Ten artykuł jest również dostępny w:
Ten artykuł został przetłumaczony przy użyciu tłumaczenia maszynowego. Może zawierać błędy lub dziwnie brzmiące tłumaczenia. Mimo to uważamy, że warto go przeczytać w swoim ojczystym języku. Daj nam znać, czy ten artykuł okazał się pomocny, lub przekaż inne uwagi u dołu artykułu.

Ten artykuł wyjaśnia nasze środki techniczne i organizacyjne w zakresie tworzenia kopii zapasowych, ochrony danych i bezpieczeństwa.

1. Poufność (art. 32, ust. 1, lit. b GDPR)

Fizyczna kontrola dostępu

Naszą platformę hostujemy na AWS przez Amazon we Frankfurcie, Niemcy. Na tej stronie można zapoznać się szczegółowo z ich środkami bezpieczeństwa: https://aws.amazon.com/compliance/data-center/controls/

Elektroniczna kontrola dostępu

Mamy dostęp do bazy danych tylko w siedzibie firmy. Dostęp jest ograniczony tylko do administratorów systemu. Ograniczono możliwość bezpośredniej zmiany danych w bazie. Hasła dostępu do bazy danych mogą być używane tylko podczas logowania za pomocą dwuskładnikowego uwierzytelniania do naszego oprogramowania do zarządzania hasłami. CTO jest odpowiedzialny za zarządzanie dostępem i kluczami oraz nadawanie uprawnień. Przydzielamy dostęp tylko wtedy, gdy jest to niezbędne do wykonywania pracy przez pracownika.

Wewnętrzna kontrola dostępu (uprawnienia użytkowników w zakresie dostępu do danych i ich zmiany)

Dostęp do bazy danych mamy tylko w siedzibie firmy. Dostęp jest ograniczony tylko do administratorów systemu. Ograniczyliśmy możliwość bezpośredniej zmiany danych w bazie. CTO jest odpowiedzialny za dostęp, zarządzanie kluczami i nadawanie uprawnień. Przydzielamy dostęp tylko wtedy, gdy jest to niezbędne do wykonywania pracy przez pracownika.

Kontrola izolacji

Wszystkie dane dla każdego klienta są powiązane z id konta klienta.

Pseudonimizacja (Artykuł 32, ustęp 1, punkt a GDPR; Artykuł 25, ustęp 1, GDPR)

Przechowywane przez nas dane osobowe są zaszyfrowane. Dostęp do danych osobowych jest możliwy tylko w przypadku posiadania danych logowania do konta klienta lub loginu do bazy danych oraz klucza szyfrującego.

2. Integralność (art. 32, ust. 1, lit. b GDPR)

Kontrola przekazywania danych

Możemy uzyskać dostęp do bazy danych tylko w siedzibie firmy. Dostęp jest ograniczony tylko do administratorów systemu. Ograniczamy możliwość bezpośredniej zmiany danych w bazie. Wszystkie dane osobowe w bazie danych są zaszyfrowane.

Kontrola wprowadzania danych

Weryfikacja, czy i przez kogo dane osobowe są wprowadzane do Systemu Przetwarzania Danych, zmieniane lub usuwane, np: Rejestrowanie, Zarządzanie dokumentami

Tylko zalogowani klienci mają dostęp i mogą zmieniać dane osobowe danego konta klienta. Nie rejestrujemy zmian ani usuwania danych osobowych.

3. Dostępność i odporność (art. 32, ust. 1, lit. b GDPR)

Kontrola dostępności

Zapobieganie przypadkowemu lub celowemu zniszczeniu lub utracie, np: Strategia backupu (online/offline; on-site/off-site), Uninterruptible Power Supply (UPS), ochrona przed wirusami, firewall, procedury raportowania i planowanie awaryjne.

Hostujemy naszą platformę na AWS firmy Amazon we Frankfurcie, Niemcy. Zapewniają one wgląd w swoje środki bezpieczeństwa w szczegółach na tej stronie: https://aws.amazon.com/compliance/data-center/controls/

Mamy strategię tworzenia kopii zapasowych, w której tworzymy kopie zapasowe danych przez 30 dni.

Szybkie odzyskiwanie danych (art. 32 ust. 1 lit. c GDPR);

Czas realizacji odzyskiwania danych wynosi 48 godzin roboczych.

4. Procedury regularnego testowania, ocena i oceny (art. 32, ust. 1, lit. d GDPR; art. 25, ust. 1 GDPR)

Zarządzanie ochroną danych

Raz w roku przeprowadzamy wewnętrzny audyt aktualnego stanu naszego zarządzania ochroną danych.
Zarządzanie reagowaniem na incydenty

Mamy wdrożoną procedurę reagowania na incydenty.
Ochrona danych już w fazie projektowania i domyślnie (art. 25 ust. 2 GDPR);

Nasz proces budowy i rozwoju obejmuje ochronę danych już w fazie projektowania i domyślnie.
Kontrola zamówień lub umów

Mamy wdrożony proces kontroli zamówień.

Brak przetwarzania danych osób trzecich zgodnie z art. 28 GDPR bez odpowiednich instrukcji od Klienta, np.: jasne i jednoznaczne ustalenia umowne, sformalizowane zarządzanie zleceniami, ścisła kontrola wyboru dostawcy usług, obowiązek oceny wstępnej, nadzorcze kontrole następcze.

Zgodnie z umową z podmiotem przetwarzającym dane przetwarzamy dane tylko za pisemną zgodą administratora i tylko przez podmiot trzeci Amazon Frankfurt.
Czy ten artykuł był pomocny?
Anuluj
Dziękuję!