Organizacinės ir Techninės saugumo priemonės

UAB „Ruptela“ taikomos organizacinės ir techninės saugumo priemonės

UAB „Ruptela“  imasi visų reikalingų organizacinių ir techninių saugumo priemonių, kad būtų užtikrinamas tvarkomų duomenų saugumas, įskaitant apsaugą nuo neteisėtos prieigos prie duomenų, jų pakeitimo ar sunaikinimo.

Asmens duomenų saugumo politika ir procedūros. Asmens duomenų ir jų tvarkymo saugumas organizacijoje dokumentuotas kaip informacijos saugumo politikos dalis. Saugumo politika peržiūrima ir prireikus atnaujinama ne rečiau kaip kartą per metus.

Konfidencialumas. Darbuotojai pasirašytinai supažindinami su asmens duomenų apsaugai keliamais reikalavimais. Taip pat visi darbuotojai yra pasirašę konfidencialumo įsipareigojimus.

Darbuotojų informavimas ir mokymai. Organizacija užtikrina, kad visi darbuotojai suprastų savo atsakomybes ir įsipareigojimus, susijusius su asmens duomenų tvarkymu. Darbuotojų vaidmenys ir atsakomybės aiškiai išdėstomos prieš pradedant vykdyti jam paskirtas funkcijas ir darbus.

Organizacija užtikrina, kad visi darbuotojai būtų tinkamai informuoti apie informacijos saugos reikalavimai, susijusius su jų kasdieniu darbu. Darbuotojai, susiję su asmens duomenų tvarkymu, mokomi apie atitinkamus duomenų saugumo reikalavimus ir atsakomybes, rengiant reguliarius mokymus, informavimo renginius ar instruktažus.

Esame paskyrę asmenį, atsakingą už duomenų apsaugą organizacijoje, žinių sklaidą, bendrojo duomenų apsaugos reglamento (toliau – BDAR) reikalavimų užtikrinimą bei nuolatinę priežiūrą. Su įmonės paskirtu duomenų apsaugos pareigūnu galima susisiekti el. paštu- [email protected].

Prieigos valdymo politika. Kiekvienam darbuotojui, susijusiam su asmens duomenų tvarkymu, priskiriamos konkrečios prieigos kontrolės teisės, vadovaujantis „būtina žinoti“ (angl. need to know) principu. Aiškiai apibrėžtas darbuotojų teisių ir pareigų atšaukimas taikant atitinkamas vaidmenų ir atsakomybių perdavimo ar perleidimo procedūras, vidaus organizacijos pertvarkymo ar darbuotojų atleidimo, funkcijų pasikeitimo metu).

Prieigos valdymo kontrolė. Prieiga prie „Ruptela“ informacinių išteklių yra saugoma ir valdoma per „Active Directory“. Taikomas dviejų veiksnių autentifikavimas „O365“ visiems vartotojams. Išskyrus O365 sistemas, kuriose yra klientų duomenų, įgaliotieji darbuotojai gali naudotis tik iš vidinio tinklo, turinys unikalias prieigasPrieiga panaikinama iškart po to, kai nutraukiama su darbuotoju darbo sutartis. Kas 6 mėnesius atliekama prieigos teisių auditas, siekiant patikrinti ar nėra neautorizuotų prieigų.

Keitimų valdymas. Organizacija užtikrina, kad visi esminiai IT sistemų keitimai „Ruptela“ būtų stebimi ir registruojami.

Šifravimas „Ruptela“ naudoja SSL/TLS su aukštos kokybės šifravimo algoritmais, kad apsaugotų išorinius paslaugų galinius taškus. Be to, „Ruptela“ taip pat naudoja „IPSec VPN“ su aukštos kokybės šifravimu, kad apsaugotų ryšį tarp nuotolinių svetainių ar paslaugų galinių taškų.

Atsarginės kopijos. Duomenų bazių atsarginės kopijos atliekamos bent kartą per parą.

