Korzystając z naszych usług, powierzasz nam swoje dane. Rozumiemy, że to wielka odpowiedzialność dlatego robimy wszystko, aby zapewnić ich bezpieczeństwo oraz umożliwić Tobie kontrolę nad nimi.
Korzystając z naszych usług, powierzasz nam swoje dane. Rozumiemy, że to wielka odpowiedzialność, dlatego robimy wszystko, aby zapewnić ich bezpieczeństwo oraz umożliwić Tobie kontrolę nad nimi.
§1 KTO MA DOSTĘP DO TWOICH DANYCH
Administratorem danych jest firma YetiForce S.A. [al. Jana Pawła II, 00-133 Warszawa, NIP: 118-000-24-25].
W wyjątkowych sytuacjach dostęp do danych mają również zaufani partnerzy w tym m.in:
Serwerownia i sprzęt: Atman sp. z o.o. (www.atman.pl)
Księgowość/HR: Credos Accounting Services sp. z o.o. (ul. Domaniewska 47, 02-672 Warszawa, NIP: 5272672650). Dane mogą być udostępnione właściwym organom bądź osobom trzecim, które zgłoszą żądanie udzielenia takich informacji, opierając się na odpowiedniej podstawie prawnej oraz zgodnie z przepisami obowiązującego prawa.
Jeżeli masz pytania dotyczące danych, które przetwarzamy i dotyczą Ciebie, wyślij maila na adres
§2 CELE ORAZ PODSTAWY PRAWNE PRZETWARZANIA DANYCH W YETIFORCE S.A.
W każdej sytuacji zbieramy tylko minimalne dane, które są dla nas niezbędne lub istotne na zasadach opisanych poniżej.
Strony WWW - zbieramy tylko minimalne informacje o użytkowniku odwiedzającym naszą stronę www, tj. identyfikator sesji, adres IP, informacje o przeglądarce, a w przypadku użytkowników zalogowanych również imię, nazwisko oraz adres mailowy. Dane te są zbierane w celach analitycznych i statystycznych oraz w celu świadczenia usług drogą elektroniczną w zakresie udostępniana Użytkownikom treści gromadzonych w Serwisie.
Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. f RODO).
Okres przetwarzania danych uzależniony jest od istnienia uzasadnionego interesu administratora. Okres przetwarzania danych trwa do momentu utraty przez Administratora uzasadnionego interesu - nie więcej jednak niż 5 lat.. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.Formularze WWW - w przypadku skontaktowania się przy wykorzystaniu elektronicznych formularzy kontaktowych wymagane jest podanie danych, tj. imię, nazwisko, adres mailowy, numer telefonu, treść zapytania,. Ponadto zbieramy dane:. adres IP, z którego przyszło zapytanie, datę i godzinę, unikalny identyfikator sesji oraz podstawowe informacje o przeglądarce. Użytkownik może podać także inne dane, w celu ułatwienia kontaktu lub obsługi zapytania.
Podstawą prawną przetwarzania jest niezbędność przetwarzania do wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO),która może być przez niego wycofana w każdym czasie, stosownie do treści § 4.
Okres przetwarzania danych trwa przez okres wykonywania umowy, a po jej zakończeniu do czasu przedawnienia wzajemnych roszczeń Stron, a w przypadku przetwarzania danych osobowych na zasadzie zgody - do czasu jej odwołania. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane.
Kontakt mailowy - w przypadku skontaktowania się przy wykorzystaniu poczty elektronicznej wymagane jest podanie danych takich jak adres mailowy oraz treść zapytania. Ponadto zbieramy dane : adres IP, z którego przyszło zapytanie, datę i godzinę, unikalny identyfikator sesji oraz pełen nagłówek i zawartość maila razem z załącznikami. Użytkownik może podać także inne dane, w celu ułatwienia kontaktu lub obsługi zapytania.
Podstawą prawną przetwarzania jest niezbędność przetwarzania do podjęcia działań na wniosek osoby kontaktującej się lub w celu wykonania umowy o świadczenie usługi (art. 6 ust. 1 lit. b RODO).
Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
Okres przetwarzania danych trwa przez okres niezbędny do nawiązania i prowadzenia kontaktu lub przez okres wykonywania umowy, a po jej zakończeniu do czasu przedawnienia wzajemnych roszczeń Stron. W przypadku przetwarzania danych osobowych na zasadzie zgody - do czasu jej odwołaniaOkres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie wyżej wymienionego okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.
