Технически и организационни мерки и политики за съхранение на данни от страна на ОТДО Консулт
A. Общо описание на системата
Данните се обработват чрез продукти на Microsoft – Word, Excel. Данните се обработват на сървър на изпълнителя и се предават посредством криптографски протокол като HTTPS, SFTP или FTPS за сигурно прехвърляне |
Б. Технически и организационни мерки
Предприетите мерки се описват подробно, отбележете вярното в съответното квадратче. Ако са налице допълнителни документации, те се прилагат.
Б.1. Поверителност
Б.1.1. Контрол на достъпа
Достъпът (в смисъл на достъп до помещенията) на неоторизирани лица до съоръженията, с които се обработват и използват лични данни, следва да се забрани.
Предприети мерки за контрол на достъпа от страната на сървъра | |
1.0 | Записват ли се физически данните на Възложителя на използваните от Вас или по Ваша възложение сървъри? ☐ да x не |
Ако 1.0 е не: В този случай не трябва да отговаряте на въпроси1.1 до 1.29. Моля преминете директно на въпрос 1.30! Също така отпадат въпроси 7.1 до 7.20. | |
1.1 | Посочете моля точния адрес на местоположението на сървърното помещение / изчислителния център (ИЦ). Адрес на местоположението на сървъра: Кликнете тук, за да въведете текст. |
1.2 | Разпределени ли са личните данни на Възложителя между няколко сървъра на различни места / изчислителни центрове (например Backup Server/ използване на облачни (Cloud) услуги)? ☐ да ☐ не |
1.3 | Ако 1.2 е да: Моля въведете съответните данни и за останалите сървъри. Други местоположения на сървъри: Кликнете тук, за да въведете текст. |
1.4 | Валидни ли са следващите данни за мерките за контрол на достъпа за всички използвани местоположения на сървъри / ИЦ? ☐ да ☐ не |
1.5 | Ако 1.4 е не: Моля отговорете на въпроси 1.6 до 1.29 и 7.1 до 7.20 за допълнителните местоположения на ИЦ- / сървъри. |
1.6 | Сървърът / ИЦ от Вас (Изпълнител) ли се експлоатира или от доставчик на услуги / подизпълнител? ☐ Изпълнител ☐ Доставчик на услуги |
1.7 | Доколкото сървърът се експлоатира от подизпълнител, посочете името и седалището на доставчика на услуги Кликнете тук, за да въведете текст. |
1.8 | На кой етаж се намира сървърът, на който се съхраняват личните данни на Възложителя? ☐ партер ☐ сутерен моля въведете номера на етажа горен етаж /над партера/ |
1.9 | Сървърното помещение без прозорци ли е? ☐ да ☐ не |
1.10 | Ако 1.9 е не: Как са защитени прозорците от взлом? ☐ с решетка ☐ с аларма ☐ заключващи се ☐ изобщо не са ☐ Друго: моля въведете |
1.11 | Сървърното помещение защитено ли е с алармена система с известяване при проникване (АСИ)? ☐ да ☐ не |
1.12 | Ако 1.11 е да: Кой бива информиран, ако се задейства АСИ? Възможни са няколко отговора едновременно! ☐ Наета охрана ☐ Администратор ☐ Ръководител IT ☐ Друго: моля въведете |
1.13 | Снабдено ли е сървърното помещение с електронна заключваща система? ☐ да ☐ не |
1.14 | Ако 1.13 е да: Каква техника за достъп се използва? Възможни са няколко отговора едновременно! ☐ Радиочестотна идентификация (RFID) ☐ ПИН-код ☐ Биометрия ☐ Друго: моля въведете |
1.15 | Ако 1.13 е да: Техниките за достъп персонално ли са издадени / персонифицирани ли са? ☐ да ☐ не |
1.16 | Ако 1.13 е да: Съхраняват / протоколират ли се достъпите до помещението в системата за достъп? ☐ да, както успешните / положителните, така и неуспешните опити за достъп ☐ да, но само успешните / положителните достъпи ☐ не, само се освобождава или не се освобождава ключалката |
1.17 | Ако 1.16 е да: За какъв период от време приблизително се съхраняват данните за достъпа? моля въведете броя на дните дни |
1.18 | Има ли механична ключалка? ☐ да ☐ не |
1.19 | Ако 1.18 е да: Колко ключа има за сървърното помещение и къде се съхраняват те. Брой ключове: Брой ключове Място на съхранение: въведете мястото на съхранение |
1.20 | Ако 1.18 е да: Протоколира ли се предаването на ключове? ☐ да ☐ не |
1.21 | Ако 1.18 е да: Как се протоколира и кой предава ключовете? ☐ Книга на ключовете Място на предаване: моля въведете мястото на предаване |
1.22 | Колко лица имат достъп до сървърното помещение и какви функции притежават те? Брой на лицата: моля въведете броя на лицата Функция в предприятието: моля въведете в последователен ред функцията в предприятието |
