„Ferrero“ techninės ir organizacinės saugumo priemonės
1. BENDROSIOS KONTROLĖS PRIEMONĖS
1.1 „Ferrero“ įgyvendino tinkamai dokumentuotą ir reguliariai atnaujinamą asmens duomenų apsaugos politiką.
1.2 „Ferrero“ asmens duomenų apsaugos procedūros yra formaliai dokumentuotos, kai reikalaujama, periodiškai peržiūrimos ir pagrįstos objektyviais dokumentais (pvz.:, posėdžių protokolai, sąrašai, IT žurnalai), kurie galėtų įrodyti nuolatinį kruopštumą ir budrumą tvarkant asmens duomenis.
1.3 „Ferrero“ paskyrė saugos pareigūną ir duomenų apsaugos pareigūną (DAP) atsakingais asmenimis koordinuojant ir stebint saugumo taisykles, procedūras ir duomenų apsaugos užtikrinimą.
2. DUOMENŲ SUBJEKTO TEISĖS (BDAR 15 str. ir kt. tolimesni straipsniai)
2.1 „Ferrero“ darbuotojai yra informuoti apie duomenų subjekto teises ir tvarką, pagal kurią prašymai naudotis duomenų subjekto teisėmis yra perduodami duomenų valdytojui.
2.2 „Ferrero“ veda bendrą w2.3 registrą. „Ferrero“ paskyrė asmenį„Ferrero“ paskyrė asmenį, kuriam šie prašymai, pvz., naudotis prieigos teise, yra įrašomi.
2.3 DPA atsakingas už raštiško paaiškinimo pateikimą duomenų tvarkytojui atsižvelgiant į duomenų subjekto prašymus.
2.4 „Ferrero“ nustatė galutinius terminus prašymų perdavimui duomenų tvarkytojui.
2.5 „Ferrero“ turi procedūrą, raštu registruoti visus atsisakymus pateiktus į duomenų subjektų prašymus pasinaudoti jų teisėmis į ištrynimą, duomenų tvarkymo apribojimą arba duomenų perkeliamumą, ir dokumentu pasidalinti su duomenų valdytoju.
3. PRIVATUMO POLITIKA (BDAR 13 str.) (kai taikoma)
3.1 „Ferrero“ darbuotojai ir kiti žmonės atsakingi už privatumo politikos/asmens duomenų apsaugos pranešimų teikimą duomenų subjektams ir (arba) duomenų subjektų sutikimų rinkimą, duomenų tvarkytojo vardu, buvo apmokyti pagal asmens duomenų apsaugos taisykles.
3.2 Teikiant privatumo politikos/asmens duomenų apsaugos pranešimus duomenų subjektams, „Ferrero“ darbuotojai ir kiti atsakingi asmenys geba aiškiai informuoti šiuos duomenų subjektus apie jų teises žodžiu arba raštu.
3.3 „Ferrero“ registruoja šaltinius, iš kurių gaunami asmens duomenys.
4. ĮGALIOTI ASMENYS (BDAR 29 str.)
4.1 „Ferrero“ paskyrė formalius individualius arba grupinius (vienodų kategorijų asmenų) susitikimus įgaliotiems asmenims.
4.2 Visi paskirti įgalioti asmenys gavo raštiškas instrukcijas, kaip tvarkyti ir apsaugoti asmens duomenis.
4.3 Įgalioti asmenys gauna atitinkamus asmens duomenų apsaugos mokymus ir švietimą. Šie mokymai yra tinkamai dokumentuojami.
4.4 Įgaliotiems asmenims suteiktos prieigos teisės yra tinkamos ir atnaujinamos. Nurodymai, kurie yra duodami įgaliotiems asmenims yra atnaujinami. Tai periodiškai patvirtinama.
5. MOKYMAI
5.1 Prieš pradedant tvarkyti asmens duomenis, nauji darbuotojai yra tinkamai apmokomi.
5.2 Darbuotojų integralumas ir patikimumas yra įvertinamas dar prieš jiems pradedant dirbti su asmens duomenų apdorojimu.
5.3 Įgalioti asmenys reguliariai gauna operacinius saugumo atnaujinimus.
5.4 „Ferrero“ pasidalina saugumo informacijos gairėmis su visais įgaliotais asmenimis.