Newsletter - Użytkownik może samodzielnie zapisać się na newsletter, bezpośrednio za pomocą strony WWW lub bezpośrednio z systemu CRM. W obu przypadkach zbieramy dane: imię, nazwisko, adres mailowy, adres IP, z którego przyszło zapytania, datę i godzinę, unikalny identyfikator sesji oraz podstawowe informacje o przeglądarce.
podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO), która może być przez niego wycofana w każdym czasie, stosownie do treści § 4.
Zakończenie przetwarzania danych następuje po wycofaniu zgody przez użytkownika lub po upływie 24 miesięcy w przypadku zaprzestania jakiejkolwiek aktywności Użytkownika, od momentu ostatniej aktywności wobec newslettera. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie wyżej wymienionego okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.
Portale społecznościowe - Administrator przetwarza dane osobowe Użytkowników odwiedzających profile Administratora prowadzone w mediach społecznościowych (Linkedin, Facebook, Twitter, GitHub). Dane te są przetwarzane wyłącznie w związku z prowadzeniem profilu oraz na zasadach prywatności określonych we właściwych dokumentach dotyczących tych mediów społecznościowych.,
Podstawą prawną przetwarzania danych osobowych przez Administratora w tym celu jest jego uzasadniony interes (art. 6 ust. 1 lit. f RODO) polegający na promowaniu własnej marki.
Dodatkowo w zakresie danych, które nie są niezbędne do nawiązania kontaktu lub obsługi zapytania – podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
Okres przetwarzania danych uzależniony jest od istnienia uzasadnionego interesu administratora. Okres przetwarzania danych trwa do momentu utraty przez Administratora uzasadnionego interesu - nie więcej jednak niż 5 lat, a w przypadku zgody - do czasu jej odwołania. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie wyżej wymienionego okresu przetwarzania dane są nieodwracalnie usuwane lub zanonimizowane. Należy pamiętać, że w przypadku portali społecznościowych, to właściciele tych portali również są administratorami danych i mają własne regulaminy dotyczące przetwarzania danych, z którymi należy się zapoznać. YetiForce nie ponosi odpowiedzialności za sposób przetwarzania danych przez określone wyżej podmioty.
Rejestracja systemu YetiForce oraz rejestracja produktów - administrator przetwarza dane z systemów CRM, które za pomocą API są przesyłane automatycznie z systemu użytkownika do systemu Administratora. W przypadku systemów pracujących offline [bez dostępu do internetu] Administrator przetwarza dane podane poniżej na podstawie korespondencji mailowej pomiędzy użytkownikiem a administratorem. Poniżej lista przetwarzanych danych:
Rejestracja systemu: wersja systemu, app id, crm id, domyślny język, strefa czasowa, wielkość firmy, dostawca, nazwa firmy / osoby, tax id, dane adresowe, firmowa strona www, linki do social media.
Rejestracja produktu: wersja systemu, app id, crm id, dostawca, wielkość firmy, data wysyłki, czas rejestracji, status rejestracji, klucz systemu, data ostatniego błędu, komunikat ostatniego błędu, lista wykupionych produktów.
Podstawą prawną przetwarzania danych osobowych przez Administratora w tym celu jest umowa zawarta z Użytkownikiem przy instalacji systemu. Dodatkowo w zakresie danych, które nie są niezbędne i nie wynikają bezpośrednio z umowy podstawą prawną przetwarzania jest zgoda Użytkownika (art. 6 ust. 1 lit. a RODO).
Okres przetwarzania danych wynosi 6lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie wyżej wymienionego okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.
Dzienniki serwerów i aplikacji - [zapytania przychodzące i wychodzące] oraz logi serwerów i aplikacji są przechowywane w celu ewentualnego ustalenia i dochodzenia roszczeń lub obrony przed nimi. Dane gromadzone w dziennikach zawierają: adres IP, datę i godzinę, żądany adres URL, informacje o przeglądarce oraz unikalny identyfikator,
Podstawą prawną przetwarzania jest uzasadniony interes Administratora (art. 6 ust.1 lit f RODO) polegający na ochronie jego praw w wypadku skierowania wobec niego roszczeń.
