Nasze zobowiązanie dotyczące bezpieczeństwa informacji

Nasze zaangażowanie w bezpieczeństwo informacji

W Salesupply dokładamy wszelkich starań, aby chronić Państwa dane za pomocą solidnych środków bezpieczeństwa i prywatności. Ten interaktywny przewodnik przedstawia nasze kompleksowe podejście do ochrony powierzonych nam informacji. Poniżej znajdują się nasze filary bezpieczeństwa.

Nasze ramy bezpieczeństwa

W tej sekcji opisano podstawowe zasady, zarządzanie i certyfikaty, które stanowią podstawę naszego Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Kliknij każdy temat, aby dowiedzieć się więcej.

Formalne polityki

Posiadamy jasno udokumentowaną Politykę Bezpieczeństwa Informacji, zatwierdzoną przez nasz Zarząd 8 stycznia 2021 r. Polityka ta jest dystrybuowana za pośrednictwem systemu internetowego i jest obowiązkowa dla wszystkich pracowników Salesupply. Będzie ona corocznie weryfikowana. Nasze umowy o przetwarzaniu danych (DPA) z klientami i podwykonawcami dodatkowo określają nasze zobowiązania w zakresie ochrony danych i prywatności.

Zarządzanie ryzykiem

Nasza Polityka Bezpieczeństwa Informacji stanowi, że zidentyfikowane ryzyka podlegają ocenie ryzyka, a plan oceny i postępowania z ryzykiem jest opracowywany w oparciu o wytyczne ISO 27005.

Dedykowana odpowiedzialność

Zarząd jest odpowiedzialny za Politykę Bezpieczeństwa Informacji. Menedżer ds. Bezpieczeństwa Informacji (CTO) jest odpowiedzialny za utrzymanie i koordynację Systemu Zarządzania Bezpieczeństwem Informacji (SZBI).

Certyfikaty

Nasze serwery są hostowane w centrach danych z certyfikatem ISO 27001, co zapewnia najwyższe standardy bezpieczeństwa fizycznego i środowiskowego.

Ochrona danych: środki organizacyjne

Nasi ludzie i procesy są fundamentem naszego bezpieczeństwa. Poniżej przedstawiamy szczegółowo kontrole organizacyjne, które wprowadziliśmy w celu ochrony Państwa danych przez cały ich cykl życia.

Weryfikacja pracowników i poufność

Wobec nowych pracowników przeprowadzane są kontrole przeszłości, w tym uzyskiwanie referencji zawodowych. Wszyscy pracownicy podpisują umowy o pracę, które zawierają klauzule poufności oraz potwierdzenie zapoznania się z Polityką Bezpieczeństwa Informacji. Cały personel jest odpowiedzialny za ochronę informacji i zgłaszanie incydentów bezpieczeństwa. Z naszymi partnerami stosowane są umowy o zachowaniu poufności (NDA).

Prawo do audytu

Nasze umowy o przetwarzaniu danych obejmują prawo do audytu dla Administratora (naszego klienta) w celu weryfikacji zgodności, po wcześniejszym rozsądnym powiadomieniu i bez dodatkowych kosztów, zgodnie z umową.

Zarządzanie aktywami i bezpieczna utylizacja

Wszystkie aktywa informacyjne są rejestrowane i mają przypisanych właścicieli. Bezpieczna utylizacja nośników odbywa się zgodnie z udokumentowanymi procedurami, aby zapobiec wyciekowi danych z wycofanych aktywów.

Zarządzanie incydentami

Nasza Polityka Bezpieczeństwa Informacji szczegółowo określa zarządzanie incydentami, w tym kanały zgłaszania, dochodzenie i komunikację z zainteresowanymi stronami. Nasze umowy o przetwarzaniu danych wymagają od Salesupply powiadomienia Administratora bez zbędnej zwłoki po uzyskaniu informacji o naruszeniu ochrony danych osobowych.

Należyta staranność dostawców

Nasze umowy o przetwarzaniu danych podkreślają wymóg, aby Salesupply zapewniło, że podwykonawcy przestrzegają przepisów o ochronie danych i poinformowało administratora o zamierzonych zmianach dotyczących podwykonawców. Polityka Bezpieczeństwa Informacji stanowi, że „dostawcy, którzy przetwarzają aktywa informacyjne Salesupply lub jej klientów, muszą przestrzegać wymagań tej polityki”.

Ciągłość działania biznesu

Wprowadzono plan ciągłości działania biznesu (BCP), aby zminimalizować zakłócenia w świadczeniu usług w przypadku nieoczekiwanych zdarzeń, zapewniając odporność i dostępność naszych usług.

Solidne techniczne środki bezpieczeństwa

Stosujemy wielowarstwowe podejście techniczne, aby chronić nasze systemy i Państwa dane przed zagrożeniami. Poniżej przedstawiono kluczowe kontrole techniczne, które wdrożyliśmy.

Bezpieczeństwo punktów końcowych

Pełne szyfrowanie dysków (BitLocker) jest zaimplementowane na wszystkich laptopach przy użyciu co najmniej AES-256. Wszystkie wymienne nośniki są wyłączone. Korzystanie z prywatnych urządzeń mobilnych do celów firmowych jest niedozwolone. Zwykli użytkownicy nie mają lokalnych praw administratora na swoich komputerach.

Bezpieczeństwo fizyczne

Biura Salesupply posiadają systemy bezpieczeństwa, systemy alarmowe, monitoring wizyjny i kontrolę dostępu za pomocą kart dostępu. Nasze centra danych z certyfikatem ISO 27001 posiadają fizyczne kontrole dostępu, monitoring i alarmy.

Bezpieczeństwo sieci

Zapory sieciowe kontrolują ruch sieciowy i blokują nieautoryzowany dostęp. Rozdzielenie środowisk programistycznych, testowych i produkcyjnych. Sieci bezprzewodowe zabezpieczone przy użyciu WPA2-Enterprise i kontrola dostępu do sieci (NAC).

Ochrona przed złośliwym oprogramowaniem

Zaawansowana ochrona przed złośliwym oprogramowaniem (antywirus, antyspyware) jest zainstalowana na wszystkich serwerach i punktach końcowych i jest stale aktualizowana.

Bezpieczna komunikacja

Bezpieczny dostęp zdalny (VPN) z uwierzytelnianiem wieloskładnikowym (MFA). Ograniczony i monitorowany dostęp do interfejsów administracyjnych. Szyfrowane metody transferu danych (VPN, SSL/TLS, SFTP) dla całej wymiany danych.

Wykrywanie intruzów

Wdrożono systemy wykrywania i zapobiegania włamaniom (IDS/IPS) w celu monitorowania ruchu sieciowego pod kątem złośliwej aktywności i naruszeń polityk.

Wzmacnianie systemu

Systemy są konfigurowane zgodnie z najlepszymi praktykami branżowymi i podstawami bezpieczeństwa (np. CIS Benchmarks, NIST) w celu zmniejszenia ich powierzchni ataku.

Logowanie i monitorowanie

Dla krytycznych systemów prowadzone są dzienniki systemowe i ścieżki audytu. Logowanie danych osobowych jest zminimalizowane. Dzienniki są regularnie przeglądane w celu wykrycia incydentów bezpieczeństwa i nietypowych działań.

Kopia zapasowa i dostępność danych

Regularne kopie zapasowe krytycznych danych są wykonywane, a ich integralność jest testowana. Wdrożono redundancję dla krytycznych systemów, aby zapewnić wysoką dostępność.