5.5 „Ferrero“ saugo dokumentus, tam kad patvirtintų ir įrodytų įvykdytus mokymus.
6. INFORMACIJOS SAUGUMO POLITIKOS
6.1 „Ferrero“ nustatė kriterijus ir politikas siekiant aiškiai apibrėžti savo poziciją ir paramą informacinio saugumo klausimu, taip pat saugumo kontrolės dėl mobiliųjų prietaisų ir nuotolinio darbo (pvz. dirbant nuotoliniu būdu naudotis informacinėmis sistemomis, nuotolinė prieiga ir virtualios darbo erdvės) klausimu.
6.2 „Ferrero“ apibrėžė skirtingas funkcijas ir atsakomybes dėl informacijos saugumo ir paskyrė jas atitinkamiems asmenims, kad išvengtų interesų konfliktų ir užkirsti kelią netinkamai veiklai.
6.3 „Ferrero“ sudarė tinkamus susitarimus su sub-duomenų tvarkytoju (-ais), kurie įsipareigoja suteikti tinkamas technines ir organizacines saugumo priemones, susijusias su asmens duomenų apsauga.
7. ŽMOGIŠKŲJŲ IŠTEKLIŲ APSAUGA
7.1 Informacijos saugumo atsakomybės yra apsvarstomos prieš priimant į darbą, kai yra atrenkami darbuotojai, sutarties dalyviai ir laikinas personalas (pvz., naudojant atitinkamus laisvų darbo vietų aprašymus arba patikrinimus prieš įsidarbinimą) ir yra įtraukiamos į įdarbinimo ar kitų paslaugų sutartis (pvz., pagal darbo sąlygas ir kitas pasirašytas sutartis, apibrėžiančias su saugumu susijusius vaidmenis ir atsakomybę, vykdant atitikties įsipareigojimus ir pan.).
7.2 „Ferrero“ turi oficialią drausminę procedūrą, kuri gali būti pradėta įvykti dėl darbuotojų, sutarties dalyvių ir laikinųjų darbuotojų sukeltų informacijos saugumo incidentų.
7.3 Kai asmuo išeina iš „Ferrero“ arba, kai yra reikšmingų vaidmenų ir atsakomybių pasikeitimų, visi su saugumu susiję aspektai yra valdomi, pvz., įpareigojant grąžinti visą įmonės informaciją ir įmonės įrangą, atnaujinti prieigos teises/leidimus, ir priminimus dalyviams apie jų nuolatinius įsipareigojimus dėl privatumo, intelektinės nuosavybės, išlikusių sutarties sąlygų ir kitus, įskaitant etinius lūkesčius.
7.4 Įgalioti asmenys gauna nurodymus, kaip ištrinti ar sunaikinti laikmenose esančią informaciją prieš pakartotinį naudojimą.
8. TURTO VALDYMAS
8.1 „Ferrero“ turi informacinio turto inventorių, o asmenys, turintys šį turtą, yra identifikuojami, siekiant užtikrinti atskaitomybę už šį turtą. „Ferrero“ nustatė „priimtino naudojimo“ politiką šiam turtui.
8.2 Informacijos saugojimo laikmenos tvarkomos, kontroliuojamos, transportuojamos ir šalinamos taip, kad nekeltų pavojaus saugomos informacijos turiniui.
8.3 „Ferrero“ turi atitinkamą skaičių saugių konteinerių, kurie yra tinkamai paskirstyti ir prieinami asmenims, atsakingiems už asmens duomenų saugojimą (netgi laikinai) bet kokia forma (popieriuje, elektroniniu ar kitu būdu).
8.4 „Ferrero“ įgyvendino kontrolę, siekiant išvengti, kad dokumentai, turintys specialių kategorijų asmens duomenis, nebūtų palikti be priežiūros, kai jie yra patikėti įgaliotiems asmenims ir pašalinami iš saugomų archyvų.
8.5 Įgalioti asmenys turi prieigą ir galimybę naudotis dokumentų naikinimo aparatu.
8.6 „Ferrero“ įgyvendino tinkamą politiką susijusią su popierinių dokumentų naudojimu, saugojimui ir sunaikinimu.
