Технічні та організаційні заходи (TOM)

Вступ

Deskhero AB («ми,” “нас,” або “наш») зобов’язується впроваджувати відповідні технічні та організаційні заходи, щоб забезпечити рівень безпеки, адекватний ризику, пов’язаному з обробкою персональних даних наших Клієнтів («ви” або “Клієнт»), Користувачів та клієнтів Клієнта, відповідно до Загального регламенту захисту даних ЄС (GDPR) та інших застосовних законів про захист даних.

У цьому документі описано технічні та організаційні заходи, які ми запровадили для захисту персональних даних, що обробляються через нашу платформу Software-as-a-Service (SaaS) («Сервіс»), з використанням нашої інфраструктури AWS.

1. Організаційні заходи

1.1 Управління захистом даних

• Посадова особа з захисту даних (DPO):
• Ім’я: Klas Karlsson
• Електронна пошта: dpo@deskhero.com
• Телефон: +46 70 601 13 22

Відповідальність:

• Контроль стратегії захисту даних та дотримання вимог.
• Моніторинг дотримання політик і процедур захисту даних.
• Виконує роль контактної особи для суб’єктів даних і наглядових органів.

1.2 Політики та процедури

• Політики захисту даних:
• Запровадження внутрішніх політик захисту даних, які регулярно переглядаються та оновлюються.
• Політики охоплюють обробку даних, реагування на порушення, контроль доступу та обов’язки співробітників.

• Навчання співробітників:
• Обов’язкові програми навчання для всіх співробітників щодо захисту даних, конфіденційності та інформаційної безпеки.
• Регулярні оновлення щодо нових загроз та найкращих практик.

• Угоди про конфіденційність:
• Співробітники та підрядники повинні підписувати угоди про конфіденційність і нерозголошення.

1.3 Керування доступом

• Політика контролю доступу:
• Доступ до персональних даних надається за принципом необхідності.
• Регулярний перегляд прав доступу користувачів.

• Механізми автентифікації:
• Використання надійних паролів і багатофакторної автентифікації (MFA) для доступу до систем.
• Політика блокування облікових записів після декількох невдалих спроб входу.

1.4 Реагування на інциденти

• План реагування на інциденти:
• Процедури виявлення, повідомлення та реагування на інциденти безпеки.
• Призначена команда реагування на інциденти.

• Процедури сповіщення:
• Зобов’язання повідомляти Клієнтів та органи влади про порушення персональних даних без невиправданої затримки.

1.5 Керування постачальниками

• Належна обачність:
• Оцінка субпроцесорів на відповідність стандартам захисту даних.

• Контракти:
• Гарантування, що угоди з субпроцесорами містять зобов’язання щодо захисту даних.

2. Технічні заходи

2.1 Шифрування даних

• Під час передачі:
• Персональні дані шифруються під час передачі через публічні мережі з використанням TLS 1.2 або новішої версії.

• У стані спокою:
• Персональні дані, що зберігаються в базах даних і резервних копіях, шифруються за допомогою сервісів шифрування AWS (наприклад, AES-256 для томів EBS, шифрування RDS).

2.2 Безпека мережі

• Інфраструктура AWS:
• Наш Сервіс розміщений на Amazon Web Services (AWS) з використанням їхньої захищеної інфраструктури та сервісів.

• Міжмережеві екрани та Security Groups:
• AWS Security Groups використовуються для контролю вхідного та вихідного трафіку до ресурсів, виконуючи роль віртуальних міжмережевих екранів на рівні інстансів.

• Віртуальна приватна хмара (VPC):
• AWS VPC налаштовано для ізоляції та захисту мережевого трафіку.
• Приватні підмережі використовуються для внутрішніх ресурсів, що гарантує, що бази даних і кеші не доступні з публічного інтернету.

• AWS CloudFront та Application Load Balancer (ALB):
• AWS CloudFront виступає мережею доставки контенту (CDN) та точкою входу, забезпечуючи безпечне та ефективне розповсюдження.
• AWS ALB розподіляє вхідний трафік на контейнери Amazon ECS (Elastic Container Service), які хостять застосунок.

• Виявлення вторгнень і моніторинг загроз:
• Хоча окремі системи IDS/IPS не використовуються, сервіси AWS надають можливості моніторингу мережевого трафіку.

2.3 Безпека системи

• Керування безпечною конфігурацією:
• Інфраструктура керується за допомогою Terraform, що забезпечує послідовні та безпечні конфігурації в усіх середовищах.

• Сегрегація середовищ:
• Підтримуються окремі середовища для розробки («sandbox»), staging та production, щоб тестувати зміни коду й інфраструктури до розгортання.

• Керування патчами:
• Регулярно застосовуються оновлення та патчі до операційних систем і застосунків із використанням сервісів AWS та автоматизації, де це доречно.

2.4 Безпека застосунку

• Безпечні практики розробки:
• Запровадження принципів Secure Software Development Lifecycle (SSDLC).
• Проводяться регулярні перевірки коду, статичний аналіз коду та тестування безпеки.

• Penetration-тестування:
• Періодично проводяться оцінки безпеки та сканування вразливостей, у тому числі стороннє penetration-тестування, коли це доречно.

2.5 Контроль доступу

• AWS Identity and Access Management (IAM):
• Рольовий контроль доступу (RBAC) реалізований через ролі та політики AWS IAM.
• Доступ до ресурсів AWS надається за принципом найменших привілеїв.

• Multi-Factor Authentication (MFA):
• MFA є обов’язковою для всього адміністративного доступу до керуючих інтерфейсів AWS.

