„Ferrero” tehniskie un organizatoriskie drošības pasākumi
1. VISPĀRĒJA KONTROLE
1.1. Uzņēmums „Ferrero” ir ieviesis pienācīgi dokumentētu personas datu aizsardzības politiku, kas regulāri tiek atjaunināta.
1.2. „Ferrero” personas datu aizsardzības procedūras ir oficiāli dokumentētas, ja nepieciešams, tās periodiski tiek pārskatītas un pamatotas ar objektīviem dokumentiem (piemēram, sanāksmju protokoliem, sarakstiem, IT žurnāliem), kuri var liecināt par pastāvīgi ievērotu uzcītību un piesardzību attiecībā uz apstrādes darbībām, kas veiktas personas datu aizsardzības nolūkā.
1.3. Uzņēmums „Ferrero” ir iecēlis gan atbildīgo par drošību, gan datu aizsardzības speciālistu (DAS), kuru pienākumi ir koordinēt un uzraudzīt drošības noteikumus un procedūras, kā arī datu aizsardzības atbilstību.
2. DATU SUBJEKTU TIESĪBAS (GDPR (VDAR) 15. UN TURPMĀKIE PANTI)
2.1. „Ferrero” darbinieki ir informēti par datu subjektu tiesībām un procedūru prasību ziņošanai datu pārzinim, lai datu subjekti izmantotu savas tiesības.
2.2. „Ferrero” uztur vispārēju reģistru, kurā tiek ierakstīti šie pieprasījumi, piemēram, izmantot piekļuves tiesības.
2.3. Uzņēmums „Ferrero” ir iecēlis personu/ izveidojis amatu (DAS) ar pienākumu sniegt datu pārzinim rakstiskus paskaidrojumus par datu subjektu pieprasījumiem.
2.4. „Ferrero” ir noteicis termiņu, kādā pieprasījumi ir jāiesniedz datu pārzinim.
2.5. „Ferrero” ir procedūra, kā rakstiski dokumentēt visus atteikumus datu subjektu pieprasījumiem izmantot savas tiesības, lai dzēstu vai ierobežotu apstrādi vai datu pārnesamību, un kā dalīties ar šo dokumentu ar datu pārzini.
3. PRIVĀTUMA POLITIKA (VDAR 13. PANTS) (kur var piemērot)
3.1. „Ferrero” darbinieki un citas personas, kas ir atbildīgas par privātuma politikas/personas datu aizsardzības paziņojumu sniegšanu datu subjektiem un/vai piekrišanas saņemšanu no datu subjektiem, arī datu pārziņa vārdā, ir apmācītas par personas datu aizsardzības noteikumiem.
3.2. Piedāvājot datu subjektiem privātuma politiku/personas datu aizsardzības paziņojumus, „Ferrero” darbinieki un citas atbildīgās personas datu subjektus spēj skaidri informēt par viņu tiesībām gan rakstiski, gan mutiski.
3.3. „Ferrero” reģistrē avotus, no kuriem iegūst personas datus.
4. PILNVAROTĀS PERSONAS (VDAR 29. PANTS)
4.1. Uzņēmums „Ferrero” ir oficiāli iecēlis pilnvarotās personas individuāli vai kā daļu no viendabīgas kategorijas.
4.2. Visas ieceltās pilnvarotās personas ir saņēmušas rakstiskus norādījumus par to, kā apstrādāt un aizsargāt personas datus.
4.3. Pilnvarotās personas saņem atbilstošu personas datu aizsardzības apmācību un izglītību. Apmācība tiek atbilstoši dokumentēta.
4.4. Pilnvarotajām personām piešķirtās piekļuves tiesības ir atbilstošas un tiek atjauninātas. Pilnvarotajām personām sniegtie norādījumi tiek atjaunināti. Tas tiek periodiski apstiprināts.
5. APMĀCĪBA
5.1. Pirms personas datu apstrādes uzsākšanas jaunie darbinieki tiek atbilstoši apmācīti.
5.2. Darbības, kas ir saistītas ar piekļuvi personas datiem, darbiniekiem tiek uzticētas pēc tam, kad tiek izvērtēta viņu integritāte un uzticamība.
5.3. Pilnvarotās personas regulāri saņem aktuālāko informāciju par drošības jautājumiem.
5.4. Norādījumus attiecībā uz drošību „Ferrero” izplata visām pilnvarotajām personām.
5.5. „Ferrero” uztur dokumentāciju, kas apliecina un norāda veiktos apmācību pasākumus.
