Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα Computer Studio A.E.

Η εταιρεία Computer Studio A.E. ως υπεύθυνος επεξεργασίας συνέταξε και ενέκρινε την κάτωθι Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα.

Η Πολιτική Ασφάλειας καθορίζει τη δέσμευση της Διοίκησης αναφορικά με την φυσική ασφάλεια, την ασφάλεια των πληροφοριακών συστημάτων και δικτύων και την προστασία των ΠΔ που τηρεί.

Στην παρούσα Πολιτική περιγράφονται οι στόχοι ασφάλειας των προσωπικών δεδομένων (ΠΔ) και τα κατάλληλα οργανωτικά και τεχνικά μέτρα και οι αντίστοιχες διαδικασίες που ακολουθούνται ώστε να επιτευχθούν αυτοί οι στόχοι.

Πεδίο εφαρμογής

Η παρούσα πολιτική ασφάλειας εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που συλλέγει ή/και επεξεργάζεται η Εταιρεία Computer Studio A.E. και τα διατηρεί είτε σε φυσικό είτε σε ηλεκτρονικό αρχείο.

Στόχοι

Η Εταιρεία Computer Studio A.E. έχει ως βασικούς στόχους για την ασφάλεια των Π.Δ. :

  • Την τήρηση των αρχών που πρέπει να διέπουν την επεξεργασία ΠΔ (νομιμότητα, αντικειμενικότητα, διαφάνεια, περιορισμός του σκοπού, ελαχιστοποίηση δεδομένων, ακρίβεια, περιορισμός του χρόνου αποθήκευσης, ακεραιότητα και εμπιστευτικότητα).
  • Τη διασφάλιση της εμπιστοσύνης των συνεργατών, των πελατών, των εργαζομένων και των προμηθευτών της εταιρείας Computer Studio A.E.
  • Τη διασφάλιση της συμμόρφωσης της με το ισχύον νομοθετικό πλαίσιο.

Η κυριότερη μέριμνα που λαμβάνεται από την εταιρεία Computer Studio A.E. αφορά στην δυνατότητα εξυπηρέτησης των πελατών της. Κατά συνέπεια, οποιοδήποτε συμβάν, εξωγενής ή ενδογενής δράση απειλεί τη συνέχεια της δραστηριότητας αυτής αποτελεί κίνδυνο για την εταιρεία, ο οποίος  και πρέπει να αντιμετωπιστεί. Για αυτό το λόγο έχει δημιουργηθεί ένα ολόκληρο πλαίσιο το οποίο διασφαλίζει την επιχειρηματική συνέχεια της επιχείρησης.

Μέτρα ασφάλειας

Για την επίτευξη των παραπάνω στόχων, η Εταιρεία Computer Studio A.E. καταρτίζει διαδικασίες που διέπουν τη λειτουργία του και λαμβάνει τα απαραίτητα οργανωτικά και τεχνικά μέτρα ασφάλειας.

Οργανωτικά μέτρα ασφάλειας για την Προστασία των Δεδομένων Προσωπικού Χαρακτήρα

  1. Σύσταση Ομάδας Ασφαλείας (Λιούλιας Δημήτριος – Τοκάνη Ιλιάνα)
  2. Οργάνωση / Διαχείριση προσωπικού – καθορισμός ρόλων και ευθυνών στα άτομα που εμπλέκονται στην επεξεργασία των ΠΔ
  3. Εξουσιοδοτημένη πρόσβαση στους χώρους που φυλάσσονται δεδομένα προσωπικού χαρακτήρα
  4. Διαχείριση πληροφοριακών αγαθών
  5. Εκπαίδευση προσωπικού στην ασφάλεια προσωπικών δεδομένων – ενημέρωση για τις επιμέρους πολιτικές/διαδικασίες της εταιρείας Computer Studio A.E.
  6. Διαχείριση των εκτελούντων την επεξεργασία
  7. Διαχείριση συμβάντων διαρροής προσωπικών δεδομένων
  8. Έλεγχος και επανεξέταση των μέτρων ασφάλειας

Τεχνικά μέτρα ασφάλειας

  1. Έλεγχος πρόσβασης (σηματοδότηση για το ποιος επιτρέπεται να εισέλθει στον κάθε χώρο)
  2. Αντίγραφα ασφαλείας (διατηρείται backup από τις καθημερινές λειτουργίες της επιχείρησης)
  3. Διαμόρφωση υπολογιστών (διαδικασία αυτόματης ύπνωσης μετά από πέντε λεπτά και απαγόρευση εισόδου σε συγκεκριμένες σελίδες που θεωρούνται επικίνδυνες)
  4. Αρχεία καταγραφής ενεργειών χρηστών και συμβάντων ασφαλείας (διατηρούνται log files από τις εφαρμογές που χρησιμοποιούνται για λογιστική και εμπορική παρακολούθηση, αλλά και από τους κοινούς φακέλους που χρησιμοποιούνται στην επιχείρηση)
  5. Ασφάλεια επικοινωνιών (χρήση ειδικού προγράμματος για απομακρυσμένη σύνδεση με υπολογιστές π.χ. teamviewer)
  6. Διαχείριση και προστασία εξωτερικών – αποσπώμενων μέσων αποθήκευσης (συγκεκριμένη εξουσιοδότηση για τη χρησιμοποίηση των θυρών usb, από τη Διοίκηση της εταιρείας)
  7. Ασφάλεια λογισμικού και εφαρμογών
  8. Διαχείριση αλλαγών (διαδικασία διαχείρισης και πραγματοποίησης αλλαγών)

