Tehniskie un organizatoriskie pasākumi (TOM)

Ievads

Deskhero AB (“mēs,” “mūs,” vai “mūsu“) apņemas ieviest atbilstošus tehniskus un organizatoriskus pasākumus, lai nodrošinātu drošības līmeni, kas atbilst personas datu apstrādes riskiem mūsu Klientu (“jūs” vai “Klients“), Lietotājiem un Klienta klientiem, ievērojot ES Vispārīgo datu aizsardzības regulu (GDPR) un citus piemērojamos datu aizsardzības likumus.

Šajā dokumentā aprakstīti tehniskie un organizatoriskie pasākumi, ko esam ieviesuši, lai aizsargātu personas datus, kas tiek apstrādāti mūsu programmatūras-kā-pakalpojuma (SaaS) platformā (“Pakalpojums“), izmantojot mūsu AWS infrastruktūru.

1. Organizatoriskie pasākumi

1.1 Datu aizsardzības pārvaldība

• Datu aizsardzības speciālists (DPO):
• Vārds: Klas Karlsson
• E-pasts: dpo@deskhero.com
• Telefons: +46 70 601 13 22

Atbildība:

• Uzrauga datu aizsardzības stratēģiju un atbilstību.
• Uzrauga datu aizsardzības politiku un procedūru ievērošanu.
• Darbojas kā kontaktpunkts datu subjektiem un uzraudzības iestādēm.

1.2 Politikas un procedūras

• Datu aizsardzības politikas:
• Iekšējas datu aizsardzības politikas izstrāde, kuras regulāri tiek pārskatītas un atjauninātas.
• Politikās ietverts datu apstrādes process, reaģēšana uz pārkāpumiem, piekļuves kontrole un darbinieku atbildības.

• Darbinieku apmācība:
• Obligātas apmācību programmas visiem darbiniekiem par datu aizsardzību, privātumu un informācijas drošību.
• Regulāri atjauninājumi par jauniem draudiem un labāko praksi.

• Konfidencialitātes līgumi:
• Darbiniekiem un līgumdarbiniekiem ir jāparaksta konfidencialitātes un neizpaušanas līgumi.

1.3 Piekļuves pārvaldība

• Piekļuves kontroles politika:
• Piekļuve personas datiem tiek piešķirta tikai pēc nepieciešamības.
• Regulāra lietotāju piekļuves tiesību pārskatīšana.ac

• Autentifikācijas mehānismi:
• Spēcīgu paroļu un vairāku faktoru autentifikācijas (MFA) izmantošana piekļuvei sistēmai.
• Konta bloķēšanas politika pēc vairākām neveiksmīgām pieslēgšanās mēģinājumiem.

1.4 Incidentu reaģēšana

• Incidentu reaģēšanas plāns:
• Procedūras drošības incidentu atklāšanai, ziņošanai un novēršanai.
• Norīkota incidentu reaģēšanas komanda.

• Paziņošanas procedūras:
• Saistības nekavējoties informēt klientus un iestādes par personas datu pārkāpumiem.

1.5 Piegādātāju pārvaldība

• Pienācīga pārbaude:
• Apakšapstrādātāju atbilstības datu aizsardzības standartiem novērtēšana.

• Līgumi:
• Pārliecināšanās, ka līgumos ar apakšapstrādātājiem ir iekļauti datu aizsardzības pienākumi.

2. Tehniskie pasākumi

2.1 Datu šifrēšana

• Pārsūtē:
• Personas dati tiek šifrēti pārsūtīšanas laikā pa publiskajiem tīkliem, izmantojot TLS 1.2 vai jaunāku versiju.

• Glabājot:
• Personas dati, kas glabājas datubāzēs un dublējumos, tiek šifrēti ar AWS šifrēšanas pakalpojumiem (piem., AES-256 šifrēšana EBS sējumiem, RDS šifrēšana).

2.2 Tīkla drošība

• AWS infrastruktūra:
• Mūsu Pakalpojums tiek mitināts Amazon Web Services (AWS), izmantojot to drošo infrastruktūru un pakalpojumus.

• Ugunsmūri un drošības grupas:
• AWS drošības grupas tiek izmantotas ienākošās un izejošās datplūsmas kontrolei uz resursiem, darbojoties kā virtuālas ugunsmūri instanču līmenī.