6. INFORMĀCIJAS DROŠĪBAS POLITIKA
6.1. Uzņēmums „Ferrero” ir izveidojis kritēriju un politiku kopumu, kurā ir izklāstīta tā nostāja un atbalsts attiecībā uz informācijas drošību, kā arī drošības kontroles pasākumi attiecībā uz mobilajām ierīcēm un attālināto darbu (piemēram, strādāšanu no mājām, attālu piekļuvi un virtuālajām darba vietām).
6.2. Lai izvairītos no interešu konfliktiem un novērstu jebkādas neatbilstošas darbības, uzņēmums „Ferrero” ir definējis atsevišķus uzdevumus un pienākumus attiecībā uz informācijas drošību un piešķīris tās attiecīgām personām, lai nepieļautu interešu konfliktus un nepiemērotu rīcību.
6.3. „Ferrero” ar apstrādātāju(-iem) ir noslēdzis atbilstošus līgumus, kas tam (tiem) uzliek pienākumu īstenot piemērotus tehniskos un organizatoriskos drošības pasākumus attiecībā uz personas datu aizsardzību.
7. CILVĒKRESURSU DROŠĪBA
7.1. Pirms darbinieku, darbuzņēmējus un pagaidu darbinieku pieņemšanas darbā, meklēšanas vai atlasīšanas tiek iztirzāti informācijas drošības pienākumi (piemēram, sniedzot atbilstošu darba vakances aprakstu vai veicot potenciālo darbinieku sākotnējās pārbaudes) un tos iekļauj darba līgumā vai pakalpojumu līgumā (piemēram, darba noteikumu un nosacījumu sadaļā vai citos parakstītos līgumos, kuros definēti ar drošību saistītie uzdevumi un pienākumi, atrunājot atbilstības saistības u. c.).
7.2. Uzņēmumā „Ferrero” ir oficiāli ieviestas disciplināratbildības procedūras, kuras izmanto, ja notiek informācijas drošības incidenti, ko izraisījuši darbinieki, darbuzņēmēji un pagaidu darbinieki.
7.3. Kad persona pamet uzņēmumu „Ferrero” vai ja viņas uzdevumos un pienākumos ir ievērojamas pārmaiņas, tiek regulēti visi ar drošību saistītie aspekti, piemēram, nosakot pienākumu atdot atpakaļ visu ar uzņēmumu saistīto informāciju un uzņēmuma aprīkojumu, aktuālās piekļuves tiesības/pilnvaras, kā arī iesaistītajām personām tiek atgādināts par viņu pastāvīgajām saistībām attiecībā uz privātumu, intelektuālo īpašumu, spēkā paliekošajiem līguma noteikumiem u. c., tostarp no viņiem sagaidāmo ētisko rīcību.
7.4. Pilnvarotās personas saņem norādījumus par to, kā pirms atkārtotas datu nesēju izmantošanas izdzēst vai iznīcināt no tiem informāciju.
8. AKTĪVU PĀRVALDĪBA
8.1. Uzņēmumā „Ferrero” tiek veikta informācijas aktīvu uzskaite, un tajā norāda personas, kuras rīkojas ar šiem aktīviem, lai būtu iespējams nodrošināt pārskatatbildību par šo aktīvu drošību. Uzņēmums „Ferrero” ir noteicis aktīvu „pieļaujamas izmantošanas” politiku.
8.2. Informācijas nesēji tiek pārvaldīti, kontrolēti, transportēti un iznīcināti tā, lai netiktu apdraudēts uzglabātās informācijas saturs.
8.3. Uzņēmumā „Ferrero” ir pietiekams skaits piemēroti izvietotu, drošu konteineru, kas pieejami personām, kuru aizbildniecībā atrodas personas dati (pat tikai īslaicīgi) jebkādā formātā (papīra, elektroniskā vai citā).
8.4. Uzņēmumā „Ferrero” ir ieviesti kontroles pasākumi, lai nepieļautu situācijas, kad bez uzraudzības tiek atstāti dokumenti ar īpašas kategorijas personas datiem, dokumentus nododot pilnvarotām personām un šajā nolūkā tos izņemot no aizsargātajiem arhīviem.
8.5. Pilnvarotajām personām ir viegli piekļūt un izmantot papīra dokumentu smalcinātājus.
8.6. „Ferrero” ir ieviesis piemērotu politiku papīra dokumentu izmantošanai, uzglabāšanai un iznīcināšanai.