Okres przetwarzania danych uzależniony jest od istnienia uzasadnionego interesu administratora. Okres przetwarzania danych trwa do momentu utraty przez Administratora uzasadnionego interesu - nie więcej jednak niż 5 lat. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia i dochodzenia ewentualnych roszczeń lub obrony przed nimi, a po tym czasie jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie wyżej wymienionego okresu przetwarzania dane są nieodwracalnie usuwane lub anonimizowane.
§3 PLIKI COOKIES
Pliki cookies
Strona YetiForce, podobnie jak niemal wszystkie inne strony internetowe, wykorzystuje pliki cookies, stanowiące niewielkie informacje tekstowe, przechowywane na urządzeniu końcowym Użytkownika (np. komputerze, tablecie, smartfonie), które mogą być odczytywane przez system teleinformatyczny Administratora (cookies własne) lub system teleinformatyczny podmiotów trzecich (cookies podmiotów trzecich).
Pliki cookies są wykorzystywane, aby zapewnić odpowiednie wyświetlanie strony internetowej, jak również, aby dostosować treść do wyborów Użytkownika mających techniczne znaczenie dla działania strony internetowej, np. wybranego języka oraz aby zapamiętać czy wyrażono zgodę na wyświetlanie niektórych treści.
Pliki cookies podstawowe są instalowane, jeśli Użytkownik wyrazi zgodę za pomocą ustawień oprogramowania zainstalowanego na swoim urządzeniu elektronicznym. W ramach plików cookies podstawowych wyróżniamy cookies techniczne i analityczne.
Pliki cookies techniczne zapewniają odpowiednie działanie strony.
Pliki cookies analityczne służą mierzeniu efektywności działań marketingowych bez identyfikacji danych osobowych oraz ulepszaniu funkcjonowania strony internetowej. Dzięki cookies analitycznym możliwe jest badanie statystki dotyczącej ruchu na stronie oraz sprawdzaniu źródła ruchu, jak również wykrywanie nadużyć, jak np. działanie botów. Pliki cookies sesyjne pozostają na urządzeniu Użytkownika aż do opuszczenia strony internetowej lub wyłączenia oprogramowania (przeglądarki internetowej).
Pliki cookies stałe pozostają na urządzeniu Użytkownika przez czas określony w parametrach pliku albo do momentu ich ręcznego usunięcia przez Użytkownika.
Zgoda na cookies.
Podczas pierwszej wizyty na stronie Użytkownikowi wyświetlana jest informacja na temat stosowania plików cookies wraz z pytaniem o zgodę na wykorzystywanie tych plików. Dzięki specjalnemu narzędziu Użytkownik ma możliwość zarządzania plikami cookies z poziomu strony, wyłączając poszczególne pliki cookies.
Ponadto Użytkownik zawsze może zmienić ustawienia cookies z poziomu swojej przeglądarki albo w ogóle usunąć pliki cookies. Przeglądarki zarządzają ustawieniami cookies na różne sposoby. W menu pomocniczym przeglądarki internetowej Użytkownik może znaleźć wyjaśnienia dotyczące zmiany ustawień cookies.
Należy pamiętać, że wyłączenie lub ograniczenie obsługi plików cookies może powodować trudności w korzystaniu ze strony YetiForce, jak również z wielu innych stron internetowych, które stosują cookies.
§4 PRAWA WŁAŚCICIELA DANYCH
Użytkownikowi przysługuje prawo: dostępu do treści danych oraz żądania ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo wniesienia sprzeciwu względem przetwarzania danych, a także prawo wniesienia skargi do organu nadzorczego zajmującego się ochroną danych osobowych(Prezes Urzędu Ochrony Danych Osobowych).
W zakresie, w jakim dane Użytkownika przetwarzane są na podstawie zgody, można ją wycofać w dowolnym momencie, kontaktując się z Administratorem, co nie wpływa na zgodność z prawem przetwarzania danych przed jej wycofaniem.
Użytkownik ma prawo zgłoszenia sprzeciwu względem przetwarzania danych dla celów marketingowych, jeśli przetwarzanie odbywa się w związku z uzasadnionym interesem Administratora, a także – z przyczyn związanych ze szczególną sytuacją Użytkownika – w innych przypadkach, gdy podstawą prawną przetwarzania danych jest uzasadniony interes Administratora (np. w związku z realizacją celów analitycznych i statystycznych).