1.23 | Има ли видеонаблюдение на сървърното помещение? ☐ да ☐ не |
1.24 | Ако 1.23 е да: За какъв период от време се съхраняват видеоматериалите? моля въведете стойност в дни дни |
1.25 | По какъв начин е регулиран достъпът на външни лица до сървърното помещение? (например: в случай на услуги по поддръжката / електротехници / почистващ персонал). ☐ няма система от правила ☐ достъп & престой само с придружител ☐ Друго: моля въведете |
1.26 | Протоколира ли се достъпът на външни лица до сървърното помещение? ☐ да ☐ не |
1.27 | От какъв материал е направена вратата за достъп до сървърното помещение? ☐ стомана / метал ☐ друг материал |
1.28 | Използва ли се сървърното помещение освен за същинските си функции и за други цели? ☐ да ☐ не |
1.29 | Ако 1.28 е да: Какво още се съхранява в сървърното помещение? ☐ телефонна централа ☐ складиране на офис консумативи ☐ складиране на досиета ☐ архив ☐ складиране на IT оборудване ☐ Друго: моля въведете |
Предприети мерки за контрол на достъпа от страната на клиента | |
1.30 | Моля посочете точния адрес на месторазположението на работните места (клиенти), от които има достъп до личните данни на Възложителя. гр.София, бул. Свети наум 66А |
1.31 | Офис сградата изцяло ли е оградена (ограда, стени или подобни). ☐ да х не |
1.32 | На кой етаж се намират офисните помещения? ☐ партер ☐ сутерен ☐ в цялата сграда Само на 6 горен етаж |
1.33 | Има ли портиерска служба / непрекъснато заета приемна зона към сградата, респективно към Вашите офиси? ☐ да х не |
1.34 | Води ли се книга на посетителите? ☐ да х не |
1.35 | Сградата / офисните помещения осигурени ли са чрез алармена система с известяване при проникване? Х да не |
1.36 | Ако 1.35 е да: Кой бива информиран, ако се задейства АСИ? ☐ наетата охрана ☐ администраторът ☐ ръководителят IT ☐ Друго: Охранителна фирма СОТ |
1.37 | Сградата / офис помещенията оборудвани ли са с електронна заключваща система? ☐ да, сградата и офис помещенията се заключват електронно x да, но само сградата, не и входа към офисите / към етажа с офисите. ☐ да, но само входа към офисите / към етажа с офисите, не и общо сградата. ☐ не |
1.38 | Ако е да 1.37: Каква техника на достъп се използва? Възможни са няколко отговора едновременно! ☐ Радиочестотна идентификация (RFID) ПИН-код ☐ Биометрия Друго: домофон |
1.39 | Ако 1.37 е да: Техниките за достъп персонално ли са издадени / персонифицирани ли са? ☐ да x не |
1.40 | Ако 1.37 е да: Съхраняват / протоколират ли се достъпите до помещението в системата за достъп? ☐ да, както успешните / положителните, така и неуспешните опити за достъп ☐ да, но само успешните / положителните достъпи x не, само се освобождава или не се освобождава ключалката |
1.41 | Ако 1.37 е да: За какъв период от време приблизително се съхраняват данните за достъпа? 365 дни |
1.42 | Има ли механична ключалка за сградата / офис помещенията? х да ☐ не |
1.43 | Протоколира ли се предаването на ключове и кой предава ключовете? ☐ не, предаването на ключове не се протоколира x да, предаването на ключове се документира чрез формуляр / книга на ключовете. Място на предаване на ключовете: назовете мястото на предаване: офис |
1.44 | Има ли видеонаблюдение на офис сградата, респективно на подстъпите към нея? ☐ да, без видео записи ☐ да, с видео записи х не |
1.45 | Ако 1.44 е „да, с видеозаписи“, за какъв период от време се съхраняват видео записите? моля въведете броя на дните дни |
1.46 | Има ли официална система от правила за достъп на външни лица (например посетители) до офис помещенията? ☐ не x да, външни лица се взимат на входа / от приемната от лице за контакт и могат да се движат в сградата само с придружител. |
Б.1.2. Контрол на потребителите, достъпа, носителите на информация и запаметяващи устройства
Трябва да се предотврати неоторизираното четене, копиране, променяне или заличаване на лични данни върху носители на информация или в системи за обработване на данни и да се гарантира, че оправомощените за използване на системата за обработване на данни имат достъп само до данните, съответстващи на правомощията им за достъп.