8.7. Papīra dokumenti, kas satur īpašas kategorijas personas datus, pirms atkārtotas izmantošanas tiek dzēsti vai, vēlams, iznīcināti.
9. PIEKĻUVES KONTROLE
9.1. „Ferrero” organizatoriskās prasības attiecībā uz piekļuves kontroli informācijas aktīviem ir skaidri dokumentētas piekļuves kontroles politikā/ procedūrā, un piekļuve „Ferrero” tīklam un savienojumiem ir ierobežota.
9.2. Lietotāji tiek informēti par savu atbildību attiecībā uz efektīvu piekļuves kontroles uzturēšanu, piemēram, izvēloties drošas paroles un saglabājot tās konfidenciālas.
9.3. Saskaņā ar „Ferrero” piekļuves kontroles politiku / procedūru, piekļuve informācijai ir ierobežota, piemēram, izmantojot drošas pieteikšanās sistēmas, paroļu pārvaldību, priviliģētu piekļuves kontroli un ierobežotu piekļuvi avota kodiem.
9.4. „Ferrero” kontrolē piekļuvi riska zonām. Pirms piekļūšanas šīm riska zonām, personas iegūst atļauju tām piekļūt.
9.5. Riska zonas ir aprīkotas ar elektroniskiem piekļuves kontroles rīkiem vai tiek citādi pienācīgi uzraudzītas.
9.6. „Ferrero” regulāri pārbauda piekļuves žurnālus riska zonām, piemēram, serveru telpām, lai atklātu nepamatotu piekļuvi.
10. FIZISKĀ UN VIDES DROŠĪBA
10.1. Uzņēmumā „Ferrero” ir skaidri noteikti fiziskie perimetri un barjeras ar fiziskiem piekļuves pasākumiem un iekšējām procedūrām, lai aizsargātu savas ēkas, birojus, telpas, iekraušanas/izkraušanas vietas u. c. pret nesankcionētu piekļuvi (aizsardzība pret ugunsgrēkiem, plūdiem, zemestrīcēm, bumbām u. c.).
10.2. „Ferrero” var apstiprināt, ka aprīkojums un/vai informācija netiek izmantoti ārpus uzņēmuma telpām bez iepriekšējas atļaujas, un tie tiek pienācīgi aizsargāti gan telpās, gan ārpus tām.
10.3. Informācijas nesējos esošā informācija pirms šo mediju iznīcināšanas vai atkārtotas izmantošanas tiek iznīcināta.
10.4. Jebkura bez uzraudzības atstāta ierīce ir aizsargāta, un šādam aprīkojumam ir paredzēta īpaša telpa un skaidra kontroles politika.
11. DARBĪBAS DROŠĪBA
11.1. Uzņēmumā ir ieviesti un īstenoti ļaunprogrammatūras kontroles pasākumi.
11.2. Saskaņā ar „Ferrero” dublēšanas politiku, tiek izveidoti un saglabātas rezerves kopijas.
11.3. Rezerves kopijas tiek pārbaudītas. Rezultāti tiek dokumentēti un reģistrēti.
12. AUTENTIFIKĀCIJA UN UZRAUDZĪŠANA
12.1. Laika uzskaites sistēmas ir sinhronizētas, lai nodrošinātu izsekošanas datu laika saskaņotību.
12.2. „Ferrero” ievēro „mazāko privilēģiju principu”, pilnvarotu piekļuvi lietotājiem piešķirot atkarībā no viņu darba uzdevumiem.
13. TEHNISKĀS IEVAINOJAMĪBAS PĀRVALDĪBA
13.1. „Ferrero” var apstiprināt, ka ir izstrādāts ievainojamības pārvaldības process, lai identificētu drošības nepilnības, izmantojot uzticamus ārējus avotus, lai iegūtu informāciju par ievainojamību, un drošības ievainojamībām piešķirot atbilstošo riska klasifikāciju.
13.2. Tiek novērtētas sistēmas sastāvdaļas un programmatūras atjauninājumi, kas saistīti ar zināmu ievainojamību koriģēšanu, lai noteiktu piemērojamību; ja atjauninājumi ir piemēroti, tos pirms instalēšanas testē un savlaicīgi ievieš.
13.3. Ir ieviesti noteikumi par lietotāju veikto programmatūras instalēšanu, lai nepieļautu jaunu ievainojamību izveidošanu.