Jeżeli chcesz skorzystać ze swoich praw wyślij maila na adres
§5 BEZPIECZEŃSTWO DANYCH OSOBOWYCH
Administrator na bieżąco prowadzi analizę ryzyka w celu zapewnienia, że dane osobowe przetwarzane są przez niego w sposób bezpieczny – zapewniający przede wszystkim, że dostęp do danych mają jedynie osoby upoważnione i jedynie w zakresie, w jakim jest to niezbędne ze względu na wykonywane przez nie zadania. Administrator dba o to, by wszystkie operacje na danych osobowych były rejestrowane i dokonywane jedynie przez uprawnionych pracowników i współpracowników.
Administrator podejmuje wszelkie niezbędne działania, by także jego podwykonawcy i inne podmioty współpracujące dawały gwarancję stosowania odpowiednich środków bezpieczeństwa w każdym przypadku, gdy przetwarzają dane osobowe na zlecenie Administratora.
§6 WYKAZ ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH
Poniższy wykaz środków technicznych i organizacyjnych może się odnosić albo do części organizacji albo do całości, w zależności od zapotrzebowania oraz danych które są przetwarzane i chronione. Dla przykładu: "Wdrożono procedury zarządzania ryzykiem [ISO 27005]" odnosi się tylko do serwerowni, w której są przetwarzane dane. Poniżej pełen wykaz:
Wdrożono system zarządzania bezpieczeństwem
Wdrożono regularne audyty bezpieczeństwa
Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów)
Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów)
Audyty wewnętrzne, przeprowadzane przez wewnętrznych lub zewnętrznych audytorów
Audyty techniczne (testy penetracyjne, skany podatności, przeglądy kodu) przeprowadzane przez wewnętrznych lub zewnętrznych audytorów; Audyty aktywności osób trzecich, przeprowadzane przez osobę odpowiedzialną za zarządzanie osobami trzecimi
Audyty centrów danych, przeprowadzane przez audytorów wewnętrznych
Audyty bezpieczeństwa weryfikujące infrastrukturę i sieć wykonywane przez Administratora danych
Wdrożono procedury zarządzania ryzykiem [ISO 27005]
Wdrożono procedury zarządzania zmianami
Role i zakresy odpowiedzialności są jasno zdefiniowane;
Określone zostały kryteria klasyfikacji służące identyfikacji etapów, jakie należy realizować podczas wprowadzania zmiany;
Stosowane są zasady zarządzania priorytetami; realizowana jest analiza ryzyka związanego ze zmianami (jeśli ryzyko zostaje zidentyfikowane, Security Manager oraz Risk Manager biorą udział w zatwierdzaniu zmiany);
Przeprowadzane są ewentualnie testy penetracyjne (jeśli dotyczy); zmiana jest planowana i programowana z klientami (jeśli dotyczy);
Wdrożenie jest realizowane stopniowo (1/10/100/1000) a, w przypadku ryzyka, przewidziana jest procedura powrotu do poprzedniego stanu;
Realizowany jest przegląd a posteriori poszczególnych zasobów, których dotyczy zmiana;
Wszystkie etapy są dokumentowane w narzędziu do zarządzania zmianami.
Wdrożono wewnętrzne procedury dla programistów: wprowadzono stosowne, udokumentowane procedury. Opisują one zasady bezpiecznego rozwoju, środki „privacy by design” oraz politykę przeglądu kodu (wykrywanie podatności, obsługa błędów, zarządzanie dostępem i rekordami, bezpieczeństwo przechowywania i komunikacji).
Monitorowanie usług oraz infrastruktury;
Wykrywanie awarii związanych z produkcją i bezpieczeństwem;
Kontrola funkcji krytycznych i wysyłanie komunikatów ostrzegawczych do systemu nadzoru;
Powiadomienie osób odpowiedzialnych i wszczęcie odpowiednich procedur;
Zagwarantowanie ciągłości działania usługi w odniesieniu do działań zautomatyzowanych;
Zapewnienie integralności monitorowanych zasobów.
Wdrożony został proces zarządzania awariami pozwalający zapobiegać, wykrywać i radzić sobie z awariami mającymi miejsce w infrastrukturach zarządzania usługą, jak i w ramach samej usługi.