Žurnaliniai įrašai „Ruptela“ naudoja techninių žurnalų įrašų ir stebėsenos sprendimą, kuris stebi pakeitimus, atliktus virtualiose mašinose. Taip pat stebimi sistemos vartotojų veiksmai (prisijungimai / atsijungimai, ištrynimas, įvedimas), kuriuos galima atpažinti per vartotojo IP adresą.

Veiklos tęstinumas. Organizacija yra nustačiusi pagrindines procedūras, kurių reikia laikytis saugos incidento ar asmens duomenų saugumo pažeidimo atveju, kad būtų užtikrintas reikiamas asmens duomenų tvarkymo IT sistemomis tęstinumas ir prieinamumas. Veiklos tęstinumo planas yra reguliariai išbandomas ir įvertinama, ar įvykus incidentui bus įmanoma užtikrinti nenutrūkstamą paslaugų teikimą.

Asmens duomenų saugumo pažeidimai ir saugumo incidentai. Organizacija yra nustačiusi reagavimo į saugumo incidentus planą, kuris užtikrina veiksmingą incidentų, susijusių su asmens duomenų saugumu, valdymą.

Asmens duomenų saugumo pažeidimai fiksuojami (dokumentuojami). Apie juos nedelsiant pranešama vadovybei. Taip pat nustatyta pranešimo apie asmens duomenų saugumo pažeidimus kompetentingoms institucijoms ir duomenų subjektams tvarka.

Duomenų tvarkytojai. Prieš pradedant asmens duomenų tvarkymo veiklą, Ruptela turi ir vadovaujasi patvirtintomis procedūromis, kurios užtikrina, kad Ruptelos pasitelkti duomenų tvarkytojai užtikrintų ne mažesnį asmens duomenų saugumo lygį, nei yra nustatytas Ruptelos vidaus politikoje.

Poveikio duomenų apsaugai vertinimas. Renkantis organizacijos veiklai reikalingas informacines sistemas yra įvertinamas poveikis duomenų apsaugai pagal BDAR reikalavimus. Naudojama tik sertifikuota programinė įranga, kuri reguliariai atnaujinama.

Praėjimo kontrolė. Patekimas į patalpas yra apsaugotas  naudojant praėjimo kontrolės sistemą.

Apsauga nuo kenksmingų programų. Visi kompiuterinės darbo vietos yra apsaugotos antivirus programine įranga, naudoja „MS Win10“ operacinę sistemą su pažangiausiomis saugumo galimybėmis ir yra komtroliuojamos pasitelkiant centralizuoto valdymo priemones. Kompiuterių kietieji diskai yra užšifruoti.

Užklausų valdymas. Visi klientų kreipiniai yra fiksuojami centralizuotoje sistemoje nurodant kreipinio laikus. Prisijungimas prie sistemos yra valdomas slaptažodžiu. Sistemoje valdomi incidentai, keitimai bei konsultacijos. Tai pat užtikrinamas centralizuotas problemų bei keitimų valdymas. Klientų sistemų veikimo kokybė užtikrinama nuolatinio stebėjimo priemonėmis kur kiekvienas įvykis (angl. event) fiksuojamas ir analizuojamas centralizuotoje sistemoje. Saugos incidentai valdomi pagal nustatytą incidentų valdymo procesą, informuojant atsakingus asmenis, ir esant poreikiui sudarant Veiklos tęstinumo valdymo komandą. Periodiškai vykdomi veiklos tęstinume numatytų situacijų bandymai bei mokymai.

Programinė įranga. Visai programinei įrangai diegiamos kritinės ir svarbios programinės įrangos saugumo pažeidžiamumus taisančios pataisos.

Duomenų centrai. „Ruptela“ saugo savo serverius dviejuose duomenų centruose. Abu duomenų centrai yra Lietuvoje. Duomenys nėra tvarkomi už EEB ribų. Norime pabrėžti, kad visus „Ruptela“ serverius visiškai kontroliuoja „Ruptela“ ir jokia trečioji šalis negali pasiekti duomenų, kurie saugomi jos serveriuose.