Środki techniczne i organizacyjne.
Firma Extu wdrożyła i będzie utrzymywać odpowiednie środki techniczne i organizacyjne, kontrole wewnętrzne i praktyki w zakresie bezpieczeństwa informacji, które mają na celu ochronę danych przetwarzanych przez Extu na podstawie Umowy przed przypadkową utratą, zniszczeniem lub modyfikacją, nieuprawnionym ujawnieniem lub uzyskaniem dostępu, lub bezprawnym zniszczeniem, jak przedstawiono poniżej:
Kontrola pracowników, szkolenia i zabezpieczenia
- Personel. Extu podejmuje uzasadnione kroki w celu zapewnienia, że jej personel posiada odpowiednie umiejętności, doświadczenie i przeszkolenie w zakresie opieki nad Danymi osobowymi i postępowania z nimi podczas świadczenia Usług.
- Badanie przeszłości. Extu przeprowadza uzasadnione i odpowiednie badania przeszłości wszystkich pracowników zgodnie z obowiązującymi przepisami prawa i regulacjami.
- Szkolenia. Program szkoleniowy Extu w zakresie zgodności z przepisami obejmuje wymóg, aby pracownicy i podwykonawcy ukończyli szkolenie w zakresie ochrony danych przy dołączaniu do organizacji, a także obowiązkowe, odbywające się dwa razy w roku szkolenie w zakresie ochrony danych i świadomości prywatności. Obejmuje to zdanie oceny corocznej. Szkolenie w zakresie ochrony danych obejmuje takie tematy jak świadomość bezpieczeństwa, zarządzanie incydentami związanymi z danymi, a także może obejmować materiały typowe dla określonych funkcji zawodowych.
- Poufność. Extu jej swoich pracowników do zachowania i ochrony poufności wszelkich Danych Osobowych, z którymi mają do czynienia zgodnie z niniejszą Umową.
Bezpieczeństwo fizyczne i środowiskowe
- Centra danych. Extu korzysta z centrów danych zarządzających bezpieczeństwem fizycznym z całodobową ochroną i skanerami biometrycznymi. Nasi dostawcy centrów danych spełniają wymogi zgodności z SOC 2.
- Fizyczne środki kontroli dostępu. Extu stosuje politykę „czystego biurka”, która wymaga, aby żadne dane osobowe nie były pozostawiane bez nadzoru i by pracownicy blokowali ekran komputera, gdy odchodzą od biurka. Wszystkie nośniki drukowane zawierające Dane Osobowe są bezpiecznie niszczone (np. poprzez spalenie lub w niszczarce) zgodnie z naszą polityką przechowywania. Wszystkie Dane osobowe przechowywane na sprzęcie i nośnikach wymiennych muszą zostać bezpiecznie zniszczone przed utylizacją starego urządzenia. Extu upewnia się poprzez regularne szkolenia, że personel nie kopiuje ani nie przenosi Danych osobowych na żaden dysk twardy komputera, laptopa, urządzenie przenośne, nośnik wymienny lub poprzez inną technologię.
- Podmioty przetwarzające dane. Extu ustanowiła program zgodności dla zewnętrznych dostawców, który obejmuje bezpieczeństwo w ocenie dostawcy lub podwykonawcy przetwarzającego dane, a także zapewnia poufność, integralność i dostępność danych. Extu utrzymuje relacje umowne z dostawcami w celu świadczenia Usług zgodnie z uzgodnioną umową o ochronie danych.
Zabezpieczenia techniczne
- Kontrola dostępu. Extu utrzymuje formalną politykę kontroli dostępu i stosuje scentralizowany system zarządzania dostępem w celu kontrolowania dostępu pracowników i wykonawców do systemów. Dostęp jest zapewniany w oparciu o podział obowiązków i zasadę najmniejszych przywilejów. Kontrola dostępu obejmuje użycie nazwy użytkownika i złożonego hasła oraz uwierzytelnianie wieloskładnikowe. Extu dostosowuje prawa dostępu personelu za każdym razem, gdy przyjmuje on inne obowiązki i blokuje całkowicie dostęp po zakończeniu zatrudnienia lub umowy.
- Transmisja i szyfrowanie danych. Extu podejmuje wszelkie uzasadnione kroki w celu zapewnienia, że wszystkie Dane osobowe (przechowywane w dowolnej formie i na dowolnym nośniku, zarówno fizycznym, jak i innym), których utrata, kradzież lub uzyskanie do nich dostępu przez osobę nieupoważnioną mogłyby skutkować szkodą lub problemami osoby, której dotyczą, są szyfrowane, zwłaszcza podczas przesyłania między systemami. Obejmuje to wdrożenie standardowych praktyk szyfrowania podczas przesyłania danych osobowych (takich jak Transport Layer Security) oraz szyfrowanie danych osobowych w spoczynku i podczas przenoszenia.
- Ochrona bezpieczeństwa danych. Wdrożone są odpowiednie środki bezpieczeństwa danych, w tym (bez ograniczeń): oprogramowanie antywirusowe i wykrywające złośliwe oprogramowanie jest zainstalowane w systemach informatycznych; stosowane są najnowsze poprawki i aktualizacje zabezpieczeń stosowanego oprogramowania; dla krytycznych systemów zapewniona jest ochrona sieci przez zaporę ogniową z systemami wykrywania włamań i logami.
- Przegląd kodu programowania. Extu utrzymuje formalny cykl życia oprogramowania, który obejmuje praktyki kodowania zabezpieczeń, w tym przeglądy kodu oraz praktyki zarządzania zmianami w zakresie inżynierii i rozwoju produktu.
- Przechowywanie danych. Extu prowadzi politykę przechowywania i usuwania danych.
Zgodność z SOC II i certyfikacja PCI DSS.
Usługodawca Extu zajmujący się przetwarzaniem kart kredytowych stosuje środki bezpieczeństwa w celu ochrony informacji zarówno podczas transakcji, jak i po jej zakończeniu. Posiada on certyfikat zgodności z inicjatywami bezpieczeństwa organizacji kartowych. Integracja naszych systemów zarządzania zachętami z usługodawcą jest zgodna z PCI DSS (na podstawie SAQ A).
Przeprowadzamy również coroczne audyty SOC II typu 2 naszych systemów zarządzania zachętami. Na żądanie udostępniamy nasz raport SOC II.
Reagowanie na incydenty i powiadomienie o naruszeniu ochrony
- Postępowanie w razie awarii. Extu podjęła kroki w celu zapewnienia, że Usługi będą mogły być nadal świadczone w przypadku, gdy jakaś awaria negatywnie wpłynie na standardowy tryb działania. Zidentyfikowano krytyczne systemy i usługi oraz opracowano plan odzyskiwania danych po awarii. Extu wykonuje regularnie kopie zapasowe, zapewniając możliwość przywrócenia krytycznych systemów przy minimalnej utracie danych.
- Reagowanie na incydenty. Extu ustanowiła procedury reagowania na incydenty umożliwiające obsługę incydentów w sposób terminowy i kontrolowany oraz zgodnie z obowiązującym prawem i zobowiązaniami.