GDPR – adatfeldolgozási tevékenységeink  részletes technikai és szervezési feltételei

A Barré Technologies Kft. továbbiakban mint „ADATFELDOLGOZÓ" a GDPR Adatbiztonsági Alapelveinek megfelelő technikai és szervezeti biztonsági intézkedéseket vezetett be és tart fent ÜGYFELEI és ÜGYFELEINEK partnerei személyes adatainak (a továbbiakban "ÜGYFÉL Személyes Adatok") védelme érdekében; véletlen adatvesztés, megsemmisülés, módosítás, továbbá hozzájárulás nélküli közzététel, hozzáférés, valamint törvénytelen megsemmisítés ellen. ADATFELDOLGOZÓ tudomásul veszi, hogy az ÜGYFÉL vagy az ÜGYFÉL ügyfeleinek követelményei alapján, vagy az egyes specifikus feladatok elvégzése során az ÜGYFÉL az ADATFELDOLGOZÓ-tól további technikai és szervezeti intézkedéseket követelhet meg. Ezek feltételei külön megállapodást tehetnek szükségessé.

A továbbiakban ismertetett technikai és szervezeti intézkedések minden, az ADATFELDOLGOZÓ által az ÜGYFÉL számára biztosított Leszállítandó Termékre és Szolgáltatásra (a továbbiakban "Szerződött szolgáltatás(ok)") vonatkoznak, kivéve azon eseteket, ahol az ÜGYFÉL, vagy az ÜGYFÉL egy szerződéses partnere felelős a biztonságért és titoktartásért, vagy ahol ezt külön megállapodás szabályozza.

Adatvédelem

  • ADATFELDOLGOZÓ minden Szerződött szolgáltatására vonatkozóan olyan biztonsági előírásokat tervezett, melyek védik az ÜGYFÉL Személyes Adatait. AZ ÜGYFÉL minden személyes adat kizárólagos Adatkezelője és megbízhatja ADATFELDOLGOZÓT az ilyen személyes adatok feldolgozásával (a GDPR-ban leírt fogalmak szerint). ADATFELDOLGOZÓ minden ÜGYFÉL Személyes Adatot bizalmasként kezel, és nem osztja meg azt mással, csak saját alkalmazottjaival, alvállalkozóival és aladatfeldolgozóival, és csak olyan mértékben, ami szükséges a Szerződött szolgáltatás(ok) biztosításához, kivéve, ha erről külön megállapodás másképp nem rendelkezik.
  • ADATFELDOLGOZÓ biztonságosan megtisztít minden újrafelhasználásra szánt fizikai adathordozót az újrafelhasználás előtt, és megsemmisít minden olyan fizikai adathordozót, melyeket nem kíván újrahasznosítani.

Biztonsági szabályok

  • ADATFELDOLGOZÓ IT biztonsági szabályzatot és eljárásokat tart fent, melyek szerves részét képzik ADATFELDOLGOZÓ üzletmenetének, és kötelező érvényűek ADATFELDOLGOZÓ minden munkavállalójára és kiegészítő személyzetére nézve.
  • ADATFELDOLGOZÓ legalább évente felülvizsgálja az IT biztonsági szabályzatát, és amennyiben szükségesnek látja, módosítja annak érdekében, hogy biztosítani tudja az általa nyújtott Szerződött szolgáltatás(ok) és az azok során feldolgozott ÜGYFÉL Személyes Adatok védelmét.
  • ADATFELDOLGOZÓ szabványos, kötelező érvényű munkaalkalmassági elvárásokat fogalmaz meg és alkalmaz minden új belépővel szemben, beleértve a kiegészítő személyzetet, és kiterjeszti ezen követelményeket, minden, ADATFELDOLGOZÓ által 100%-ban birtokolt leányvállalatra. ADATFELDOLGOZÓ belső folyamatainak és eljárásainak részeként ezen követelményeket időszakosan felülvizsgálja. A követelmények kiterjednek legalább a büntetlen előélet, és a bizonyítható személyazonosság vizsgálatára, de egyéb, ADATFELDOLGOZÓ által szükségesnek vélt vizsgálatokat is tartalmazhat. ADATFELDOLGOZÓ felelős azért, hogy ezen követelmények ADATFELDOLGOZÓ minden telephelyén a helyi törvények által előírt és alkalmazható módon beépítésre kerüljenek a felvételi folyamatba.
  • ADATFELDOLGOZÓ munkavállalói biztonsági és titoktartási képzésen esnek át. Azon személyek, akik adminisztrátori jogosultságot kapnak a Szerződött szolgáltatás(ok) egyes komponenseihez, további testreszabott, a Szerződött szolgáltatás(ok) működtetése és támogatása során betöltött szerepkörüknek megfelelő szabályzati és folyamat oktatásban részesülnek, hogy a vonatkozó Szerződéses Dokumentumokban foglalt elvárásoknak/képesítéseknek megfeleljenek.

