Приложение - Сигурност на обработването за Bravo-next.com
Описание на технически и организационни мерки
1. ИТ политики и практики за сигурност
•https://bravo-next.com/ поддържа и следва ИТ политики и практики за сигурност, задължителни за всички служители.
•Политиките за ИТ сигурност се преразглеждат поне веднъж годишно и се актуализират при необходимост с цел защита на личните данни на Администратора.
2. Спазване на защитата от служители
•https://bravo-next.com/ прилага организационни мерки, спрямо всички лица, обработващи лични данни, като персоналът е длъжен да:
◦познава приложимото законодателство;
◦познава политиката за поверителност на https://bravo-next.com/ и указанията за нейното прилагане;
◦спазва поверителността и защитата на личните данни.
•Достъпът до лични данни е разрешен само на лица, чиито задължения или конкретно възложена задача налагат това („Необходимост да знае“).
3. Физическа защита и контрол на достъпа
•https://bravo-next.com/ поддържа контрол върху физическия достъп до сгради, помещения и съоръжения, в които се обработват лични данни на Администратора.
•Минимални организационни мерки за физическа защита включват:
◦обособяване на зони с контролиран достъп за съхранение на лични данни;
◦обособяване на зони с контролиран достъп за елементите на ИТ инфраструктурата;
◦поддържане на системи и политики за организация на физическия достъп, включително за външни лица;
◦осигуряване на технически средства за физическа защита;
◦наличие на екип за реагиране при нарушение на сигурността.
•Достъпът до центровете за данни и контролирани зони е ограничен, според длъжността на служителя.
•Влизането в контролирани зони се регистрира и изисква придружаване от упълномощено лице.
•Предприемат се мерки за защита на физическата инфраструктура от естествени и човешки заплахи.
4. Защита на документи
•https://bravo-next.com/ прилага мерки за защита на хартиени документи, съдържащи лични данни.
•Минимални мерки за документална защита включват:
◦политика за достъп;
◦регламентиран достъп до регистрите;
◦процедури за унищожаване на лични данни.
5. ИТ системи и мрежова сигурност
•Защитата на автоматизираните системи и мрежи се осъществява чрез технически и организационни мерки срещу нерегламентиран достъп и обработка.
•Минимални мерки включват:
◦политика за достъп;
◦определяне на роли и отговорности на служителите;
◦идентификация и автентикация;
◦контрол на сесията;
◦наблюдение на системи и мрежи за атаки;
◦защита от вируси;
◦резервни копия и процедури за възстановяване;
◦описание на носители и процедури за тяхното унищожаване.
•При предаване и разпространение на лични данни се използва криптографска защита (например HTTPS, SFTP, FTPS).
•Мрежовата архитектура се преглежда и поддържа с мерки за сегментиране, изолиране и защита в дълбочина.
•Приложени са мерки за логическо отделяне и защита на данните.
•Псевдонимизацията на данни се прилага при обмен през обществени мрежи.
•Управлението на криптографски ключове се извършва съгласно договор и процедури за генериране, ротация, съхранение и унищожаване.
•Достъпът се ограничава до минимално необходимото ниво, включително административен и привилегирован достъп, с редовна проверка и одобрение.
•Премахват се ненужни и пасивни акаунти с привилегирован достъп, включително при промяна на длъжност или прекратяване на трудовото правоотношение.
•Прилагане на мерки за сигурност на пароли, неактивни сесии и сигурен трансфер на пароли.
•Контрол на привилегирован достъп и управление на събития с цел идентифициране на неразрешен достъп и вътрешни одити.
•Логовете за привилегирован достъп се архивират и защитават от неоторизиран достъп или модификация.
•Компютърни защити включват заключване на екрани, управление на крайни точки, криптиране на дисково пространство и защита срещу зловреден софтуер.
6. Интегритет на дейностите и контрол на достъпа
•Всички промени в услугите се управляват, чрез документирани заявки за промяна с оценка на риска, график, план за връщане назад и одобрение от упълномощени служители.