данни.
2.1 | Има ли персонална парола (PW) / потребителско име / защита за достъп до системите, с които се обработват личните данни на Възложителя? Х да ☐ не |
2.2 | Как се дават правата на достъп? ☐ по заявка (писмено или по електронна поща) до IT x заявката трябва да се одобри от висшестоящия ☐ Друг начин на оправомощаване: моля въведете |
2.3 | Има ли за администрирането на системите самостоятелен ADMIN-Account, който е различен от същинския му User-Account на Admin? ☐ да Х не, Admin винаги използва системите като регистриран ADMIN |
2.4 | Има ли в предприятието задължителни параметри на паролата? ☐ да x не |
2.5 | Какви са предписанията за паролата (PW): Дължина на PW: Х 8 символа или повече ☐ По-малко от 8 символа ☐ По-малко от 6 символа Какви видове символи трябва да се използват? ☐ Специални символи x Цифри Х Главни / малки букви Срок на валидност на PW: ☐ 90 дни или по-малко ☐ 180 дни или по-малко x повече от 180 дни |
2.6 | След колко цикъла най-рано даден потребител може отново да зададе същата парола (история на паролите)? няма предписание ☐ 1 – 2 цикъла ☐ 3 – 5 цикъла Х повече от 5 цикъла |
2.7 | IT системата принуждава ли потребителя да спази посочените по-горе предписания за PW? Х да ☐ не |
2.8 | Има ли настроена автоматична защитена с PW блокировка на екрана? x да, индивидуални ☐ не |
2.9 | Ако 2.8 е да: След колко минути на неактивност се активира заключването на екрана? 10 минути |
2.10 | Има ли задължителни предписания за ръчно заключване при напускане на работното място? ☐ да, компютърът трябва ръчно да се заключи Х не |
2.11 | Контролирате ли актуалността на правата за достъп? Х да, периодично ☐ не, само при конкретен повод |
2.12 | Какви мерки предприемате при загуба / забравяне / неоторизиран достъп на/до PW? Х Admin поставя нова PW, която потребителят трябва да промени след първа регистрация ☐ никакви |
2.13 | Има ли ограничение за опитите за регистрация с едно име на потребител / PW? Х да ☐ не |
2.14 | Ако 2.13 е да: За колко време достъпът е блокиран, ако е достигнат максималният брой неуспешни опити за регистрация? ☐ Достъпът остава блокиран до ръчната отмяна от IT ☐ Достъпът остава блокиран за известен период от 60 минути |
2.15 | Има ли диференцираща концепция на оправомощаване, която регулира достъпа на Вашите сътрудници до данните на Възложителя? x да, акаунти, екип ☐ не |
2.16 | Как се дават на Вашите сътрудници правата на достъп до данните на Възложителя? Възможни са няколко отговора едновременно! по заявка (писмено или по електронна поща) до IT x заявката трябва да се одобри от висшестоящия |
2.17 | Как се гарантира, че правата на достъп се актуализират / отнемат при промяна на отдела / функцията и / или при напускане на сътрудник? Възможни са няколко отговора едновременно! ☐ Персоналните промени се съобщават на IT отдела от отдел Персонал. ☐ Компетентните ръководители следва да съобщават на IT промените в персонала на своите отдели. x Правата на достъп се актуализират, респективно отнемат в съответствие с вида на промените / смените. ☐ Друго: моля въведете |
2.18 | Протоколират ли се даването / промените на права на достъп? ☐ да Х не |
2.19 | Съществуват ли отделни продуктивни и тестови системи в случай на нужда от техническа поддръжка на системите? ☐ да Х не |
2.20 | Как се отвеждат във Вашето предприятие ненужни повече носители на информация (USB стикове, твърди дискове, CD-ROMs, DVDs / дискети), върху които са записани лични данни на Възложителя? ☐ Физическо разрушаване от собствения IT. Х Физическо разрушаване от външен доставчик на услуги. ☐ Друго: моля въведете |
2.21 | Как се отвеждат във Вашето предприятие ненужни повече документи с лични данни на Възложителя (например разпечатки / досиета / кореспонденция)? ☐ Стара хартия / битови отпадъци x За целта има на разположение шредери, използването на които е задължително. ☐ Поставени са затворени контейнери за носители на информация, които се отвеждат от доставчик на услуги по отвеждане на отпадъци за съответстващо на защитата на лични данни унищожаване. ☐ Друго: моля въведете |
2.22 | Ако при точка 2.21 се използва външен доставчик на услуги: Сключили ли сте с него договор за обработка на личните данни на Възложителя? ☐ да ☐ не |
2.23 | Имат ли право Вашите сътрудници да използват собствени медии за съхраняване на данни (например USB стикове)? ☐ по принцип да ☐ да, но само след разрешение и проверка от IT. х не, всички необходими медии за съхраняване на данни се предоставят от предприятието. |
Б.2 Устойчивост.
