fbpx

ТЕХНИЧЕСКИ И ОРГАНИЗАЦИОННИ МЕРКИ

Този документ съдържа техническите и организационни мерки във връзка с предоставяните Услуги от NPLOY.NET и е неразделна част от политиката за обработване на лични данни и Условията.

С цел защита на личните данни NPLOY.NET прилага технически и организационни мерки (по отношение на персонал, сгради, софтуер, хардуер, мрежи, криптиране, контрол, отчетност и мониторинг, проверки за уязвимост и др.) срещу неоторизиран или инцидентен достъп, загуба, промяна, разкриване или унищожаване на данни, съобразени с рисковете и въздействието.

Дата на актуализация: 20 май 2018

Работодателят е единствен Администратор на данните в своя акаунт. NPLOY.NET в ролята си на Обработващ ще третира данните на Работодателя като конфиденциални, като ще ги обработва само във връзка с и до степен, необходима за предоставяне на Услугите или други предвидени в Условията и Политиката случаи.

2.1. При обработката на данни NPLOY.NET ще прилага политики за сигурност, съобразени с изискванията на закона и добрите практики, с цел подсигуряване на поверителност, цялостност и наличност на данните.

2.2. За определяне на адекватното ниво на техническите и организационни мерки и допустимия вид защита NPLOY.NET извършва анализ на въздействието върху обработваните лични данни в ролята си на Обработващ.

2.3. С цел подсигуряване на ефективна защита политиките ще бъдат преглеждани регулярно, като най-малко веднъж годишно ще бъде извършван цялостен преглед.

2.4. Всички служители на NPLOY.NET са задължени да прилагат тези политики и практики при своята работа. Служителите се запознават своевременно с всяка промяна, като в допълнение са задължени да преглеждат всички политики минимум веднъж годишно.

2.5. NPLOY.NET ще извършва проверки при назначаване на нови служители в рамките на предвиденото в закона.

2.6. Служителите на NPLOY.NET ще преминават обучения, свързани със сигурността и за защита на личните данни, съобразено със заеманата от тях длъжност минимум веднъж годишно.

3.1. NPLOY.NET ще прилага документиран план за действие при инциденти, свързани със сигурността и в съответствие с изискванията за уведомяване съгласно Регламента.

3.2. NPLOY.NET ще разследва всички потенциални случаи на инциденти и ще приложи план за действие. В случай че Работодателят подозира наличие на уязвимост или инцидент със сигурността, е необходимо незабавно да уведоми NPLOY.NET.

3.3. NPLOY.NET ще уведоми незабавно (но не по-късно от 24 часа) в случай на установяване на нарушение на сигурността на информациятта на Работодателя, като ще предостави, доколкото е възможно, информация за инцидента и предприетите действия.

4.1. NPLOY.NET ще използва колокационни центрове с контрол на физическия достъп, включващ актуален списък на лицата с права за достъп и лог на посещенията.

4.2 NPLOY.NET ще използва колокационни центрове с подсигурено непрекъсваемо захранване, климатизация и защита срещу пожар, кражба и вандализъм.

4.3. NPLOY.NET ще контролира достъпа до своите офиси, като се допускат само оторизирани лица и лица с упълномощен придружител. NPLOY.NET ще прилага технически мерки като електронна система за контрол на достъпа, СОТ и др.

5.1. NPLOY.NET ще поддържа документирана архитектура на инфраструктурата. NPLOY.NET ще преглежда архитектурата, включително мерките за сигурност и ще прилага добри практики по отношение на сегментация и изолация. В случай на използване на безжични мрежи, те ще бъдат криптирани, ще използват надеждна оторизация и няма да имат пряк достъп до мрежи, директно свързани с Услугите. Мрежите, свързани с Услугите, няма да използват безжична технология.

5.2. NPLOY.NET ще съхранява данните на Работодателя логически отделени от данните на останалите Работодатели.

5.3. NPLOY.NET ще прилага криптиране при пренос на данни през публични мрежи, като използва технологии като HTTPS, Force-TLS за криптиран пренос на данни по имейл (приложимо, ако използвате имейл функции) и др.

5.4. NPLOY.NET ще прилага решения за управление на ключове, криптиране и псевдономизация на съхраняваните данни в зависимост от нивото на риск при съответната дейност.

5.5. При управление на достъпа на своите служители NPLOY.NET ще дава минималните необходими права за изпълнение на служебните задължения или конкретно възложена задача, налагаща съответния достъп, само за периода, за който е необходим.

5.6. NPLOY.NET ще прилага добри практики за използване на пароли, криптографски ключове, управление на сесиите, акаунти и др.

5.7 NPLOY.NET ще използва набор от софтуерни и хардуерни решения за защита и мониторинг и одитиране на сигурността на Услугите (Web Application Firewalls, Network Firewalls, Key management and encryption devices, SIEM, etc.) и на крайните устройства, като решения за защита от вируси и зловреден софтуер, актуализация на софтуера, криптиране и др.

5.8. В случай че е приложимо, NPLOY.NET ще санитизира физическите информационни носители, предназначени за повторна употреба или в случай че такава употреба не е планирана, ще ги унищожава, прилагайки добрите практики.

6.1. NPLOY.NET ще провежда автоматични и/или ръчни тестове за проникване и уязвимост периодично и при внедряване на нови или промяна на съществуващите приложения, системи и мрежи.