Dokumentację kwalifikacji zdarzeń z zakresu bezpieczeństwa;
Obsługę zdarzeń z zakresu bezpieczeństwa;
Ćwiczenia symulacyjne dla komórki kryzysowej;
Testy planu reakcji na awarie;
Komunikację z klientami realizowaną przez komórkę kryzysową.
Wdrożono proces zarządzania podatnościami:
Informacyjnym stronom WWW;
Ostrzeżeniom twórców i producentów wdrożonych rozwiązań;
Incydentom oraz obserwacjom przekazywanym przez zespoły eksploatacyjne, osoby trzecie lub klientów;
Regularnie przeprowadzanym wewnętrznym i zewnętrznym skanom podatności;
Audytom technicznym, jak również przeglądom kodu i konfiguracji.
Wdrożono proces i procedury zapewniające ciągłość działania infrastruktury (dostępność sprzętu, aplikacji i procesów eksploatacyjnych):
Wprowadzone zostały środki mające na celu przeciwdziałanie zagrożeniom naturalnym i środowiskowym:
Instalacja piorunochronów mających ograniczyć działanie fal elektromagnetycznych;
Lokalizacja pomieszczeń w strefach niezagrożonych powodzią i bez ryzyka sejsmicznego;
Instalacja zasilaczy awaryjnych (UPS) o stosownej pojemności oraz transformatorów zapasowych z automatycznym przełącznikiem zasilania;
Automatyczne przełączanie obciążenia na agregaty prądotwórcze o 24-godzinnej wytrzymałości;
Instalacja systemu chłodzenia serwerów za pomocą cieczy (98% sal serwerowych pozbawionych jest klimatyzatorów);
Instalacja jednostek do ogrzewania, wentylacji i klimatyzacji (system HVAC) w celu utrzymania stałej temperatury i poziomu wilgotności;
Zarządzanie systemem wykrywania pożarów (w centrach danych przeprowadzane są co 6 miesięcy ćwiczenia przeciwpożarowe).
Fizyczny dostęp do obiektów opiera się na ścisłej ochronie obwodowej, aktywnej już od strefy wejścia na teren. Każde pomieszczenie jest odpowiednio sklasyfikowane:
Strefy prywatne;
Biura dostępne dla wszystkich pracowników i dla zarejestrowanych odwiedzających;
Biura pod ścisłym nadzorem, do których dostęp mają tylko określone osoby;
Strefy, w których mieści się sprzęt centrów danych;
Strefy pod ścisłym nadzorem w centrach danych;
Strefy centrów danych, w których zlokalizowane są krytyczne usługi.
Wprowadzone zostały środki umożliwiające kontrolowanie dostępu do fizycznych obiektów
Polityka dotycząca praw dostępu;
Ściany (lub ich funkcjonalny ekwiwalent) pomiędzy poszczególnymi strefami;
Kamery zainstalowane w punktach wejścia i wyjścia z obiektu, a także w salach serwerowych;
Wejścia chronione, kontrolowane za pomocą czytników kart dostępu;
Bariery z wiązkami laserowymi na parkingach;
Czujniki ruchu;
Mechanizmy antywłamaniowe zainstalowane w punktach wejścia i wyjścia z centrów danych;
Mechanizmy wykrywania obecności (całodobowa ochrona fizyczna oraz monitoring);
Stałe centrum nadzoru, kontrolujące otwieranie i zamykanie drzwi.
Kontrola fizycznego dostępu opiera się na systemie kart dostępu. Każda karta połączona jest z konkretnym kontem, które z kolei powiązane jest z daną osobą. W ten sposób można zidentyfikować każdą osobę w pomieszczeniach i uwierzytelnić mechanizmy kontroli:
Każda osoba wchodząca do obiektów musi mieć kartę dostępu z zakodowanymi na niej danymi identyfikacyjnymi;
Tożsamość osoby musi być za każdym razem sprawdzona przed wydaniem karty dostępu;
W obiektach każda osoba musi nosić kartę w taki sposób, aby była ona widoczna;
Na kartach dostępu nie może figurować nazwisko jej posiadacza ani nazwa firmy;
Karta dostępu musi umożliwiać natychmiastową identyfikację kategorii osoby przebywającej na terenie (pracownik, osoba trzecia, dostęp tymczasowy, gość);
Karta dostępu jest dezaktywowana natychmiast po tym, gdy jej posiadacz traci prawo dostępu do obiektów;
Karta dostępu pracownika jest aktywowana na czas trwania umowy o pracę; w przypadku innych kategorii jest automatycznie dezaktywowana po określonym czasie;
Karta dostępu nieużywana przez okres trzech tygodni jest automatycznie dezaktywowana.