8.7 Popieriniai dokumentai, kuriuose yra tam tikra specialių kategorijų asmens duomenų informacija, yra ištrinami arba sunaikinami prieš pakartotinį naudojimą.
9. PRIEIGOS KONTROLĖ
9.1 „Ferrero“ organizaciniai reikalavimai, taikomi informacijos valdymui, yra aiškiai dokumentuojami prieigos kontrolės politikoje/procedūroje, o prieiga prie „Ferrero“ tinklo ir ryšių yra ribota.
9.2 Naudotojai yra informuoti apie savo atsakomybes dėl efektyvios prieigos užtikrinimo, tokias kaip stiprių slaptažodžių pasirinkimas ir jų konfidencialumo užtikrinimas.
9.3 Prieiga prie informacijos yra apribota pagal „Ferrero“ prieigos kontrolės politikos/procedūros. Pvz., snaudojant saugias prisijungimo sistemas, slaptažodžių valdymą, privilegijuotą prieigos kontrolę ir prieigos prie šaltinio kodų ribojimą.
9.4 „Ferrero“ kontroliuoja ir tam tikras jautrias sritis. Asmenys, kurie naudojasi šiomis jautriomis sritimis, gauna išankstinį leidimą tai daryti.
9.5 Jautrios sritys yra aprūpintos elektrinės prieigos kontrolės įrankiais arba kitaip jiems taikoma tinkama priežiūra.
9.6 „Ferrero“ dažnai peržiūri prisijungimus prie jautrių sričių, tokių kaip serverių kambariai, kad galėtų laiku pastebėtų nepagrįstą prieigą.
10. FIZINĖ IR APLINKOS APSAUGA
10.1 „Ferrero“ aiškiai nustatė fizinius parametrus ir barjerus, su fizinės prieigos kontrole ir vidinėmis procedūromis siekiant apsaugoti savo patalpas, biurus, kambarius, pakrovimo/iškrovimo zonas ir kt., pvz., nuo nesankcionuotos prieigos (apsauga nuo gaisrų, potvynių, žemės drebėjimų, bombų ir t.t.).
10.2 „Ferrero“ gali patvirtinti, kad įranga ir/arba informacija nėra paimama iš patalpų be išankstinio leidimo ir yra tinkamai apsaugota, nesvarbu, ar patalpose, ar už jų ribų.
10.3 Informacijos saugojimo laikmenose esanti informacija yra sunaikinta prieš pašalinant ar pakartotinai naudojant šias laikmenas.
10.4 Bet kokia neprižiūrima įranga yra apsaugota ir yra tam tikra vieta bei aiški kontrolės politika šiai įrangai.
11. OPERACINIS SAUGUMAS
11.1 Kenkėjiškų programų kontrolė yra įdiegta ir užtikrinta.
11.2 Atitinkamos atsarginės priemonės yra sukurtos ir apsaugotos, atsižvelgiant į „Ferrero“ duomenų atstatymo politiką.
11.3 Atsarginės kopijos ištestuotos. Rezultatai yra dokumentuoti ir įrašyti.
12. AUTENTIFIKACIJA IR SEKIMAS
12.1 Laiko sekimo sistemos yra sinchronizuotos užtikrinti laikiną nuoseklų duomenų stebėjimą.
12.2 „Ferrero“ laikosi mažiausios privilegijos principo, kuris suteikia teisėtą prieigą vartotojams, priklausomai nuo jų darbo funkcijų.
13. TECHNINIO PAŽEIDŽIAMUMO VALDYMAS
13.1 „Ferrero“ gali patvirtinti, kad pažeidžiamumo valdymo procesas buvo sukurtas siekiant identifikuoti saugumo spragas. Jis buvo naudojamas išorinių šaltinių pažeidžiamai informacijai nustatyti, taip priskiriant rizikų klasifikaciją prie saugumo pažeidžiamumų.
13.2 Sistemų komponentai ir programinės įrangos atnaujinimai, susiję su žinomų pažeidimų ištaisymu, yra įvertinami. Tai yra daroma siekiant nustatyti pritaikomumą, patikrinant prieš įdiegimą, jei įmanoma ir yra įgyvendinama laiku.
13.3 Vartotojų diegiamos programinės įrangos taisyklės buvo sukurtos ir įgyvendintos siekiant išvengti naujų pažeidžiamumų.