6.2. Минимум веднъж годишно и/или при съществени промени, NPLOY.NET ще провежда тестове за проникване и уязвимост на приложенията, системите и мрежите, включително чрез етично хакерство, извършвани от независима трета страна с адекватен опит и репутация.

6.3. NPLOY.NET ще поддържа политики и процедури за управление на риска при промени. Преди внедряване на промени в приложенията, системите и мрежите, те ще бъдат документирани в заявка за промяна, включваща описание, причина за промяната, график, оценка на риска и въздействието, очакван резултат, план за връщане назад и документирано одобрение от упълномощено лице.

6.4. NPLOY.NET ще поддържа списък на информационните системи, свързани с предоставяне на Услугите, и ще извършва мониторинг на състоянието им.

6.5. NPLOY.NET ще извършва периодична оценка на информационните системи, свързани с предоставяне на Услугите, по отношение на сигурност, непрекъснатост и наличност.

6.6. NPLOY.NET ще подсигури архивиране на данните на Работодателя, като гарантира, че минимум едно копие се съхранява отделно от основната система. Архивите ще бъдат съхранявани в криптиран вид. NPLOY.NET ще извършва тестове за тяхното състояние и възможността да бъдат възстановени.

6.7. Освен планирана актуализация на софтуера, приложенията, системите и мрежовите устройства, при необходимост NPLOY.NET ще прилага частични пачове след оценка на целесъобразността и риска.

7. В допълнение NPLOY.NET се задължава да приложи организационни и технически мерки съгласно препоръките и становищата на КЗЛД.

7.1. Физическа защита. NPLOY.NET се задължава да прилага технически и организационни мерки за физическа защита на личните данни, включващи в приложимите случаи:

  • определяне на зоните с контролиран достъп;
  • определяне на помещенията, в които ще се обработват лични данни;
  • определяне на помещенията, в които ще се разполагат елементите на комуникационно-информационните системи за обработване на лични данни;
  • определяне на организацията на физическия достъп;
  • определяне на режима на посещения;
  • определяне на използваните технически средства за физическа защита;
  • определяне на екип за реагиране при нарушения.

Като изпозва: ключалки; шкафове; метални каси; оборудване на зоните с контролиран достъп; оборудване на помещенията; устройства за контрол на физическия достъп; охрана и/или система за сигурност; средства за защита на периметъра; пожарогасителни средства; пожароизвестителни и пожарогасителни системи.

7.2. Персонал. NPLOY.NET се задължава да прилага организационни мерки спрямо физическите лица, които обработват лични данни под неговото ръководство, включващи:

  • познаване на нормативната уредба в областта на защитата на личните данни;
  • познаване на политиката и ръководствата за защита на личните данни;
  • знания за опасностите за обработваните лични данни;
  • относно споделяне на критична информация между персонала (например идентификатори, пароли за достъп и т.н.);
  • съгласие за поемане на задължение за неразпространение на личните данни;
  • обучение;
  • тренировка на персонала за реакция при събития, застрашаващи сигурността на данните.

(а) Да прилага мерки, гарантиращи достъпа до лични данни, само на лица, чиито служебни задължения или конкретно възложена задача налагат такъв достъп, при спазване на принципа „Необходимост да знае”.

(б) Да задължи лицата, преди да обработват лични данни, да са запознати с:

  • нормативната уредба в областта на защитата на личните данни;
  • инструкцията и ръководствата за защита на личните данни;
  • опасностите за обработваните лични данни.

(в) Се задължава лицата, които обработва лични данни под неговото ръководство, да подписват декларация за неразгласяване на лични данни, до които са получили достъп при и по повод изпълнение на задълженията си.

7.3. Документална. NPLOY.NET се задължава да прилага система от организационни мерки при обработването на лични данни на хартиен носител, включваща:

  • определяне на регистрите, които ще се поддържат на хартиен носител;
  • определяне на условията за обработване на лични данни;
  • регламентиране на достъпа до регистрите;
  • контрол на достъпа до регистрите;
  • определяне на срокове за съхранение;
  • правила за размножаване и разпространение;
  • процедури за унищожаване;
  • процедури за проверка и контрол на обработването.

7.4. Информационни системи и мрежи. NPLOY.NET се задължава да приложи технически и организационни мерки за защита на информационните системи и мрежи, включващи в приложимите случаи:

  • инструкция за защита на личните данни, ръководства по защита и стандартни операционни процедури;
  • определяне на роли и отговорности;
  • идентификация и автентификация;
  • управление на регистрите;
  • контроли на сесията;
  • външни връзки/свързване;
  • телекомуникации и отдалечен достъп;
  • наблюдение;
  • защита от вируси;
  • планиране на случайността/непредвидените случаи;
  • поддържане/експлоатация;
  • управление на конфигурацията;
  • копия/резервни копия за възстановяване;
  • носители на информация;
  • физическа среда/обкръжение;
  • персонална защита;
  • тренировка на персонала за реакция при събития, застрашаващи сигурността на данните;
  • определяне на срокове за съхранение на личните данни;
  • процедури за унищожаване/заличаване/изтриване на носители.

7.5. Криптографска защита. NPLOY.NET се задължава да прилага технически и организационни мерки за криптографска защита на личните данни, включващи в приложимите случаи:

  • стандартните криптографски възможности на операционните системи;
  • стандартните криптографски възможности на системите за управление на бази данни;
  • стандартните криптографски възможности на комуникационното оборудване;
  • системи за разпределение и управление на криптографските ключове;
  • нормативно определените системи за електронен подпис.