Technická a organizační opatření (TOM)

Úvod

Deskhero AB (“my,” “nás,” nebo “naše“) se zavazuje zavést vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající riziku spojenému se zpracováním osobních údajů pro naše Klienty (“vy” nebo “Klient“), Uživatele a Zákazníky Klienta, v souladu s Obecným nařízením o ochraně osobních údajů (GDPR) EU a dalšími příslušnými právními předpisy o ochraně údajů.

Tento dokument popisuje technická a organizační opatření, která jsme zavedli k ochraně osobních údajů zpracovávaných prostřednictvím naší platformy Software-as-a-Service (SaaS) (“Služba“), využívající naši infrastrukturu AWS.

1. Organizační opatření

1.1 Řízení ochrany údajů

• Pověřenec pro ochranu osobních údajů (DPO):
• Jméno: Klas Karlsson
• E-mail: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Odpovědnost:

• Dohled nad strategií ochrany údajů a souladem s předpisy.
• Monitorování dodržování zásad a postupů ochrany údajů.
• Funguje jako kontaktní místo pro subjekty údajů a dozorové orgány.

1.2 Zásady a postupy

• Zásady ochrany údajů:
• Zavedení interních zásad ochrany údajů, které jsou pravidelně revidovány a aktualizovány.
• Zásady se vztahují na zpracování dat, reakci na incidenty, řízení přístupu a odpovědnosti zaměstnanců.

• Školení zaměstnanců:
• Povinné školicí programy pro všechny zaměstnance o ochraně údajů, soukromí a informační bezpečnosti.
• Pravidelné aktualizace ohledně nově vznikajících hrozeb a osvědčených postupů.

• Dohody o mlčenlivosti:
• Zaměstnanci a dodavatelé musí podepsat dohody o mlčenlivosti a nešíření informací.

1.3 Řízení přístupu

• Zásady řízení přístupu:
• Přístup k osobním údajům je poskytován pouze podle principu nezbytné znalosti.
• Pravidelné přezkoumávání uživatelských přístupových práv.

• Autentizační mechanismy:
• Používání silných hesel a vícefaktorového ověřování (MFA) pro přístup k systému.
• Zásady uzamčení účtu po vícenásobných neúspěšných pokusech o přihlášení.

1.4 Reakce na incidenty

• Plán reakce na incidenty:
• Postupy pro detekci, nahlášení a reakci na bezpečnostní incidenty.
• Vyhrazený tým pro reakci na incidenty.

• Postupy oznamování:
• Povinnost informovat Klienty a úřady o porušení ochrany osobních údajů bez zbytečného odkladu.

1.5 Správa dodavatelů

• Prověrka (due diligence):
• Hodnocení sub-zpracovatelů z hlediska souladu se standardy ochrany údajů.

• Smlouvy:
• Zajištění, aby smlouvy se sub-zpracovateli obsahovaly povinnosti v oblasti ochrany údajů.

2. Technická opatření

2.1 Šifrování dat

• Při přenosu:
• Osobní údaje jsou během přenosu přes veřejné sítě šifrovány pomocí TLS 1.2 nebo vyšší.

• V klidovém stavu:
• Osobní údaje uložené v databázích a zálohách jsou šifrovány pomocí šifrovacích služeb AWS (např. AES-256 pro svazky EBS, šifrování RDS).

2.2 Síťová bezpečnost

• Infrastruktura AWS:
• Naše Služba je provozována na Amazon Web Services (AWS) a využívá jejich zabezpečenou infrastrukturu a služby.

• Firewally a Security Groups:
• AWS Security Groups se používají ke kontrole příchozího a odchozího provozu k prostředkům a fungují jako virtuální firewally na úrovni instance.

• Virtual Private Cloud (VPC):
• AWS VPC je nakonfigurováno k izolaci a zabezpečení síťového provozu.
• Pro interní prostředky se používají privátní podsítě, aby databáze a cache nebyly vystaveny veřejnému internetu.