Zarządzenie dostępem do poszczególnych stref
Drzwi podłączone są do centralnego systemu zarządzania prawami dostępu;
Należy zbliżyć kartę do czytnika, aby drzwi zostały odblokowane;
Prawo dostępu danej osoby jest weryfikowane w momencie odczytu karty przez czytnik;
W przypadku awarii centralnego systemu zarządzania prawami dostępu uprawnienia skonfigurowane w momencie incydentu są ważne przez cały czas trwania zdarzenia;
Zamki drzwi są zabezpieczone przed przerwami w dostawie prądu i w takich sytuacjach pozostają zamknięte.
Klucze są przechowywane w scentralizowanych, osobnych dla każdego obiektu miejscach z ograniczonym dostępem, wyposażonych w depozytor;
Każdy klucz jest zidentyfikowany przy pomocy etykietki; prowadzony jest inwentarz kluczy;
Użycie każdego z kluczy jest śledzone i identyfikowalne za pomocą specjalnego mechanizmu lub papierowego dziennika;
Depozytor kluczy jest codziennie sprawdzany według inwentarza.
Każda śluza wyposażona jest w dwoje drzwi oraz ograniczony obszar pomiędzy punktami kontroli, co gwarantuje przejście tylko jednej osoby na raz;
Jedne drzwi otwierają się wyłącznie w momencie, gdy drugie są zamknięte (ang. mantrap);
Śluzy wykorzystują ten sam system kart dostępu, co pozostałe drzwi i działają na tych samych zasadach;
Mechanizmy wykrywające obecność sprawdzają, czy wewnątrz śluzy przebywa tylko jedna osoba (ang. anti-piggybacking);
System skonfigurowany jest w taki sposób, aby uniemożliwić użycie karty do kilkukrotnego wejścia lub wyjścia (ang. anti-passback);
Umieszczona w pobliżu śluzy kamera monitoruje wchodzące osoby.
Towary mogą być wprowadzane do centrów danych wyłącznie z wykorzystaniem przeznaczonych w tym celu stref:
Strefa dostaw jest skonfigurowana w taki sam sposób, jak śluza osobowa, różni się jedynie większą powierzchnią, brakiem kontroli objętości i ciężaru oraz faktem, że czytniki kart dostępu zainstalowane są tylko na zewnątrz;
Tylko towar przechodzi przez strefę dostaw, osoby muszą przejść przez śluzę osobową;
W strefie dostawy umieszczona jest kamera bez martwych kątów.
Zarządzanie fizycznym dostępem osób trzecich
Każda wizyta musi być zgłoszona z wyprzedzeniem;
Za osoby trzecie odpowiedzialny jest pracownik, który zawsze im towarzyszy;
Tożsamość każdej osoby sprawdzana jest przed wejściem na teren obiektu;
Każdej osobie trzeciej przydzielona zostaje na jeden dzień osobista karta dostępu, którą osoba ta musi zwrócić przed opuszczeniem obiektu;
Wszystkie osoby muszą nosić karty dostępu w taki sposób, aby były one widoczne;
Karty dostępu są automatycznie dezaktywowane po zakończeniu wizyty.
Podnoszenie świadomości i szkolenie pracowników
Zespoły pracownicze, których te kwestie dotyczą, zostają co roku odpowiednio przeszkolone;
Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące przeprowadzania audytów;
Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące usług technicznych;
W momencie zatrudnienia nowych pracowników organizowane jest szkolenie uwrażliwiające na kwestie związane z bezpieczeństwem systemu informacyjnego (SI);
Komunikaty związane z bezpieczeństwem są regularnie adresowane do wszystkich pracowników;
Organizowane są kampanie testowe w celu upewnienia się, że wszyscy pracownicy reagują w sposób adekwatny w sytuacji zagrożenia.