• Virtual Private Cloud (VPC):
• AWS VPC ir konfigurēts, lai izolētu un aizsargātu tīkla satiksmi.
• Privātie apakštīkli tiek izmantoti iekšējiem resursiem, nodrošinot, ka datubāzes un kešatmiņas nav pieejamas publiskajā internetā.

• AWS CloudFront un Application Load Balancer (ALB):
• AWS CloudFront darbojas kā satura piegādes tīkls (CDN) un ieejas punkts, nodrošinot drošu un efektīvu izplatīšanu.
• AWS ALB sadala ienākošo datplūsmu uz Amazon ECS (Elastic Container Service) konteineriem, kuros darbojas lietotne.

• Ielaušanās atklāšana un draudu uzraudzība:
• Lai gan speciālas IDS/IPS sistēmas netiek izmantotas, AWS pakalpojumi nodrošina tīkla datplūsmas uzraudzības iespējas.

2.3 Sistēmas drošība

• Droša konfigurācijas pārvaldība:
• Infrastruktūra tiek pārvaldīta ar Terraform, nodrošinot konsekventas un drošas konfigurācijas visās vidēs.

• Vides nodalīšana:
• Uzturētas atsevišķas izstrādes (“sandbox”), testēšanas un ražošanas vides, lai pirms ieviešanas pārbaudītu koda un infrastruktūras izmaiņas.

• Ielāpu pārvaldība:
• Operētājsistēmām un lietotnēm regulāri tiek piemēroti atjauninājumi un ielāpi, izmantojot AWS pakalpojumus un automatizāciju, kur tas ir piemērojams.

2.4 Lietotnes drošība

• Drošas izstrādes prakses:
• Droša programmatūras izstrādes dzīves cikla (SSDLC) principu ievērošana.
• Veic regulāras koda pārbaudes, statisko koda analīzi un drošības testēšanu.

• Penetrācijas testēšana:
• Periodiski tiek veiktas drošības novērtēšanas un ievainojamību skenēšana, pēc vajadzības iesaistot arī trešo pušu penetrācijas testēšanu.

2.5 Piekļuves kontrole

• AWS Identity and Access Management (IAM):
• Lomu balstīta piekļuves kontrole (RBAC) tiek īstenota, izmantojot AWS IAM lomas un politikas.
• Piekļuve AWS resursiem tiek piešķirta, ievērojot minimālās nepieciešamības principu.

• Multi-Factor Authentication (MFA):
• MFA ir obligāta visai administratīvajai piekļuvei AWS pārvaldības saskarnēm.

• Žurnālu veidošana un uzraudzība:
• AWS CloudTrail tiek izmantots, lai reģistrētu API izsaukumus un darbības AWS vidē.
• AWS CloudWatch uzrauga žurnālus un metriku, lai atklātu anomālijas.

2.6 Datu dublēšana un atjaunošana

• Regulāras dublējumkopijas:
• Datubāzu automatizētas dublējumkopijas tiek veiktas ar AWS RDS automātiskās dublēšanas funkcijām.

• Šifrētas dublējumkopijas:
• Dublējuma dati atpūtas stāvoklī tiek šifrēti, izmantojot AWS Key Management Service (KMS).

• Avārijas atjaunošanas plāns:
• Ir izstrādātas dokumentētas procedūras datu atjaunošanai un pakalpojuma nepārtrauktībai.

• Atjaunošanas procesu testēšana:
• Regulāri tiek pārbaudītas dublējuma atjaunošanas un atgūšanas procedūras.

2.7 Fiziskā drošība

• AWS datu centri:
• Fiziskās drošības kontroles pārvalda AWS, tostarp:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• AWS atbilstība:
• AWS datu centri atbilst nozares standartiem, piemēram, ISO 27001, SOC 1/2/3, kas atbalsta mūsu atbilstības centienus.

2.8 Galapunktu drošība

• Ierīču drošības politikas:
• Uzņēmuma ierīces ir aizsargātas ar:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Attālināta piekļuve:
• Droši VPN savienojumi ir obligāti attālinātai piekļuvei iekšējām sistēmām, kur tas ir piemērojams.

• Attālinātas dzēšanas iespējas:
• Iespēja attālināti dzēst uzņēmuma ierīces zuduma vai zādzības gadījumā.

2.9 Žurnālu veidošana un uzraudzība

• Visaptveroša žurnālu veidošana:
• Tiek uzturēti detalizēti sistēmas darbību, piekļuves un kļūdu žurnāli.

• Drošības uzraudzība:
• Drošības notikumu reāllaika uzraudzība, izmantojot tādus AWS pakalpojumus kā CloudWatch un GuardDuty.

