Saugumo priemonės
„Ferrero“ techninės ir organizacinės saugumo priemonės
1. BENDROSIOS KONTROLĖS PRIEMONĖS
1.1 „Ferrero“ įgyvendino tinkamai dokumentuotas ir reguliariai atnaujinamas asmens duomenų apsaugos tvarkas.
1.2 „Ferrero“ asmens duomenų apsaugos procedūros yra formaliai dokumentuotos, kai to yra reikalaujama, periodiškai peržiūrimos ir pagrįstos objektyviais dokumentais (pvz., posėdžių protokolais, sąrašais, IT žurnalų įrašais), kurie įrodo nuolatinį kruopštumą ir budrumą vykdant asmens duomenų tvarkymo veiksmus.
1.3 „Ferrero“ paskyrė saugos pareigūną ir duomenų apsaugos pareigūną (DAP) atsakingais asmenimis koordinuojant ir stebint saugumo taisykles, procedūras ir duomenų apsaugos užtikrinimą.
2. DUOMENŲ SUBJEKTO TEISĖS (BDAR 15 str. ir kt. tolimesni straipsniai)
2.1 „Ferrero“ darbuotojai yra informuoti apie duomenų subjekto teises ir tvarką, pagal kurią prašymai naudotis duomenų subjekto teisėmis yra perduodami duomenų valdytojui.
2.2 „Ferrero“ veda bendrą registrą, kur tokie prašymai, pvz., įgyvendinti teisę žinoti, yra registruojami.
2.3 „Ferrero“ paskyrė asmenį/funkciją (DAP), kuris yra atsakingas už raštiško paaiškinimo pateikimą duomenų valdytojui, dėl gautų duomenų subjekto teisių įgyvendinimo.
2.4 „Ferrero“ nustatė prašymų pateikimo duomenų valdytojui terminus.
2.5 „Ferrero“ turi procedūrą, numatančią reikalavimą raštu registruoti visus atvejus, kai atsisakoma vykdyti duomenų subjektų prašymus pasinaudoti jų teisėmis ištrinti, apriboti duomenų tvarkymą arba vykdyti duomenų perkeliamumą, ir dokumentu pasidalinti su duomenų valdytoju.
3. PRIVATUMO POLITIKA (BDAR 13 str.) (kai taikoma)
3.1 „Ferrero“ darbuotojai ir kiti asmenys atsakingi už privatumo politikos/asmens duomenų apsaugos pranešimų pateikimą duomenų subjektams ir (arba) duomenų subjektų sutikimų rinkimą, duomenų tvarkytojo vardu, buvo apmokyti laikytis asmens duomenų apsaugos taisyklių.
3.2 Teikdami privatumo politikos/asmens duomenų apsaugos pranešimus duomenų subjektams, „Ferrero“ darbuotojai ir kiti atsakingi asmenys geba aiškiai informuoti šiuos duomenų subjektus apie jų teises tiek žodžiu tiek raštu.
3.3 „Ferrero“ registruoja asmens duomenų gavimo šaltinius.
4. ĮGALIOTI ASMENYS (BDAR 29 str.)
4.1 „Ferrero“ individualiai arba pagal atitinkamas kategorijas, formaliai paskyrė už duomenų apsaugą atsakingus asmenis.
4.2 Visi paskirti įgalioti asmenys gavo raštiškas instrukcijas, kaip tvarkyti ir apsaugoti asmens duomenis.
4.3 Įgalioti asmenys gavo atitinkamus asmens duomenų apsaugos mokymus ir švietimą. Šie mokymai yra tinkamai dokumentuojami.
4.4 Įgaliotiems asmenims suteiktos prieigos teisės yra tinkamos ir atnaujinamos. Nurodymai, kurie yra duodami įgaliotiems asmenims, yra atnaujinami. Tai periodiškai patvirtinama.
5. MOKYMAI
5.1 Prieš pradedant tvarkyti asmens duomenis, nauji darbuotojai yra tinkamai apmokomi.
5.2 Darbuotojų integralumas ir patikimumas yra įvertinamas dar prieš jiems pradedant dirbti su asmens duomenimis.
5.3 Įgalioti asmenys reguliariai informuojami apie techninius saugumo aspektus.
5.4 „Ferrero“ pasidalina saugumo informacijos gairėmis su visais įgaliotais asmenimis.