Не е релевантно = Не се отнася за конкретната услуга поради естеството на обработване на данни.
6.1 | Налице ли е достатъчна мащабируемост на капацитетите? х да ☐ не |
6.2 | Извършва ли се разпределение на натоварването (Load-Balancing)? х да ☐ не |
Б.2.1 Възстановяване на устойчивостта
Трябва да се гарантира, че при аварии IT-системите могат да бъдат възстановени.
7.1 | Има ли във Вашето предприятие документирана концепция за аварийни случаи (например спешни мерки при дефекти на твърдите дискове / пожар / тотална загуба и др.)? ☐ да x не |
7.2 | Има ли във Вашето предприятие документирана концепция за архивиране (Backup)? x да ☐ не |
7.3 | Тества ли се периодично функционалността на Backup-възстановяването? x да ☐ не |
7.4 | Ако 7.2 е да: В състояние ли сте да представите на Възложителя при поискване Backup-концепцията? x да ☐ не |
7.5 | В какъв ритъм се прави във Вашето предприятие Backup на системите, на които се съхраняват личните данни на Възложителя? ☐ архивиране в реално време ☐ ежедневно ☐ един до три пъти седмично ☐ Друго: на 1 месец |
7.6 | На какви архивиращи медии се съхраняват Backups? x втори редундантен сървър ☐ архивиращи лентови носители ☐ твърди дискове ☐ Друго: моля въведете |
7.7 | Къде се съхраняват / изготвят Backups? x вторият редундантен сървър се намира на друго място ☐ сейф, огнеупорен, гарантиращ сигурност на документите ☐ обикновен сейф ☐ банков трезор ☐ заключен шкаф за документи / бюро ☐ в сървърното помещение ☐ в частно домакинство |
7.8 | Към 7.7: В случай на транспорт на Backups: Как се извършва той? ☐ Взимат се от сътрудник на IT / управителите / секретарката ☐ Взимат се от трети лица (например банкови сътрудници / охранителната фирма) ☐ Друго: моля въведете |
7.9 | Криптирани ли са данните на осигурителните копия / Backups? ☐ да x не |
7.10 | Мястото на съхранение намира ли се в отделен от гледна точка на първичния сървър пожарен сектор / част от сградата? x да ☐ не |
Б.3 Контрол на транспорта
Трябва да се гарантира, че при пренасяне на лични данни, както и при транспорт на носителите на информация са защитени поверителността и интегритетът на данните.
10.1 | Данните по електронен път ли се пренасят? х да ☐ не |
10.2 | Ако 10.1 е да, как се извършва пренасянето? ☐ криптиране на транспортните протоколи x използване на VPN-връзки ☐ друго: |
10.3 | Данните на хартиен носител ли се пренасят? ☐ да х не |
10.4 | Ако 10.3 е да, как се извършва пренасянето? ☐ запечатан плик ☐ пакет с проследяване на пратката ☐ друго: моля въведете |
Б.4 Периодични контроли
Трябва да се обезпечи, ефективността на мерките за гарантиране на сигурността на обработката периодично да се проверява, анализира и оценява.
Описание на мерките:
12.1 | Съществуват ли насоки и стандарти за периодична проверка на сигурността на обработка? ☐ да x не |
12.2 | Осъществяват ли се периодични проверки на сигурността /одити? ☐ да x не |
12.3 | Ако 12.3 е да, може ли да се предостави на Възложителя последният доклад от проверка? ☐ да x не |
Б.5. Съответстващо на указанията обработване
Б.5.1 Осигуряване на съответстващо на указанията обработване от собствените сътрудници
Трябва да се гарантира, че лицата, които имат достъп до лични данни, обработват личните данни само в съответствие с указанията на отговорните лица.