• AWS CloudFront a Application Load Balancer (ALB):
• AWS CloudFront slouží jako síť pro doručování obsahu (CDN) a vstupní bod, čímž zajišťuje bezpečné a efektivní distribuování.
• AWS ALB rozděluje příchozí provoz na kontejnery Amazon ECS (Elastic Container Service), které hostují aplikaci.

• Detekce průniků a sledování hrozeb:
• I když nejsou používány dedikované IDS/IPS systémy, služby AWS poskytují možnosti monitorování síťového provozu.

2.3 Bezpečnost systému

• Bezpečná správa konfigurací:
• Infrastruktura je spravována pomocí Terraformu, což umožňuje konzistentní a bezpečné konfigurace napříč prostředími.

• Oddělení prostředí:
• Jsou udržována oddělená prostředí pro vývoj („sandbox“), staging a produkci, aby bylo možné před nasazením otestovat změny kódu a infrastruktury.

• Správa záplat:
• Pravidelně se aplikují aktualizace a záplaty na operační systémy a aplikace s využitím služeb AWS a automatizace tam, kde je to vhodné.

2.4 Bezpečnost aplikací

• Bezpečné vývojové postupy:
• Přijetí principů Secure Software Development Lifecycle (SSDLC).
• Probíhají pravidelné revize kódu, statická analýza a bezpečnostní testování.

• Penetrační testování:
• Jsou prováděna pravidelná bezpečnostní hodnocení a skenování zranitelností, včetně penetračního testování třetí stranou, pokud je to vhodné.

2.5 Řízení přístupu

• AWS Identity and Access Management (IAM):
• Řízení přístupu založené na rolích (RBAC) je prosazováno pomocí rolí a zásad AWS IAM.
• Přístup k prostředkům AWS je poskytován podle principu nejmenších oprávnění.

• Vícefaktorové ověřování (MFA):
• Pro veškerý administrativní přístup k rozhraním AWS je vyžadováno MFA.

• Protokolování a monitorování:
• AWS CloudTrail se používá k zaznamenávání volání API a akcí v prostředí AWS.
• AWS CloudWatch sleduje protokoly a metriky kvůli anomáliím.

2.6 Zálohování a obnova dat

• Pravidelné zálohy:
• Automatizované zálohy databází jsou prováděny pomocí funkcí automatizovaného zálohování AWS RDS.

• Šifrované zálohy:
• Zálohovaná data jsou v klidovém stavu šifrována pomocí AWS Key Management Service (KMS).

• Plán obnovy po havárii:
• Existují zdokumentované postupy pro obnovu dat a kontinuitu služby.

• Testování procesů obnovy:
• Probíhá pravidelné testování procesů obnovy záloh a zotavení.

2.7 Fyzická bezpečnost

• Datová centra AWS:
• Fyzické bezpečnostní kontroly jsou spravovány AWS, včetně:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• Soulad AWS:
• Datová centra AWS splňují průmyslové standardy jako ISO 27001, SOC 1/2/3, což podporuje naše úsilí o soulad.

2.8 Bezpečnost koncových zařízení

• Zásady zabezpečení zařízení:
• Zařízení společnosti jsou zabezpečena pomocí:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Vzdálený přístup:
• Pro vzdálený přístup k interním systémům jsou vyžadována zabezpečená VPN připojení, pokud je to relevantní.

• Možnost vzdáleného vymazání:
• Možnost vzdáleného vymazání firemních zařízení v případě ztráty nebo krádeže.

2.9 Protokolování a monitorování

• Komplexní protokolování:
• Jsou uchovávány podrobné protokoly systémových aktivit, přístupové protokoly a protokoly chyb.

• Bezpečnostní monitorování:
• Monitorování bezpečnostních událostí v reálném čase pomocí služeb AWS, jako jsou CloudWatch a GuardDuty.

• Upozornění:
• Pro podezřelé aktivity nebo bezpečnostní incidenty jsou nastaveny automatické upozornění.