Μέτρα φυσικής ασφάλειας

  1. Έλεγχος φυσικής πρόσβασης
  2. Περιβαλλοντική ασφάλεια – προστασία από φυσικές καταστροφές
  3. Προστασία από κακή χρήση των συστημάτων από τους υπαλλήλους της εταιρείας

Ρόλοι - αρμοδιότητες

Οι ρόλοι, οι αρμοδιότητες, τα καθήκοντα και οι ευθύνες που αφορούν την ασφάλεια των ΠΔ, όλων των εμπλεκόμενων στην επεξεργασία των ΠΔ είναι σαφώς καθορισμένες.

Διαδικασίες – επιμέρους πολίτικες

Προκειμένου να επιτυγχάνονται οι στόχοι ασφάλειας των προσωπικών δεδομένων καθορίζονται οι κάτωθι διαδικασίες – πολιτικές που πρέπει να ακολουθούνται από όλους τους εμπλεκόμενους στην επεξεργασία ΠΔ

Διαδικασίες Λειτουργίας

Ενδεικτικά παρατίθενται οι κάτωθι διαδικασίες λειτουργίας. Η λίστα προσαρμόζεται και εμπλουτίζεται σύμφωνα με την εταιρεία Computer Studio A.E.

  • Διαδικασία διαχείρισης αιτήματος υποκειμένου για άσκηση των δικαιωμάτων του
  • Διαδικασία αντιγράφων ασφαλείας
  • Διαδικασία διαχείρισης υλικού και λογισμικού πληροφοριακών συστημάτων
  • Διαδικασία διαχείρισης συμβάντων παραβίασης – διαρροής προσωπικών δεδομένων
  • Διαδικασία Ευθύνης της Διοίκησης
  • Διαδικασία διαχείρισης ΕΔΣ
  • Διαδικασία εσωτερικής επιθεώρησης
  • Διαδικασία αξιολόγησης προσωπικού και προμηθευτών
  • Διαδικασία διαχείρισης κινδύνων
  • Διαδικασία διαχείρισης αλλαγών
  • Διαδικασία διαχείρισης περιστατικών & αδυναμιών ασφαλείας

Πολιτικές που ακολουθεί η εταιρεία για την εύρυθμη λειτουργία της (συμμόρφωση με Γενικό Κανονισμό Προστασίας Δεδομένων αλλά και απαιτήσεων του ISO 27001)

Ενδεικτικά παρατίθενται οι κάτωθι πολιτικές που ακολουθεί η εταιρεία:

  • Γενική Πολιτική Ασφάλειας της Πληροφορίας
  • Πολιτική προστασίας προσωπικών δεδομένων εργαζομένων
  • Πολιτική ελέγχου πρόσβασης στα ΠΔ
  • Πολιτική εμπιστευτικότητας εργαζομένων
  • Πολιτική «καθαρού γραφείου» (clean desk)
  • Πολιτική οργάνωσης/αρχειοθέτησης/ταξινόμησης των ΠΔ
  • Πολιτική αποθήκευσης και καταστροφής των ΠΔ
  • Πολιτική διαχείρισης εταιρικών email
  • Πολιτική διαχείρισης αλλαγών στα πληροφοριακά συστήματα
  • Πολιτική πρόσληψης και εκπαίδευσης υπαλλήλων
  • Πολιτική ασφάλειας σε συμφωνίες με τους πελάτες
  • Πολιτική κατηγοριοποίησης και διαχείρισης περιουσιακών στοιχείων
  • Πολιτική διαχείρισης προσωπικού και δικαιωμάτων πρόσβασης
  • Πολιτική χρήσης φορητών μέσων
  • Πολιτική χρήσης διαδικτύου
  • Πολιτική διαχείρισης logging
  • Πολιτική εγκατάστασης Hardware/Software
  • Πολιτική ασφαλούς ανάπτυξης λογισμικού
  • Πολιτική ασφάλειας πληροφοριών για προμηθευτές – Εξ. Συνεργάτες
  • Πολιτική ελέγχου πρόσβασης σε πηγαίο κώδικα
  • Πολιτική χρήσης σταθμών εργασίας
  • Πολιτική κρυπτογραφικού ελέγχου και κλειδιών
  • Πολιτική Τεχνικού Τμήματος
  • Πολιτική προστασίας HW και Δεδομένων

Αναθεώρηση πολιτικής ασφαλείας

Η Πολιτική Ασφάλειας Δεδομένων Προσωπικού Χαρακτήρα ελέγχεται σε τακτική βάση (ετήσια) με τη διενέργεια εσωτερικών ελέγχων για την ορθή εφαρμογή της και την αποτίμηση της αποτελεσματικότητας των μέτρων ασφαλείας. Όταν από τον έλεγχο προκύπτει η ανάγκη αναθεώρησής της, ενημερώνονται όλοι οι εμπλεκόμενοι (διοίκηση, προσωπικό, συνεργάτες κ.α.) για την αναθεωρημένη Πολιτική.

Σε περιπτώσεις μη τήρησης της πολιτικής ασφάλειας από τους εμπλεκόμενους, ενημερώνεται η διοίκηση.

Αλλαγή Μεγέθους
Αντίθεση