• Журналювання та моніторинг:
• AWS CloudTrail використовується для журналювання викликів API та дій у середовищі AWS.
• AWS CloudWatch відстежує журнали та метрики на предмет аномалій.

2.6 Резервне копіювання та відновлення даних

• Регулярні резервні копії:
• Автоматизовані резервні копії баз даних створюються за допомогою функцій автоматичного резервного копіювання AWS RDS.

• Зашифровані резервні копії:
• Дані резервних копій шифруються у стані спокою за допомогою AWS Key Management Service (KMS).

• План відновлення після аварій:
• Наявні задокументовані процедури відновлення даних і безперервності сервісу.

• Тестування процесів відновлення:
• Регулярно проводиться тестування відновлення з резервних копій та процедур відновлення.

2.7 Фізична безпека

• Дата-центри AWS:
• Фізичні засоби безпеки керуються AWS, зокрема:
• 24/7 security personnel.
• Biometric access controls.
• CCTV surveillance.
• Environmental controls like fire suppression and climate control.

• Відповідність AWS:
• Дата-центри AWS відповідають галузевим стандартам, таким як ISO 27001, SOC 1/2/3, що підтримує наші зусилля з дотримання вимог.

2.8 Захист кінцевих точок

• Політики безпеки пристроїв:
• Пристрої компанії захищені за допомогою:
• Full disk encryption.
• Up-to-date anti-malware software.
• Strong authentication mechanisms.

• Віддалений доступ:
• Для віддаленого доступу до внутрішніх систем, де це застосовно, потрібне захищене VPN-з’єднання.

• Можливість дистанційного стирання:
• Можливість дистанційно стерти дані з пристроїв компанії у разі втрати або крадіжки.

2.9 Журналювання та моніторинг

• Комплексне журналювання:
• Підтримуються детальні журнали системної активності, журнали доступу та журнали помилок.

• Моніторинг безпеки:
• Моніторинг безпекових подій у реальному часі за допомогою сервісів AWS, таких як CloudWatch та GuardDuty.

• Сповіщення:
• Автоматизовані сповіщення налаштовані на підозрілу активність або інциденти безпеки.

2.10 Мінімізація даних та псевдонімізація

• Мінімізація даних:
• Збирання та обробка лише тих персональних даних, які необхідні для визначених цілей.

• Псевдонімізація та анонімізація:
• За потреби персональні дані піддаються псевдонімізації або анонімізації, щоб зменшити ризик для суб’єктів даних.

3. Регулярне тестування та оцінки

• Сканування вразливостей:
• Регулярне автоматизоване сканування систем на наявність вразливостей із використанням інструментів, сумісних із середовищами AWS.

• Аудити безпеки:
• Періодично проводяться аудити та оцінки безпеки, щоб визначити ефективність заходів захисту.

• Перевірки AWS Well-Architected:
• Регулярні перевірки за допомогою AWS Well-Architected Framework, щоб гарантувати дотримання найкращих практик.

4. Відповідність стандартам

• Регуляторна відповідність:
• Дотримання GDPR та інших застосовних законів про захист даних.

• Узгодження з найкращими практиками:
• Узгодження практик безпеки з галузевими найкращими практиками та рекомендаціями, зокрема:

• Рекомендовані практики безпеки AWS.
• NIST Cybersecurity Framework.

5. Захист даних за задумом і за замовчуванням

• Оцінки впливу на конфіденційність (PIA):
• Проводяться для нових операцій обробки або суттєвих змін до існуючих процесів.

• Безпечні налаштування за замовчуванням:
• Системи та застосунки налаштовані так, щоб за замовчуванням оброблялися лише необхідні персональні дані.

6. Обізнаність і навчання

• Освіта співробітників:
• Регулярні тренінги з політик захисту даних, процедур і найкращих практик, включно з навчанням з безпеки, специфічним для AWS.

• Програми підвищення обізнаності з безпеки:
• Постійні ініціативи, спрямовані на формування культури безпеки та конфіденційності в організації.

7. Безпека субпроцесорів

• Модель спільної відповідальності AWS:
• Розуміння та дотримання моделі спільної відповідальності AWS, де AWS відповідає за безпеку «хмари», а ми — за безпеку «в» хмарі.

• Керування постачальниками:
• Регулярна оцінка субпроцесорів, щоб переконатися, що вони відповідають нашим вимогам безпеки та відповідності.

8. Управління інцидентами

• Виявлення та звітування:
• Налагоджені системи для оперативного виявлення інцидентів безпеки з використанням сервісів моніторингу AWS.

• Процедури реагування:
• Визначені кроки для локалізації, усунення, відновлення та комунікації.

• Зобов’язання щодо сповіщення:
• Процедури повідомлення Клієнтів та органів влади про порушення персональних даних без невиправданої затримки.

9. Зберігання та видалення даних

• Політики зберігання даних:
• Персональні дані зберігаються лише стільки, скільки потрібно для цілей, для яких їх було зібрано, або як вимагає закон.

• Безпечне видалення:
• Після завершення строку зберігання персональні дані безпечно видаляються або анонімізуються.

• Запити на видалення даних:
• Налагоджені процеси для обробки запитів суб’єктів даних на видалення відповідно до GDPR.

10. Контактна інформація

Якщо у вас є запитання чи зауваження щодо наших технічних та організаційних заходів, зверніться до нашої посадової особи з захисту даних (DPO):

• Ім’я: Klas Karlsson
• Електронна пошта: dpo@deskhero.com
• Телефон: +46 70 601 13 22

Примітка: Цей документ може періодично оновлюватися, щоб відобразити зміни наших практик безпеки. Ми повідомлятимемо Клієнтів про суттєві зміни, як зазначено в нашій Політика конфіденційності та Угода про обробку даних.