Kontrola logicznego dostępu do systemów informacyjnych
Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
Wszystkie uprawnienia są w miarę możliwości przypisywane do pełnionych ról, a nie indywidualnych osób;
Zarządzanie prawami dostępu oraz uprawnieniami przypisanymi do użytkownika lub systemu realizowane jest w oparciu o procedurę rejestracji, modyfikacji i anulacji, która to procedura obowiązuje menadżerów, wewnętrzny dział IT oraz dział HR;
Wszyscy pracownicy posługują się kontami imiennymi;
Sesje połączenia zawsze mają określony czas wygaśnięcia, który zależy od każdej aplikacji;
Tożsamość użytkowników jest weryfikowana przed każdą zmianą w metodach uwierzytelnienia;
W przypadku utraty hasła przez pracownika, tylko jego przełożony oraz Security Manager są uprawnieni do zresetowania hasła;
Konta użytkowników są automatycznie dezaktywowane, jeśli hasło nie zostanie odnowione po 90 dniach;
Używanie kont domyślnych, ogólnych i anonimowych jest zabronione;
Wdrożona zostaje rygorystyczna polityka dotycząca haseł;
Użytkownik nie wybiera sam swojego hasła, służy do tego generator haseł;
Minimalna długość hasła to 10 znaków alfanumerycznych;
Hasło musi być odnawiane z częstotliwością co 3 miesiące;
Przechowywanie haseł w niezaszyfrowanych plikach, przeglądarkach internetowych czy zapisywanie ich na papierze jest zabronione;
Obowiązkowe jest używanie lokalnego programu do zarządzania hasłami zatwierdzonego przez zespoły ds. bezpieczeństwa;
Każdy zdalny dostęp do systemu informacyjnego realizowany jest poprzez VPN wymagający wprowadzenia hasła znanego tylko użytkownikowi oraz klucza współdzielonego skonfigurowanego w stacji roboczej.
Zarządzanie dostępem personelu administracyjnego do platform produkcyjnych
Każdy dostęp personelu administracyjnego do systemu produkcyjnego odbywa się za pośrednictwem bastionu;
Administratorzy łączą się z bastionami przez SSH, używając pary indywidualnych i imiennych kluczy publicznych i prywatnych;
Połączenie z systemem docelowym jest realizowane albo przez współdzielone konto usługi albo przez konto imienne za pośrednictwem bastionów;
Korzystanie z kont domyślnych w systemach i urządzeniach jest zabronione;
Weryfikacja dwuetapowa, wraz z pełnym monitoringiem, obowiązkowa jest w przypadku zdalnych dostępów personelu administracyjnego oraz dostępów pracowników do wrażliwych obwodów;
Administratorzy, poza standardowym kontem użytkownika, posiadają konto dedykowane wyłącznie do zadań administracyjnych;
Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
Klucze SSH są chronione hasłem spełniającym wymagania polityki bezpieczeństwa;
We współpracy z odpowiednimi służbami prowadzony jest regularny przegląd uprawnień i dostępów.
Kontrola dostępu do Panelu
Hasło wybrane przez klienta musi spełniać kryteria złożoności określone w interfejsie użytkownika;
Na serwerach przechowywane są jedynie skróty haseł (ang. hash);
Serwerownia oferuje możliwość aktywacji w Panelu klienta weryfikacji dwuetapowej z wykorzystaniem systemu jednorazowych haseł (OTP) wysyłanych w wiadomościach SMS, aplikacji mobilnej lub kompatybilnego klucza U2F.
Klient może ograniczyć dostęp do swojego Panelu klienta tylko do wcześniej określonych adresów IP;
Tokeny dostępu do API mogą być używane przez okres ich ważności bez potrzeby poddawania ich dodatkowym kontrolom;
Wszystkie działania klientów w Panelu klienta lub API są rejestrowane;
Klient może oddzielić zadania techniczne i administracyjne związane z zarządzaniem usługami.
Bezpieczeństwo stanowisk pracy i bezpieczeństwo sprzętu mobilnego
Zabezpieczenie standardowych stanowisk roboczych
Automatyczne zarządzanie aktualizacjami;
Instalacja i aktualizacja programu antywirusowego oraz regularne skanowanie; • instalacja aplikacji pochodzących wyłącznie z zatwierdzonego katalogu;
Systematyczne szyfrowanie dysków twardych;
Brak uprawnień administracyjnych dla pracowników w odniesieniu do ich stanowisk roboczych;
Procedura postępowania względem potencjalnie zagrożonego stanowiska roboczego;
Standaryzacja sprzętu;
Procedura usuwania sesji oraz resetowania stanowisk roboczych po odejściu pracownika z firmy.
