwania wizyty.
  4. Amilon posiada plan bezpieczeństwa fizycznego, a poprzez odpowiedni program informacyjny przypomina swoim pracownikom i współpracownikom o właściwym zachowaniu.
  5. Dostęp pracowników do biur jest możliwy dzięki zastosowaniu identyfikatorów magnetycznych.