Tehnični in organizacijski ukrepi
Verzija: 2.1
Datum: 27.9. 2024
1 Zaupnost
1.1 Nadzor fizičnega dostopa
- opredelitev pooblaščenih oseb z dostopom na osnovi lastnosti/pravil organizacije,
- dokumentiranje o dodelitvi in/ali umiku dostopnih pravic,
- redna revizija dostopnih pravic,
- nadzor dostopa z osebno kartico,
- nadzor dostopa z osebnim žetonom,
- dokumentiranje prisotnosti v strežniških sobah,
- pravila za dostop zunanjih oseb,
- video nadzor zunanjega in notranjega območja stavbe.
1.2 Nadzor dostopa do sistema
- dostop do sistemov je mogoč le z avtentikacijo z osebnim (lastnim) uporabniškim imenom in geslom,
- uporaba zapletenih gesel z najmanj osmimi znaki, ki izpolnjujejo najmanj tri od štirih meril (velika črka, mala črka, številka, poseben znak) in obvezna sprememba gesla vsakih 90 dni,
- prepoved razkrivanja osebnih gesel,
- beleženje/sledenje dodeljenim pravicam dostopa (angleško: logging),
- omejitev administrativnega dostopa na najmanjši možni obseg,
- zaščita sistemov za obdelavo podatkov pred nepooblaščenim dostopom z ustreznimi požarnimi zidovi,
- samodejno zaklepanje sistemov po določenem obdobju neuporabe.
1.3 Nadzor dostopa do podatkov
- omejitev pravic dostopa glede na področja dejavnosti,
- ločitev dodeljenih pravic (organizacijske) od pravic do dodeljevanja pravic (tehnične).
1.4 Nadzor ločevanja (separation)
- beleženje sprememb pravic,
- preverjanje poskusov nepooblaščenega dostopa (IDS/IPS),
- določitev različnih uporabniških profilov (na ravni skrbnika/uporabnika),
- posebne pravice dostopa, ki ustrezajo zahtevam za dostop do podatkov,
- ločevanje proizvodnih in testnih okolij s tehničnimi ukrepi (virtualni strežniki, ločeni sistemi, segmentiranje naslovov IP).
2 Integriteta
2.1 Nadzor prenosa
- šifriranje podatkov, zlasti pri prenosu prek javnih omrežij (npr. SSL, TLS),
- izbris in/ali uničenje podatkov, podatkovnih nosilcev in tiskanih kopij/izpisov v skladu s konceptom stopnje zaščite, ki je skladen z varstvom podatkov,
- šifriranje naprav za shranjevanje podatkov / podatkovnih nosilcev,
- oddaljeno brisanje z mobilnih naprav.
2.2 Nadzor vnosa
- dostopne pravice se redno preverjajo in posodabljajo,
- beleženje obdelave podatkov omogoča poznejši pregled in ugotavljanje, ali in kdo je osebne podatke vnesel, spremenil ali odstranil (npr. dnevniki sprememb podatkov v centralnih sistemih ERP),
- beleženje in hranjenje ustreznih dejanj, izvedenih v sistemih na podlagi potreb (npr. dnevniške datoteke),
- izrecna/enolična identifikacija in označevanje podatkovnih nosilcev na vrnjenih tiskalnikih in/ali multifunkcijskih tiskalnikih.
3 Razpoložljivost in zmogljivost obremenitve
3.1 Nadzor nad razpoložljivostjo in zmožnostjo ponovne vzpostavitve
- uporaba dveh certificiranih IT centrov na različnih geografskih lokacijah, kar preprečuje prekinitev storitev z zrcaljenjem (tj. z ohranjanjem redundantnih podatkov),
- tehnični varnostni ukrepi v obliki sistemov zgodnjega opozarjanja za zaščito pred motnjami zaradi požara/vročine, vode ali pregrevanja in dodatno neprekinjeno napajanje,
- ukrepi za zaščito pred izgubo električne energije in tokovno preobremenitvijo, npr. sistemi neprekinjenega napajanja (UPS)
- načrtovano izvajanje varnostnih kopij podatkov in dodatna uporaba postopkov zrcaljenja,
- večplastna arhitektura protivirusnega programa/zaščitnega zidu,
- vzpostavljen postopek za centralno naročanje strojne in programske opreme,
- sposobnost pravočasne obnovitve/vzpostavitve (člen 32(1)(c) GDPR) prek koncepta globalnega varnostnega kopiranja,
- upravljanje IT v skladu s standardom Cobit
- redne posodobitve vseh sistemov v uporabi, kjer je to primerno,
- vzpostavljeni protokoli za nujne ukrepe in obnovitev podatkov.
4 Nadzor/ukrepi na nivoju zaposlenih
imenovanje pooblaščene osebe za varstvo podatkov (DPO - Data Protection Officer) na nivoju Konica Minolta Europe skupine, - Dr. Frederike Rehker, dataprotection@konicaminolta.eu,
imenovanje kontaktne osebe za varstvo podatkov (DPCM - Data Protection Coordination Manager) na lokalnem nivoju, - Matjaž Babnik, gdpr@konicaminolta.si,
- sporazumi o ravni storitev z zunanjimi ponudniki storitve in njihovo sodelovanje v skladu z GDPR,
navodila zaposlenim pri obdelavi osebnih podatkov in ukrepi, - interno izobraževanje o varstvu osebnih podatkov po GDPR,
- certificirano izobraževanje na nivoju skupine Konica Minolta Europe o varstvu osebnih podatkov po GDPR,
- podpis izjave "Dolžnost varovanja podatkov po GDPR",
- obvezna skladnost zaposlenih v zvezi s tajnostjo podatkov v skladu z zakonodajo Republike Slovenije s področja varstva podatkov in GDPR,
- tehnično varovanje z ukrepi za nadzor dostopa, ločevanja in vnosa.
5 Nadzor/ukrepi na nivoju organizacije
- vzpostavljeni so stalni postopki za preverjanje in po potrebi prilagajanje ukrepov za varstvo podatkov,
- pisno določena uredba za kopije podatkov,
- vzpostavljeni postopki za obravnavo primerov varstva podatkov,
- zaposleni obdelujejo podatke le po dokumentiranem navodilu vodstva ali nadrejenega,
- obvezne smernice podjetja o ravnanju z osebnimi podatki in uporabi IT sistemov,
- ustrezno usposabljanje zaposlenih,
- upravljanje in odzivanje na incidente.