13.4 „Ferrero“ apibrėžė ir įgyvendino įsiskverbimo į sistemą testavimo procesą, taikymo ir infrastruktūros lygiu.
14. KOMUNIKACIJOS APSAUGA
14.1 „Ferrero“ įgyvendino apsaugos priemones, kurios yra skirtos kontroliuoti komunikaciją vidinėse ir išorinėse infrastruktūros ribose.
14.2 „Ferrero“ įgyvendino politikas, procedūras ir susitarimus ( pvz.: susitarimai dėl informacijos neatskleidimo, asmeninių duomenų tvarkymo susitarimai), susijusius su informacijos perdavimu trečiosioms šalims ir iš jų, įskaitant elektroninių pranešimų siuntimą.
14.3 „Ferrero“ įgyvendino saugumo kanalus (pvz., užšifruoti protokolai, kai jungiamasi prie bendro tinklo ir/arba VPN nuotoliniu ryšiu) komunikacijai tarp informacinių sistemų ir įmonių tinklo.
15. SISTEMOS ĮSIGIJIMAS, PLĖTRA IR PRIEŽIŪRA
15.1 „Ferrero“ analizuoja ir specifikuoja saugumo kontrolės reikalavimus, įskaitant interneto programas ir sandorius.
15.2 Taisyklės reglamentuojančios programinės įrangos saugumą/sistemų vystymą, yra apibrėžtos atsižvelgiant į „Ferrero“ vidaus politiką.
15.3 Pakeitimai vykdomi, atliekami, peržiūrimi ir patvirtinami (idealiu atveju naudojant įrankį) tam tikroje aplinkoje prieš perkeliant į gamybą.
15.4 Programų parametrų konfigūracijų pakeitimai yra tvirtinami prieš įgyvendinimą ir po atlikimo.
15.5 Programinės įrangos paketai yra nekeičiami ir techniniai saugumo sistemos principai yra gerbiami.
15.6 Kūrimo, bandymų ir gamybos aplinkos yra atskirtos, kad būtų išvengta neteisėtos prieigos arba gamybos sistemos pakeitimų ir kodų saugyklos pakeitimų.
15.7 Visi bandymų duomenys yra kruopščiai atrenkami, generuojami ir kontroliuojami
16. SANTYKIAI SU TIEKĖJAIS
16.1 Visoje tiekimo grandinėje „Ferrero“ įgyvendino politikas, procedūras, sąmoningumo didinimo veiklas, pvz., skirtas apsaugoti organizacinę informaciją, prie kurios prieigą turi IT užsakovai ir kiti tiekėjai (nepriklausomai nuo to, ar jie yra sub-duomenų tvarkytojai). Tai atsispindi rašytiniuose susitarimuose, pasirašytuose su šiais subjektais.
17. INFORMACIJOS SAUGUMO INCIDENTŲ VALDYMAS
17.1 „Ferrero“ įgyvendino atsakomybes ir procedūras skirtas valdyti (ataskaitas, prieigas, atsakus iš kurių galėtų mokytis) informacinio saugumo įvykius, incidentus ir pažeidžiamumus, įskaitant asmens duomenų pažeidimus, nuosekliai ir veiksmingai, kad būtų galima laiku pranešti duomenų valdytojui, ir prireikus surinkti tinkamus teismo ekspertizės įrodymus.
18. INFORMACIJOS SAUGUMO ASPEKTAI DĖL VERSLO TĘSTINUMO VADYBOS
18.1 „Ferrero“ suplanavo informacijos saugumo tęstinumą, įgyvendino, išbandė ir peržiūrėjo kaip neatskiriamą jos veiklos tęstinumo valdymo sistemų dalį.
18.2„Ferrero“ turi paruoštas reikiamas priemones kad atitiktų pieinamumo reikalavimus
19. ATITIKIMAS
19.1„Ferrero“ identifikavo ir dokumentavo informacijos saugumo įsipareigojimus valdžios institucijoms (įskaitant priežiūros institucijas) ir kitoms trečiosioms šalims, įskaitant intelektualinę nuosavybę, korporatyvinius ar kitus įrašus, privatumą ir šifravimą.
Paskutinis atnaujinimas: 2018 m. birželio mėn.