5.5 „Ferrero“ saugo dokumentus, tam kad patvirtintų ir įrodytų įvykdytus mokymus.
6. INFORMACIJOS SAUGUMO POLITIKOS
6.1 „Ferrero“ nustatė kriterijus ir politikas siekiant aiškiai apibrėžti savo poziciją ir paramą informacinio saugumo klausimu, taip pat saugumo kontrolės dėl mobiliųjų prietaisų ir nuotolinio darbo (pvz., darbas nuotoliniu būdu naudojantis informacinėmis sistemomis, nuotolinė prieiga ir virtualios darbo erdvės) klausimu.
6.2 „Ferrero“ apibrėžė skirtingas funkcijas ir atsakomybes dėl informacijos saugumo užtikrinimo ir paskyrė jas atitinkamiems asmenims, kad išvengtų interesų konfliktų ir užkirstų kelią netinkamai veiklai.
6.3 „Ferrero“ sudarė tinkamus susitarimus su subtvarkytoju (-ais), kurie įsipareigoja taikyti tinkamas technines ir organizacines saugumo priemones, susijusias su asmens duomenų apsauga.
7. APSAUGA SUSIJUSI SU ŽMOGIŠKAISIAIS IŠTEKLIAIS
7.1 Atsakomybė už informacijos saugumą yra apsvarstoma prieš priimant į darbą, darbuotojų, rangovų ar laikinų darbuotojų atrankos metu, (pvz., naudojant atitinkamus laisvų darbo vietų aprašymus arba patikrinimus prieš įsidarbinimą) ir yra įtraukiama į įdarbinimo ar kitų paslaugų sutartis (pvz., pagal darbo sąlygas ir kitas pasirašytas sutartis, apibrėžiančias su saugumu susijusius vaidmenis ir atsakomybę, vykdant atitikties įsipareigojimus ir pan.).
7.2 „Ferrero“ turi oficialią drausminę procedūrą, kuri gali būti pradėta įvykti dėl darbuotojų, sutarties dalyvių ir laikinųjų darbuotojų sukeltų informacijos saugumo incidentų.
7.3 Kai asmuo išeina iš „Ferrero“ arba, kai yra reikšmingų vaidmenų ir atsakomybių pasikeitimų, visi su saugumu susiję aspektai yra valdomi, pvz., įpareigojant grąžinti visą įmonės informaciją ir įmonės įrangą, atnaujinti prieigos teises/leidimus, ir priminimus dalyviams apie jų nuolatinius įsipareigojimus susijusius su privatumu, intelektine nuosavybe, išlikusiomis galioti sutarties sąlygomis ir kitomis nuostatomis, įskaitant etinius, lūkesčius.
7.4 Įgalioti asmenys gauna nurodymus, kaip ištrinti ar sunaikinti laikmenose esančią informaciją prieš pakartotinį laikmenų naudojimą.
8. TURTO VALDYMAS
8.1 „Ferrero“ turi informacinio turto inventorių, o asmenys, atsakingi už šį turtą, yra identifikuojami, siekiant užtikrinti atskaitomybę už šį turtą. „Ferrero“ nustatė „priimtino naudojimo“ politiką šiam turtui.
8.2 Informacijos saugojimo laikmenos tvarkomos, kontroliuojamos, transportuojamos ir šalinamos taip, kad nekeltų pavojaus saugomos informacijos turiniui.
8.3 „Ferrero“ turi atitinkamą skaičių saugių konteinerių, kurie yra tinkamai paskirstyti ir prieinami asmenims, atsakingiems už asmens duomenų saugojimą (netgi laikinai) bet kokia forma (popieriuje, elektroniniu ar kitu būdu).
8.4 „Ferrero“ įgyvendino kontrolę, siekiant išvengti, kad dokumentai, turintys specialių kategorijų asmens duomenų, nebūtų palikti be priežiūros, kai jie yra patikėti įgaliotiems asmenims ir pašalinami iš saugomų archyvų.
8.5 Įgalioti asmenys turi prieigą ir galimybę naudotis dokumentų naikinimo aparatu.
8.6 „Ferrero“ įgyvendino tinkamą politiką susijusią su popierinių dokumentų naudojimu, saugojimui ir sunaikinimu.