Zabezpieczanie urządzeń mobilnych
Obowiązkowa rejestracja urządzeń w centralnym systemie zarządzania przed łączeniem się z zasobami wewnętrznymi (WiFi, poczta e-mail, kalendarze, książki adresowe, etc.);
Weryfikacja polityki bezpieczeństwa zastosowanej w urządzeniu (kod do odblokowywania, czas, po którym następuje blokada, szyfrowanie przechowywanych treści) ;
Procedura zdalnego czyszczenia urządzeń w przypadku kradzieży lub zgubienia.
Bezpieczeństwo sieci
Prowadzenie inwentarza wewnątrz bazy zarządzania konfiguracjami;
Proces zabezpieczania systemu, zwany utwardzaniem (ang. hardening), z przewodnikami opisującymi parametry, które należy zmodyfikować w celu zapewnienia bezpiecznej konfiguracji;
Dostęp do funkcji administratora sprzętu jest ograniczony na podstawie list kontrolnych;
Wszystkie urządzenia administrowane są za pośrednictwem bastionu, zgodnie z zasadą najmniejszego uprzywilejowania;
Wszystkie ustawienia sprzętu sieciowego są zachowywane w kopiach zapasowych;
Logi są nieprzerwanie gromadzone, centralizowane i monitorowane przez zespół operacyjny zarządzający siecią;
Wdrażanie konfiguracji jest zautomatyzowane na podstawie zatwierdzonych szablonów.
Zarządzanie ciągłością działania
Wszystkie systemy oraz dane niezbędne do zapewnienia ciągłości usług, do rekonstrukcji systemu informacyjnego lub do przeprowadzenia analizy po zaistniałej awarii są zapisywane (pliki baz danych technicznych i administracyjnych, dzienniki aktywności, kody źródłowe aplikacji opracowanych wewnętrznie, ustawienia serwerów, aplikacji i sprzętu, itd.);
Częstotliwość, czas oraz sposoby przechowywania kopii zapasowych są zdefiniowane zgodnie z potrzebami każdego zapisanego zasobu; • proces tworzenia kopii jest monitorowany i objęty systemem zarządzania ostrzeżeniami i błędami.
Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych
Kopie zapasowe i scentralizowane przechowywanie dzienników;
Wgląd od logów oraz ich analiza przez ograniczoną liczbę upoważnionych osób zgodnie z polityką przyznawania uprawnień i zarządzania dostępami;
Podział zadań pomiędzy zespołami odpowiedzialnymi za operacje wykonywane na infrastrukturze monitoringu oraz zespołami odpowiedzialnymi za eksploatację usługi. Poniżej lista działań objętych obowiązkiem prowadzenia rejestrów:
Logi serwerów kopii zapasowych, na których hostowane są dane klientów;
Logi maszyn zarządzających infrastrukturą klienta;
Logi maszyn do monitoringu infrastruktur;
Logi programów antywirusowych zainstalowanych na wszystkich maszynach;
Kontrola integralności logów i systemów, jeśli dotyczy;
Zadania i zdarzenia realizowane przez klienta w jego infrastrukturze;
Logi i alerty o wykryciu włamania do sieci, jeśli dotyczy;
Logi urządzeń sieciowych;
Logi infrastruktury kamer monitorujących;
Logi maszyn administratorów;
Logi serwerów czasu;
Logi czytników kart dostępu;
Logi bastionów.
§7 ZMIANY POLITYKI PRYWATNOŚCI
Pytania i zastrzeżenia dotyczące niniejszej Polityki prywatności mogą być przez Państwa zadane pod adresem:
Polityka prywatności jest na bieżąco weryfikowana i w razie potrzeby aktualizowana. Aktualna wersja została przyjęta i obowiązuje od 2024-03-01.
YetiForce S.A.
Al. Jana Pawła II 22,
00-133 Warszawa, Polska
NIP: 118-000-24-25
KRS: 0000940956
REGON: 008163492
©2024 YETIFORCE. ALL RIGHTS RESERVED.