13.1 | Вашето предприятие назначило ли е в писмена форма квалифицирано длъжностно лице за защита на данните (ДЛЗД)? ☐ да, вътрешно ДЛЗД (сътрудник на Изпълнителя) х да, външно ДЛЗД ☐ не |
13.2 | Ако 13.1 е да: Посочете моля името и данните за контакт на Вашето ДЛЗД. Име: „Омниа” ЕООД – юридическа кантора моля въведете името Телефонен номер: 0888 5815111 E-Mail-адрес: zarev@omnia-bg.com |
13.3 | Ако 13.1 е да: Какви удостоверими квалификации притежава назначеното ДЛЗД? ☐ никакви ☐ удостоверимо участие в курс за длъжностни лица за защита на данните (например при ТЮФ, търговско-промишлена камара или подобни) x става дума за юрист ☐ става дума за информатик ☐ други квалификации: моля въведете |
13.3 | Към т. 13.1 и 13.3: Моля представете на Възложителя за контрол документа за назначаване и удостоверението за квалификация като копие / сканирано копие. ☐ Копие на документа за назначение беше предоставен на Възложителя ☐ Копие на удостоверението за квалификация беше предоставен на Възложителя |
13.4 | Вашите сътрудници, които обработват личните данни на Възложителя, обучават ли се по удостоверим начин по въпросите на законодателството за защита на личните данни? x да, присъствени обучения x да, eLearning ☐ брошури / дипляни ☐ не |
13.5 | Вашите сътрудници задължават ли се писмено за опазване на тайна във връзка с данните? x да ☐ не |
13.6 | Вашите сътрудници задължават ли се (доколкото е необходимо) писмено за опазване на тайна във връзка с информации от сферата на социалното право? x да ☐ не |
13.7 | Вашето предприятие проверявано или сертифицирано ли е поне веднъж от надзорен орган по защита на данните? ☐ да x не |
13.8 | Ако 13.7 е да: В състояние ли сте да представите на Възложителя документациите за проверка/сертифициране. ☐да ☐ не |
Б.5.2 Контрол на възложени поръчки
Трябва да се гарантира, че лични данни, чието обработване е възложено, могат да се обработват единствено в съответствие с указанията на Възложителя.
14.1 | Използвате ли за изпълнение на задълженията Ви от договора с Възложителя и други подизпълнители? x да ☐ не |
14.2 | Използваните от Вас подизпълнители представени ли са на Възложителя и одобрени ли са от него? x да ☐ не, до момента все още не |
14.3 | Ако 14.2 е не: Установете моля незабавно контакт с Възложителя, за да изясните дейността и идентичността на неодобрените до момента подизпълнители. |
14.4 | Ако 14.1 е да: По какъв начин осигурявате, Вашите подизпълнители да прилагат разпоредбите на този договор с Възложителя и засягащите ги указания и мерки за сигурност. Възможни са няколко отговора едновременно!!! ☐ В тази връзка липсва процес ☐ Техническите и организационни мерки за сигурност на подизпълнителите бяха вече проверени. Проверката е документирана. Документацията ще бъде предоставена на Възложителя. ☐ Техническите и организационни мерки за сигурност на подизпълнителите ще бъдат много скоро проверени. Проверката ще се документира. След това документацията ще бъде предоставена на Възложителя. x С подизпълнителите се сключват договори за обработването на данни по възложена поръчка. При поискване от Възложителя те могат да бъдат предоставени. ☐ Контрол на възложените поръчки все още не е осъществяван. |
В. Изтриване
В.1. Регулярно изтриване
С изтичане на срока на съхранение, респективно срока на изтриване, личните данни трябва да се изтрият в съответствие със защитата на данните, т.е. да бъдат напълно маскирани, респективно анонимизирани чрез отстраняване на идентифициращите връзки.
18.1 | Документирани ли са сроковете за изтриване за всяка категория данни? ☐ да x не |
18.2 | Как се извършва изтриването на данни? ☐ Сигурно изтриване чрез презаписване ☐ Унищожаване на носителите на информация ☐ Анонимизиране чрез пълно отстраняване на идентифициращите връзки ☐ Автоматизирани рутинни практики за изтриване x Ръчни практики за изтриване ☐ Друго: моля въведете |
В.2. Изпълнение на индивидуални искания за изтриване
Субектът на данни има право да изиска изтриването на засягащите го лични данни (индивидуално искане за изтриване).
19.1 | Могат ли данните на даден субект да бъдат изтрити при поискване? x да ☐ не |
Г. Способност за даване на информация
Субектът на данни има право да поиска информация за съхранените за него данни (искане на информация). В този случай следва да се предостави копие на личните данни, които са предмет на обработване.
20.1 | Може ли при поискване на даден субект на данни да се предостави копие на съхранените за него данни? x да ☐ не |