Biztonsági incidensek

  • ADATFELDOLGOZÓ dokumentált incidens kezelési szabályzatot tart fent és követ, mely megfelel a Szerződött szolgáltatás(ok)  adat megsértés esetére vonatkozó értesítési követelményeinek.
  • ADATFELDOLGOZÓ kivizsgálja mindazon, ÜGYFÉL Személyes Adatokhoz történő engedély nélküli hozzáféréseket, vagy azok engedély nélküli felhasználásait (biztonsági incidenseket), melyek tudomására jutnak, és a Szerződött szolgáltatás(ok) keretén belül esetenként megfelelő tervet dolgoz ki és hajt végre ezek kezelésére. AZ ÜGYFÉL technikai szolgáltatásigény feladásával értesítheti ADATFELDOLGOZÓT a gyanítható sérülékenységekről vagy incidensekről. Ezeket ADATFELDOLGOZÓ kiértékeli.
  • ADATFELDOLGOZÓ késedelem nélkül (és mindenképpen 72 órán belül) értesíti az ÜGYFELET a biztonsági incidensekről és a Személyes Adatok megsértéséről, amennyiben ADATFELDOLGOZÓ tudja, vagy megalapozottan gyanítja, hogy az érinti az ÜGYFELET. ADATFELDOLGOZÓ kielégíti az ÜGYFÉL azon észszerű adatigényléseit, melyek az ilyen biztonsági incidensekre vagy azok kezelésének, visszaállításának állapotára vonatkoznak.

Fizikai biztonság és ellenőrzött belépés

  • ADATFELDOLGOZÓ a Szerződött szolgáltatás(ok) biztosításához használt létesítményekbe történő engedély nélküli belépés elleni védekezés érdekében megfelelő fizikai belépési ellenőrzési pontokat – pl. sorompókat, kártyás beléptetőket, biztonsági kamerákat, recepciós pultokat – tart fenn.
  • ADATFELDOLGOZÓ visszavonja a belépési engedélyt, amennyiben a) a korábban jogosult munkavállaló munkaviszonya megszűnik b) vagy a korábban jogosult munkavállalónak már üzletileg nem indokolt a belépés. ADATFELDOLGOZÓ formális, dokumentált kiléptetési eljárást alkalmaz, amely egyebek mellett a belépési engedélyek azonnali visszavonásával, és a fizikai belépők visszavételével jár.
  • Minden személyt, aki ideiglenes belépési engedélyt kap, a létesítménye történő belépéskor regisztrálnak, a személyazonosságát ellenőrzik, és erre felhatalmazott belső munkavállalók kísérik.
  • ADATFELDOLGOZÓ óvintézkedéseket tesz a Szerződött szolgáltatás(oka)t kiszolgáló fizikai infrastruktúrát fenyegető környezeti veszélyek – természetes és mesterséges egyaránt – elleni védekezés érdekében, pl. magas külső hőmérséklet, tűz, áradás, páratartalom, lopás és rongálás ellen.