2.10 Minimalizace a pseudonymizace dat

• Minimalizace údajů:
• Shromažďování a zpracovávání pouze těch osobních údajů, které jsou nezbytné pro stanovené účely.

• Pseudonymizace a anonymizace:
• V případě potřeby jsou osobní údaje pseudonymizovány nebo anonymizovány, aby se snížilo riziko pro subjekty údajů.

3. Pravidelné testování a hodnocení

• Skenování zranitelností:
• Pravidelné automatizované skenování systémů za účelem detekce zranitelností pomocí nástrojů kompatibilních s prostředím AWS.

• Bezpečnostní audity:
• Pravidelně se provádějí bezpečnostní audity a hodnocení za účelem zjištění efektivity bezpečnostních opatření.

• AWS Well-Architected revize:
• Pravidelné revize podle AWS Well-Architected Framework, aby bylo zajištěno dodržování osvědčených postupů.

4. Soulad se standardy

• Soulad s předpisy:
• Dodržování GDPR a dalších příslušných zákonů o ochraně údajů.

• Sjednocení s osvědčenými postupy:
• Zarovnání bezpečnostních postupů s průmyslovými osvědčenými postupy a pokyny, včetně:

• Nejlepší bezpečnostní postupy AWS.
• Rámec kybernetické bezpečnosti NIST.

5. Ochrana údajů již od návrhu a ve výchozím nastavení

• Posouzení dopadů na soukromí (PIA):
• Provádí se pro nové zpracovatelské aktivity nebo významné změny stávajících procesů.

• Bezpečná výchozí nastavení:
• Systémy a aplikace jsou nakonfigurovány tak, aby ve výchozím nastavení zpracovávaly pouze nezbytné osobní údaje.

6. Povědomí a školení

• Vzdělávání zaměstnanců:
• Pravidelná školení o zásadách ochrany údajů, postupech a osvědčených praxích, včetně bezpečnostních školení specifických pro AWS.

• Programy zvyšování povědomí o bezpečnosti:
• Probíhající iniciativy na podporu kultury bezpečnosti a soukromí v rámci organizace.

7. Bezpečnost sub-zpracovatelů

• Model sdílené odpovědnosti AWS:
• Pochopení a dodržování modelu sdílené odpovědnosti AWS, kde AWS odpovídá za zabezpečení „cloudu“ a my za zabezpečení „v cloudu“.

• Správa dodavatelů:
• Pravidelné hodnocení sub-zpracovatelů, aby bylo zajištěno, že splňují naše bezpečnostní a compliance požadavky.

8. Řízení incidentů

• Detekce a hlášení:
• Systémy nastavené k rychlé detekci bezpečnostních incidentů pomocí monitorovacích služeb AWS.

• Postupy reakce:
• Definované kroky pro omezení, odstranění, obnovu a komunikaci.

• Povinnosti oznamování:
• Postupy pro oznámení porušení ochrany osobních údajů Klientům a úřadům bez zbytečného odkladu.

9. Uchovávání a mazání dat

• Zásady uchovávání údajů:
• Osobní údaje jsou uchovávány pouze po dobu nezbytně nutnou pro účely, pro které byly shromážděny, nebo jak vyžaduje zákon.

• Bezpečné vymazání:
• Po uplynutí doby uchovávání jsou osobní údaje bezpečně vymazány nebo anonymizovány.

• Žádosti o vymazání údajů:
• Zavedena jsou opatření pro vyřizování žádostí subjektů údajů o výmaz v souladu s GDPR.

10. Kontaktní údaje

V případě jakýchkoli dotazů nebo obav týkajících se našich technických a organizačních opatření kontaktujte prosím našeho pověřence pro ochranu osobních údajů (DPO):

• Jméno: Klas Karlsson
• E-mail: dpo@deskhero.com
• Telefon: +46 70 601 13 22

Poznámka: Tento dokument může být čas od času aktualizován, aby odrážel změny v našich bezpečnostních postupech. O významných změnách budeme Klienty informovat, jak je uvedeno v našich Zásady ochrany osobních údajů a Smlouva o zpracování údajů.