8.7 Popieriniai dokumentai, kuriuose yra tam tikra specialių kategorijų asmens duomenų informacija, yra ištrinami arba sunaikinami prieš pakartotinį naudojimą.
9. PRIEIGOS KONTROLĖ
9.1 „Ferrero“ organizaciniai reikalavimai, taikomi informacijos valdymui, yra aiškiai dokumentuojami prieigos kontrolės politikoje/procedūroje, o prieiga prie „Ferrero“ tinklo ir ryšių yra ribota.
9.2 Naudotojai yra informuoti apie savo atsakomybę, susijusią su efektyvios prieigos užtikrinimu, tokią kaip stiprių slaptažodžių pasirinkimas ir jų konfidencialumo užtikrinimas.
9.3 Prieiga prie informacijos yra apribota pagal „Ferrero“ prieigos kontrolės politikos/procedūros reikalavimus. Pvz., naudojant saugias prisijungimo sistemas, slaptažodžių valdymą, privilegijuotą prieigos kontrolę ir prieigos prie pirminių kodų ribojimą.
9.4 „Ferrero“ kontroliuoja prieigą prie kritinės infrastruktūros. Asmenys, kurie naudojasi šia kritine infrastruktūra, gauna išankstinį leidimą tai daryti.
9.5 Kritinė infrastruktūra yra aprūpinta elektrinės prieigos kontrolės įrankiais arba kitaip jai taikoma tinkama priežiūra.
9.6 „Ferrero“ dažnai peržiūri prisijungimus prie kritinės infrastruktūros, tokios kaip serverių kambariai, kad galėtų laiku pastebėti nepagrįstą prieigą.
10. FIZINĖ IR APLINKOS APSAUGA
10.1 „Ferrero“ aiškiai apibrėžė perimetrą, kuriam taikoma fizinio patekimo kontrolė ir vidinės procedūros skirtos apsaugoti patalpas, biurus, kabinetus, pakrovimo/iškrovimo vietas ir t.t. nuo neteisėto patekimo (apsauga nuo gaisrų, potvynių, žemės drebėjimų, bombų ir t.t.).
10.2 „Ferrero“ gali patvirtinti, kad įranga ir/arba informacija nėra paimama iš patalpų be išankstinio leidimo ir yra tinkamai apsaugota, nesvarbu, ar patalpose, ar už jų ribų.
10.3 Informacijos saugojimo laikmenose esanti informacija yra sunaikinta prieš išmetant ar pakartotinai naudojant šias laikmenas.
10.4 Bet kokia neprižiūrima įranga yra apsaugota ir yra patvirtinta tam tikra vieta bei aiški kontrolės politika šiai įrangai.
11. OPERACINIS SAUGUMAS
11.1 Kenkėjiškų programų kontrolė yra įdiegta ir užtikrinta.
11.2 Atitinkamos atsarginės kopijos yra daromos ir saugomos vadovaujantis „Ferrero“ duomenų atstatymo politika.
11.3 Atsarginių kopijų darymas yra testuojamas. Rezultatai yra dokumentuoti ir įrašyti.
12. AUTENTIFIKACIJA IR STEBĖJIMAS
12.1 Laiko sekimo sistemos yra sinchronizuotos, kad užtikrintų laikiną nuoseklų duomenų stebėjimą.
12.2 „Ferrero“ laikosi mažiausios privilegijos principo, kuris suteikia teisėtą prieigą vartotojams, priklausomai nuo jų darbo funkcijų.
13. TECHNINIO PAŽEIDŽIAMUMO VALDYMAS
13.1 „Ferrero“ gali patvirtinti, kad pažeidžiamumo valdymo procesas buvo sukurtas siekiant identifikuoti saugumo spragas. Jis buvo naudojamas išorinių šaltinių pažeidžiamai informacijai nustatyti, taip priskiriant rizikų klasifikaciją prie saugumo pažeidimų.
13.2 Sistemų komponentai ir programinės įrangos atnaujinimai, susiję su žinomų pažeidimų ištaisymu, yra įvertinami. Tai yra daroma siekiant nustatyti pritaikomumą, patikrinant prieš įdiegimą, jei įmanoma ir yra įgyvendinami laiku.