Hozzáférés, beavatkozás, átvitel és szétválasztás szabályozása

  • ADATFELDOLGOZÓ az általa felügyelt, a Szerződött szolgáltatás(ok) biztosításához dokumentált, biztonságos hálózati architektúrát tart fent. ADATFELDOLGOZÓ az implementáció előtt külön felülvizsgálja ezt a hálózati architektúrát – beleértve a rendszerekhez, alkalmazásokhoz és hálózati eszközökhöz történő jogosulatlan hozzáférést megelőző intézkedéseket – annak érdekében, hogy azok megfeleljenek a biztonságos szegmentációra, izolációra, és mélységi védekezésre vonatkozó szabványainak. ADATFELDOLGOZÓ vezeték nélküli hálózati technológiát is használhat a Szerződött szolgáltatás(ok) működtetéséhez és támogatásához. Amennyiben ilyen vezeték nélküli hálózat kerül felhasználásra, a hálózati forgalom titkosításra kerül, a hálózati hozzáférés authentikációt igényel, és nem biztosít közvetlen hozzáférést a Szerződött szolgáltatás(ok) komponenseinek hálózatához.
  • ADATFELDOLGOZÓ intézkedéseket foganatosít a Szolgáltatás biztosítása során, melyekkel logikailag leválasztja az ÜGYFÉL Személyes Adatokat, és meggátolja azokhoz a bejelentkezés nélküli hozzáférést.
  • ADATFELDOLGOZÓ a Szerződött szolgáltatás(ok) felé/felől, publikus hálózaton történő forgalmazás közben a biztonságos átvitel érdekében titkosítja – pl. HTTPS, SFTP vagy FTPS protokoll alkalmazásával – azon ÜGYFÉL Személyes Adatokat, melyeket nem publikus vagy bejelentkezés nélküli megtekintésre szántak.
  • Adott esetben ADATFELDOLGOZÓ titkosítva is tárolja az ÜGYFÉL Személyes Adatokat. Amennyiben a Szerződött szolgáltatás(ok) titkosító kulcsok kezelését is magában foglalja, ADATFELDOLGOZÓ biztonságos kulcsgenerálásra, -kiállításra, -terjesztésre, -tárolásra, -felülvizsgálatra, -visszavonásra, -mentésre, -megsemmisítésre, -hozzáférésre és használatra vonatkozó dokumentált eljárást is fenntart.
  • Amennyiben ADATFELDOLGOZÓNAK hozzáférésre van szüksége az ÜGYFÉL Személyes Adatokhoz, a hozzáférést a Szerződött szolgáltatás(ok) biztosításához és támogásához szükséges legkisebb mértékre korlátozza. A hozzáférés - beleértve az adminisztratív hozzáférést bármely kiszolgáló komponenshez (privilegizált hozzáférés) – személyhez kötött, szerepkör alapú, jóváhagyást igényel, és rendszeresen felülvizsgálatra kerül ADATFELDOLGOZÓ erre felhatalmazott személyzete által, szem előtt tartva a hatáskörök szétválasztásának elvét. ADATFELDOLGOZÓ intézkedéseket foganatosít a fölösleges/alvó privilegizált account-ok azonosítására, és azonnali hatállyal visszavonja a hozzáférést az ilyen account-ok tulajdonosainak távozásakor, vagy ADATFELDOLGOZÓ erre jogosult személyzetének – pl. az account tulajdonosának vezetője – kérésére.
  • A szabványos iparági gyakorlatnak megfelelően, ADATFELDOLGOZÓ által a Szerződött szolgáltatás(ok) keretén belül kezelt kiszolgáló komponensek által natívan támogatott mértékig ADATFELDOLGOZÓ technikai intézkedéseket foganatosít az inaktív bejelentkezések adott időn túli kijelentkeztetésére, az account-ok kizárására több sikertelen, sorozatos bejelentkezési kísérlet után, erős jelszavas vagy jelkódos authentikáció kikényszerítésére, valamint ezen jelszavak vagy jelkódok biztonságos továbbítására és tárolására.
  • ADATFELDOLGOZÓ monitorozza a privilegizált hozzáférést, és biztonsági információ- és eseménykezelést támogató intézkedéseket foganatosít a) engedély nélküli hozzáférések és tevékenységek azonosítása, b) megfelelő, időszerű reakció biztosítása, és c) ADATFELDOLGOZÓ szabályzatának történő megfelelést vizsgáló belső és külső auditok elvégzése érdekében.
  • A privilegizált hozzáféréseket és aktivitást tároló naplók ADATFELDOLGOZÓ szabályzata szerint megőrzésre kerülnek. ADATFELDOLGOZÓ intézkedéseket foganatosít a nevezett naplók illetéktelen hozzáférése, módosítása, véletlen vagy szándékos megsemmisítése ellen.
  • Az alkalmazott eszközök és operációs rendszerek natív képességeinek mértékéig ADATFELDOLGOZÓ számítástechnikai védelmet alkalmaz az ÜGYFÉL Személyes Adatokat tartalmazó rendszekre és minden végfelhasználói rendszerre, mely tartalmaz egyebek mellett végponti tűzfalakat, teljes lemeztitkosítást, szignatúra alapú vírusirtót és kártékony alkalmazás észlelőt és eltávolítót, melyek a) rendszeresen, központi infrastruktúra által kerülnek frissítésre b) központi helyre naplóznak, továbbá időalapú képernyőzárat és olyan végponti management megoldásokat, melyek biztonsági konfigurációra és frissítésekre vonatkozó követelmények teljesülését kényszerítik ki.

Szolgáltatás-, integritás- és elérhetőség szabályozása

  • ADATFELDOLGOZÓ minden, a Szerződött szolgáltatás(ok) biztosítása során felhasznált IT eszközéről eszköztárat vezet. ADATFELDOLGOZÓ folyamatosan monitorozza a Szerződött szolgáltatás(oka)t, és az azt kiszolgáló komponensek állapotát és elérhetőségét.
  • ADATFELDOLGOZÓ a Szerződött szolgáltatás(ok) hatálya alá eső, a Szerződött szolgáltatás(ok)hoz rendelt rendszerek, hálózatok és alkalmazások, továbbá kiszolgáló komponensek tekintetében intézkedéseket foganatosít azok javasolt biztonsági frissítésének felmérésére, tesztelésére és elvégzésére. Amennyiben egy javasolt biztonsági frissítés alkalmazható és szükséges, ADATFELDOLGOZÓ elvégzi a frissítést a vonatkozó súlyossági és kockázatkezelési irányelveknek megfelelően.