13.4. „Ferrero” ir izveidojis un ieviesis iekļūšanas testēšanas procesu gan lietojumprogrammu līmenī, gan infrastruktūras līmenī.
14. SAZIŅAS DROŠĪBA
14.1. „Ferrero” ir ieviesis aizsardzības pasākumus, lai kontrolētu saziņu infrastruktūras iekšējās un ārējās robežās.
14.2. Uzņēmums „Ferrero” ir ieviesis politiku, procedūras un līgumus (piemēram, vienošanos par informācijas neizpaušanu, personas datu apstrādes līgumus), attiecībā uz informācijas nodošanu/saņemšanu no trešajām pusēm, tostarp, izmantojot elektronisko ziņojumapmaiņu.
14.3. Uzņēmumā „Ferrero” saziņai starp informācijas sistēmām un saziņai uzņēmuma tīklā ir izveidoti droši kanāli (piemēram, šifrēti protokoli, pievienojoties uzņēmuma tīklam un/vai VPN attāliem savienojumiem).
15. SISTĒMAS IEGĀDE, IZSTRĀDE UN UZTURĒŠANA
15.1. „Ferrero” analizē un nosaka drošības kontroles prasības, tostarp tīmekļa lietojumprogrammām un darījumiem.
15.2. Noteikumi, kas regulē programmatūras drošības/sistēmu izstrādi, ir definēti saskaņā ar „Ferrero” iekšējo politiku.
15.3. Izmaiņas pirms migrēšanas ražošanā pārvalda, ievieš, pārskata un apstiprina (ideālā gadījumā — izmantojot tam paredzētu rīku) atvēlētā vidē.
15.4. Izmaiņas lietojumprogrammas parametru konfigurācijā ir atļautas pirms ieviešanas un tiek apstiprinātas pēc to veikšanas.
15.5. Programmatūras pakotnes netiek mainītas, un tiek ievēroti sistēmas drošības inženiertehniskie principi.
15.6. Izstrādes, testēšanas un ražošanas vides ir atdalītas, lai izvairītos no nesankcionētas piekļuves vai izmaiņām ražošanas sistēmās un kodu krātuvēs.
15.7. Visi testu dati tiek rūpīgi atlasīti, ģenerēti un kontrolēti.
16. ATTIECĪBAS AR PIEGĀDĀTĀJIEM
16.1. Lai aizsargātu organizatorisko informāciju, kas ir pieejama IT ārpakalpojumu sniedzējiem un citiem ārējiem piegādātājiem (neatkarīgi no tā, vai tie ir apstrādātāji) visā piegādes ķēdē, „Ferrero” ir īstenojis politiku, procedūras, izpratni veicinošus pasākumus u. c. Tie ir atspoguļoti līgumos, kas ir parakstīti ar šīm iestādēm.
17. INFORMĀCIJAS DROŠĪBAS INCIDENTU PĀRVALDĪBA
17.1. „Ferrero” ir noteicis pienākumus un procedūras, lai saskaņoti un efektīvi pārvaldītu (ziņotu, vērtētu, reaģētu uz un mācītos no tiem) informācijas drošības pasākumus, incidentus un ievainojamības, tostarp personas datu aizsardzības pārkāpumus, laicīgi par tiem ziņojot datu pārzinim, uzraudzības iestādei vai datu subjektiem, kā arī, lai nepieciešamības gadījumā savāktu atbilstošus izmeklēšanas pierādījumus.
18. INFORMĀCIJAS DROŠĪBAS ASPEKTI ATTIECĪBĀ UZ UZŅĒMĒJDARBĪBAS NEPĀRTRAUKTĪBAS PĀRVALDĪBU
18.1. Uzņēmumā „Ferrero” ir paredzēta informācijas drošības nepārtrauktība, to ieviešot testējot un pārskatot kā neatņemamu sastāvdaļu uzņēmējdarbības nepārtrauktības sistēmā.
18.2. „Ferrero” ir pietiekami resursi, lai izpildītu pieejamības prasības.
19. ATBILSTĪBA
19.1. Uzņēmums „Ferrero” ir noteicis un dokumentējis informācijas drošības pienākumus pret iestādēm (tostarp uzraudzības iestādēm) un citām trešām personām, tostarp attiecībā uz intelektuālo īpašumu, uzņēmuma un citiem ierakstiem, privātumu un šifrēšanu.
Pēdējo reizi atjaunināts: 2020. gada februārī.