13.3 Vartotojų diegiamos programinės įrangos taisyklės buvo sukurtos ir įgyvendintos siekiant išvengti naujų pažeidimų.
13.4 „Ferrero“ apibrėžė ir įgyvendino išorinio įsiskverbimo į sistemą testavimo procesą, taikymo ir infrastruktūros lygiu.
14. KOMUNIKACIJOS APSAUGA
14.1 „Ferrero“ įgyvendino apsaugos priemones, kurios yra skirtos kontroliuoti komunikaciją vidinėse ir išorinėse infrastruktūros ribose.
14.2 „Ferrero“ įgyvendino politikas, procedūras ir susitarimus ( pvz., susitarimai dėl informacijos neatskleidimo, asmeninių duomenų tvarkymo susitarimai), susijusius su informacijos perdavimu trečiosioms šalims ir iš jų, įskaitant elektroninių pranešimų siuntimą.
14.3 „Ferrero“ įgyvendino saugumo kanalus (pvz., užšifruoti protokolai, kai jungiamasi prie bendro tinklo ir/arba VPN nuotoliniu ryšiu) komunikacijai tarp informacinių sistemų ir įmonių tinklo.
15. SISTEMOS ĮSIGIJIMAS, PLĖTRA IR PRIEŽIŪRA
15.1 „Ferrero“ analizuoja ir paaiškina saugumo kontrolės reikalavimus, skirtus svetainės funkcionalumams ir operacijoms.
15.2 Taisyklės reglamentuojančios programinės įrangos saugumą/sistemų vystymą, yra nustatomos vadovaujantis „Ferrero“ vidaus politika.
15.3 Pakeitimai vykdomi, atliekami, peržiūrimi ir patvirtinami (idealiu atveju naudojant įrankį) tam tikroje aplinkoje prieš perkeliant į gamybinę aplinką.
15.4 Programų parametrų konfigūracijų pakeitimai yra tvirtinami prieš įgyvendinimą ir po atlikimo.
15.5 Programinės įrangos paketai yra nekeičiami ir techniniai saugumo sistemos principai yra gerbiami.
15.6 Kūrimo, testavimo ir gamybinė aplinkos yra atskirtos, kad būtų išvengta neteisėtos prieigos arba gamybos sistemos pakeitimų ir kodų saugyklos pakeitimų.
15.7 Visi testiniai duomenys yra kruopščiai atrenkami, generuojami ir kontroliuojami.
16. SANTYKIAI SU TIEKĖJAIS
16.1 Visoje tiekimo grandinėje „Ferrero“ įgyvendino politikas, procedūras, sąmoningumo didinimo veiklas, pvz., skirtas apsaugoti organizacinę informaciją, prie kurios prieigą turi IT užsakovai ir kiti tiekėjai (nepriklausomai nuo to, ar jie yra subduomenų tvarkytojai). Tai atsispindi rašytiniuose susitarimuose, pasirašytuose su šiais subjektais.
17. INFORMACIJOS SAUGUMO INCIDENTŲ VALDYMAS
17.1 „Ferrero“ įgyvendino atsakomybes ir procedūras skirtas nuosekliai ir veiksmingai valdyti (ataskaitas, prieigas, atsakus iš kurių galėtų mokytis) informacinio saugumo įvykius, incidentus ir pažeidžiamumus, įskaitant asmens duomenų pažeidimus, kad būtų galima laiku pranešti duomenų valdytojui, ir prireikus surinkti tinkamus teismo ekspertizės įrodymus.
18. INFORMACIJOS SAUGUMO ASPEKTAI SUSIJĘ SU VEIKLOS TĘSTINUMU
18.1 „Ferrero“ užtikrina, kad duomenų saugumas būtų visada užtikrintas. Duomenų apsaugos sistemos yra visada testuojamos, išbandomos ir atnaujinamos, taip užtikrinant pastovų duomenų saugumą.
18.2 „Ferrero“ turi paruoštas reikiamas priemones, kad atitiktų pasiekiamumo reikalavimus.
19. ATITIKTIES REIKALAVIMAI
19.1 „Ferrero“ identifikavo ir dokumentavo informacijos saugumo įsipareigojimus valdžios institucijoms (įskaitant priežiūros institucijas) ir kitoms trečiosioms šalims, įskaitant intelektinę nuosavybę, korporatyvinius ar kitus įrašus, privatumą ir šifravimą.
Paskutinis atnaujinimas: 2020 m. vasario mėn.