NS12 SPA spravuje velké množství dat pro sebe a pro jiné, včetně osobních údajů. Činnost NS12 SPA je regulována různými zákony a interními směrnicemi, které lze nalézt v firemních dokumentech jako jsou plány, politiky a postupy. NS12 SPA je certifikována podle normy ISO 27001.
Tento souhrn popisuje, jak NS12 SPA plní své povinnosti a minimalizuje rizika spojená s zpracováním dat. Odkazuje se také na aktuální minimální úrovně bezpečnosti. Nicméně NS12 SPA se zavazuje neustále zlepšovat bezpečnost dat, přizpůsobovat opatření k ochraně před novými vnějšími hrozbami a využívat nové nástroje pro ochranu dat, které jsou k dispozici.
V případech, kdy NS12 SPA využívá subdodavatele, zajistí, aby subdodavatelé provedli požadované bezpečnostní kontroly v souladu s organizačními a technickými opatřeními.
Organizace
Bezpečnostní aktivity dat u NS12 SPA jsou založeny na platné legislativě a firemních dokumentech stanovených generálním ředitelem nebo správní radou společnosti. Odpovědný za informační bezpečnost ve společnosti je pověřen vedením a koordinací bezpečnosti dat uvnitř společnosti, což zahrnuje následující:
– Odpovědnost za politiky a postupy v oblasti bezpečnosti dat a jejich soulad s nimi
– Provedení analýzy a řízení rizik v souvislosti s bezpečností dat
– Koordinace aktivit pro zajištění souladu s bezpečností dat
– Obecné požadavky na různé bezpečnostní kontroly
– Šíření znalostí o bezpečnosti dat po celé organizaci
– Dokumentace a koordinace nesouladů
NS12 SPA udržuje směrnice o tom, jak by se měli chovat všichni zaměstnanci, včetně subdodavatelů, aby minimalizovali hrozby bezpečnosti dat. Tyto směrnice jsou široce distribuovány, chápány a aplikovány všemi zainteresovanými.
Obecné informace o technických bezpečnostních opatřeních
Základním principem technických bezpečnostních opatření u NS12 SPA je, že úroveň důvěrnosti určuje požadavky na bezpečnostní kontroly (například typ autentizace, šifrování atd.). Úrovně důvěrnosti jsou:
– Veřejné: data dostupná všem, uvnitř a vně společnosti
– Interní: data dostupná pouze zaměstnancům
– Důvěrné: citlivá data (jako osobní údaje) dostupná pouze omezenému počtu zaměstnanců
Plánování continuity
V případě vážných incidentů, jako je požár v kancelářích nebo v datovém centru, má NS12 SPA krizový a kontingenční plán pro zpracování dat, aby minimalizovala přerušení operací a závazky vůči zákazníkům.
Přístup/Oprávnění
Data jsou chráněna před jakýmkoli neoprávněným zpracováním, jako je neoprávněný přístup, neoprávněná distribuce a neúmyslná nebo úmyslná destrukce.
Přístup k důvěrným datům je omezen na osoby pracující u NS12 SPA. Přístup každého jednotlivce je omezen pouze na data a oprávnění nezbytná k vykonání úkolu. NS12 SPA má systémy řízení k zabránění neoprávněnému přístupu k důvěrným datům. Přístup probíhá prostřednictvím osobních uživatelských identifikátorů a přístup k tajným informacím, jako jsou citlivá osobní data, vyžaduje specifická oprávnění. Je používána dvoufaktorová autentizace při přístupu ke všem systémům obsahujícím osobní údaje. Existují určené funkce pro schvalování, měnění nebo odvolávání oprávnění. Nepoužívaná oprávnění budou deaktivována.
Přístup/Oprávnění
NS12 SPA omezuje přístup k fyzickým prostorům a zařízením obsahujícím datové zpracovávací systémy pouze na oprávněné osoby. Prostory jsou chráněny před požáry a krádežemi.
Technická bezpečnost
NS12 SPA má bezpečnostní opatření k snížení rizika spuštění škodlivého softwaru v IT prostředí. K tomu patří firewally, vrstvené sítě a nejnovější verze antivirového softwaru s aktualizovanými verzemi na všech pracovních stanicích. Na serverech jsou používány kombinace antivirového softwaru a dalších opatření.
Zálohování a obnovení
NS12 SPA pravidelně provádí backup dat, tj. denně. Procedury zálohování a obnovení dat jsou uloženy na bezpečném místě odděleném od hlavní IT výbavy, která zpracovává data.
Soulad s dalšími požadavky GDPR
NS12 SPA asistuje na požádání správce zpracování při změně/aktualizaci osobních údajů, za které jsou odpovědní. Pokud není dohodnuto jinak (nebo není zákonně omezeno), NS12 SPA smaže všechna data v souvislosti s ukončenou smlouvou.
Poslední aktualizace 15. září 2023