2. ŚRODKI TECHNICZNE I ORGANIZACYJNE
2.1. Kontrola dostępu
Procesor podejmie proporcjonalne środki w celu uniemożliwienia nieautoryzowanego fizycznego dostępu do pomieszczeń Procesora i urządzeń, w których przechowywane są Dane osobowe. Środki te mogą obejmować:
• Proceduralne i / lub fizyczne systemy kontroli dostępu
• Blokowanie drzwi lub inne elektroniczne środki kontroli dostępu
• System alarmowy, monitor wideo / CCTV lub inne urządzenia monitorujące
• Rejestrowanie wejść / wyjść z obiektu
• ID, klucz lub inne wymagania dostępu
2.2. Kontrola dostępu do systemów
Procesor podejmie odpowiednie środki, aby zapobiec nieuprawnionemu dostępowi do systemów przechowujących Dane Osobowe. Środki te mogą obejmować:
• Procedury haseł (w tym np. Wymagania dotyczące długości haseł lub znaków specjalnych, wymuszona zmiana hasła w częstym trybie itd.)
• Dostęp do systemów podlegających zatwierdzeniu przez kierownictwo działu HR lub administratorów systemów informatycznych
• Brak dostępu do systemów dla użytkowników-gości lub anonimowych kont
• Centralne zarządzanie dostępem do systemu
• Procedury ręcznego blokowania, gdy stacje robocze pozostają bez nadzoru, oraz automatyczna blokada w ciągu maksymalnie 5 minut
• Ograniczenia w korzystaniu z nośników wymiennych, takich jak pendrive, dyski CD / DVD lub przenośne dyski twarde, a także wymagania szyfrowania
2.3. Kontrola dostępu do danych
Procesor podejmie proporcjonalne środki, aby uniemożliwić uprawnionym użytkownikom dostęp do danych poza ich uprawnieniami dostępu oraz zapobiec nieuprawnionemu dostępowi do danych, ich usuwaniu, modyfikowaniu lub ujawnianiu. Środki te mogą obejmować:
• Zróżnicowane prawa dostępu, zdefiniowane zgodnie z obowiązkami
• Zautomatyzowany dziennik dostępu użytkownika za pośrednictwem systemów IT
2.4. Kontrola wprowadzania danych
Procesor podejmie proporcjonalne środki w celu sprawdzenia i ustalenia, czy i przez kogo Dane osobowe zostały wprowadzone do systemów, zmodyfikowane lub usunięte. Środki te mogą obejmować :
• Zróżnicowane prawa dostępu oparte na zakresie obowiązków
• Zautomatyzowany dziennik dostępu użytkowników i częste przeglądanie dzienników zabezpieczeń w celu wykrycia i monitorowania ewentualnych incydentów
• Zapewnienie, że możliwe jest sprawdzenie i ustalenie, do których organów dane osobowe zostały lub mogą zostać przekazane lub udostępnione za pomocą sprzętu do przesyłania danych
2.5. Kontrola jawności
Procesor podejmie proporcjonalne środki, aby zapobiec nieuprawnionemu dostępowi, zmianie lub usunięciu danych osobowych podczas przesyłania danych. Środki te mogą obejmować:
• Wykorzystanie nowoczesnego szyfrowania na wszystkich elektronicznych przesyłach danych
• Szyfrowanie za pomocą sieci VPN w celu zdalnego dostępu, transportu i przesyłania danych
• Korzystanie z całkowicie prywatnych sieci do przesyłania danych
2.6. Kontrola dostępności
Procesor podejmie proporcjonalne środki w celu zapewnienia ochrony danych przed przypadkowym zniszczeniem lub utratą. Środki te mogą obejmować:
• Regularne tworzenie kopii zapasowych danych
• Zdalny magazyn
• Wykorzystanie ochrony antywirusowej / zapory systemowej
• Monitorowanie systemów w celu wykrycia wirusa itp.
• Zapewnienie, że zapisane dane nie mogą zostać uszkodzone w wyniku nieprawidłowego działania systemu
• Zapewnienie, że zainstalowane systemy mogą zostać przywrócone w przypadku przerwania
• Nieprzerwane zasilanie (UPS)
• Procedurę ciągłości działania
2.7. Kontrola rozdzielenia danych
Procesor podejmie proporcjonalne środki w celu zapewnienia, że dane zbierane do różnych celów są przetwarzane osobno. Środki te mogą obejmować:
• Ograniczenia dostępu do danych przechowywanych w różnych celach w oparciu o obowiązki
• Segregacja biznesowych systemów informatycznych
2.8. Kontrola pracy/podwykonawcy
Procesor wdraża środki w celu zapewnienia, że w przypadku przetwarzania danych osobowych na zlecenie dane są przetwarzane ściśle zgodnie z instrukcjami Administratora. Środki te mogą obejmować:
• Jednoznaczne sformułowanie instrukcji kontraktowych
• Monitorowanie realizacji zamówienia
2.9. Szkolenie pracowników
Procesor zapewnia, że wszyscy pracownicy zapoznali się z procedurami dotyczące bezpieczeństwa i poufności, w szczególności poprzez:
• Jednoznaczne zapisy w umowach o pracę dotyczące poufności, bezpieczeństwa i zgodności z procedurami wewnętrznymi
• Wewnętrzne procedury i kursy dotyczące wymagań przetwarzania danych osobowych w celu tworzenia świadomości.