• Brīdināšana:
• Aizdomīgām darbībām vai drošības incidentiem ir iestatīti automatizēti paziņojumi.

2.10 Datu minimizēšana un pseidonimizācija

• Datu minimizēšana:
• Tiek vākti un apstrādāti tikai tie personas dati, kas nepieciešami noteiktiem mērķiem.

• Pseidonimizācija un anonimizācija:
• Vajadzības gadījumā personas dati tiek pseidonimizēti vai anonimizēti, lai mazinātu risku datu subjektiem.

3. Regulāra testēšana un novērtēšana

• Ievainojamību skenēšana:
• Regulāra automatizēta sistēmu skenēšana, lai atklātu ievainojamības, izmantojot AWS vidēm saderīgus rīkus.

• Drošības auditi:
• Periodiski tiek veiktas drošības revīzijas un novērtējumi, lai izvērtētu drošības pasākumu efektivitāti.

• AWS Well-Architected pārskati:
• Regulāri pārskati, izmantojot AWS Well-Architected Framework, lai nodrošinātu labākās prakses ievērošanu.

4. Atbilstība standartiem

• Normatīvā atbilstība:
• Atbilstība GDPR un citiem piemērojamiem datu aizsardzības likumiem.

• Labākās prakses ievērošana:
• Drošības prakses saskaņošana ar nozares labāko praksi un vadlīnijām, tostarp:

• AWS drošības labākā prakse.
• NIST kiberdrošības ietvars.

5. Datu aizsardzība pēc noklusējuma un pēc dizaina

• Privātuma ietekmes novērtējumi (PIA):
• Veicamas jaunām apstrādes darbībām vai būtiskām izmaiņām esošajos procesos.

• Drošie noklusējumi:
• Sistēmas un lietotnes ir konfigurētas tā, lai pēc noklusējuma tiktu apstrādāti tikai nepieciešamie personas dati.

6. Informētība un apmācība

• Darbinieku izglītošana:
• Regulāras apmācības par datu aizsardzības politikām, procedūrām un labo praksi, tostarp AWS drošības apmācības.

• Drošības izpratnes programmas:
• Nepārtrauktas iniciatīvas, lai organizācijā veicinātu drošības un privātuma kultūru.

7. Apakšapstrādātāju drošība

• AWS kopīgās atbildības modelis:
• Izpratne un atbilstība AWS kopīgās atbildības modelim, kur AWS atbild par drošību ‘of’ the cloud, bet mēs — par drošību ‘in’ the cloud.

• Piegādātāju pārvaldība:
• Regulāra apakšapstrādātāju novērtēšana, lai pārliecinātos, ka tie atbilst mūsu drošības un atbilstības prasībām.

8. Incidentu pārvaldība

• Atklāšana un ziņošana:
• Sistēmas, kas nodrošina ātru drošības incidentu atklāšanu, izmantojot AWS uzraudzības pakalpojumus.

• Reaģēšanas procedūras:
• Noteikti soļi ierobežošanai, izskaušanai, atjaunošanai un saziņai.

• Paziņošanas pienākumi:
• Procedūras klientu un iestāžu informēšanai par personas datu pārkāpumiem bez nepamatotas kavēšanās.

9. Datu glabāšana un dzēšana

• Datu glabāšanas politikas:
• Personas dati tiek glabāti tikai tik ilgi, cik tas nepieciešams to vākšanas mērķiem vai kā to pieprasa likums.

• Droša dzēšana:
• Pēc glabāšanas termiņa beigām personas dati tiek droši dzēsti vai anonimizēti.

• Datu dzēšanas pieprasījumi:
• Ieviesti procesi datu subjektu dzēšanas pieprasījumu apstrādei atbilstoši GDPR.

10. Kontaktinformācija

Ja jums ir kādi jautājumi vai bažas par mūsu tehniskajiem un organizatoriskajiem pasākumiem, lūdzu, sazinieties ar mūsu datu aizsardzības speciālistu (DPO):

• Vārds: Klas Karlsson
• E-pasts: dpo@deskhero.com
• Telefons: +46 70 601 13 22

Piezīme: Šis dokuments laiku pa laikam var tikt atjaunināts, lai atspoguļotu izmaiņas mūsu drošības praksē. Par būtiskām izmaiņām mēs informēsim Klientus, kā noteikts mūsu Privātuma politika un Datu apstrādes līgums.