UAB „Ruptela“ taiko visas būtinas organizacines ir technines priemones, siekdama užtikrinti tvarkomų duomenų saugumą ir apsaugoti tvarkomus asmens duomenis nuo atsitiktinio ar neteisėto sunaikinimo, praradimo, pakeitimo, neteisėto atskleidimo ar prieigos prie perduodamų asmens duomenų.
Asmens duomenų sauga ir jų tvarkymas organizacijoje yra aprašyti informacijos saugumo politikoje. Ši politika peržiūrima ir, jei reikia, atnaujinama kasmet.
Prieš pradėdami eiti pareigas, darbuotojai privalo susipažinti su organizacijos informacijos saugumo politika, su ja sutikti ir pasirašyti atitinkamus konfidencialumo bei neatskleidimo susitarimus.
Organizacija užtikrina, kad visi darbuotojai suprastų savo atsakomybes ir pareigas, susijusias su asmens duomenų tvarkymu. Vaidmenys ir atsakomybės aiškiai pristatomi įdarbinimo ir (arba) įvadinių mokymų metu.
Darbuotojai taip pat yra tinkamai informuojami apie IT sistemų saugumo priemones, susijusias su jų kasdieniu darbu. Asmens duomenis tvarkantys darbuotojai reguliariai supažindinami su duomenų apsaugos reikalavimais ir teisinėmis pareigomis per informavimo kampanijas.
Organizacijoje paskirtas duomenų apsaugos pareigūnas, atsakingas už duomenų apsaugą, žinių sklaidą ir atitiktį BDAR reikalavimams. Su duomenų apsaugos pareigūnu galima susisiekti el. paštu: dpo@ruptela.com.
Kiekvienam darbuotojui, dalyvaujančiam asmens duomenų tvarkyme, suteikiamos tik tokios prieigos teisės, kurios būtinos jo funkcijoms vykdyti (būtinybės žinoti principas). Prieigos kontrolės politika yra detaliai aprašyta ir dokumentuota.
Organizacija nustato ir peržiūri prieigos taisykles, teises ir apribojimus darbuotojams, keičiantis jų pareigoms, vykstant reorganizacijai ar nutraukiant darbo santykius.
Prieiga prie vidinių „Ruptela“ išteklių valdoma naudojant „Active Directory“. Visiems naudotojams įjungta „O365“ kelių veiksnių autentifikacija. Sistemos, kuriose saugomi klientų duomenys (išskyrus „O365“), pasiekiamos tik iš vidinio tinklo autorizuotiems darbuotojams, naudojantiems asmenines paskyras.
Prieiga panaikinama nedelsiant nutraukus darbo sutartį. Kas 6 mėnesius atliekamas paskyrų auditas, siekiant užtikrinti, kad nėra neautorizuotų naudotojų.
Visi IT sistemų pakeitimai yra registruojami ir stebimi paskirto darbuotojo.
„Ruptela“ sprendimai naudoja SSL/TLS protokolus su aukšto lygio šifravimo algoritmais, apsaugančiais išorines paslaugų sąsajas. Taip pat naudojamas IPSec VPN su aukšto lygio šifravimu, užtikrinantis saugų ryšį tarp nuotolinių vietų ar paslaugų galinių taškų.
Atsarginės duomenų kopijos daromos ne rečiau kaip kartą per dieną. Visi gamybinėse duomenų bazėse saugomi duomenys turi replikas. Koordinačių duomenų bazė replikuojama į tris atskirus mazgus (kvorumas). Galutiniai naudotojai neturi teisės tiesiogiai ištrinti duomenų duomenų bazės lygmeniu.
„Ruptela“ naudoja žurnalų sistemas, kurios fiksuoja virtualiose mašinose atliktus pakeitimus. Taip pat stebimi sistemos naudotojų veiksmai (prisijungimai / atsijungimai, trynimai, duomenų įvedimas), kuriuos galima identifikuoti pagal naudotojo IP adresą.
„Ruptela“ yra nustačiusi pagrindines procedūras ir kontrolės priemones, užtikrinančias reikiamą IT sistemų, tvarkančių asmens duomenis, veiklos tęstinumą ir prieinamumą incidentų ar asmens duomenų saugumo pažeidimų atveju. Veiklos tęstinumo planas reguliariai testuojamas.
„Ruptela“ yra parengusi saugumo incidentų valdymo planą, užtikrinantį efektyvų asmens duomenų saugumo incidentų valdymą. Visi incidentai ir duomenų saugumo pažeidimai yra registruojami ir be nepagrįsto delsimo pranešami vadovybei.
Taip pat nustatytos procedūros, skirtos pranešimams kompetentingoms institucijoms ir duomenų subjektams apie duomenų saugumo pažeidimus.
Formalios gairės ir procedūros, reglamentuojančios asmens duomenų tvarkymą duomenų tvarkytojų (rangovų ar paslaugų teikėjų), yra apibrėžtos, dokumentuotos ir suderintos prieš pradedant duomenų tvarkymo veiklą.
Renkantis informacines sistemas, reikalingas organizacijos veiklai, vertinamas jų poveikis duomenų apsaugai pagal BDAR. Naudojama tik sertifikuota programinė įranga, kuri reguliariai atnaujinama.
Patekimas į patalpas apsaugotas prieigos kontrolės sistema.
Visos darbo vietos yra apsaugotos antivirusine programine įranga, naudoja „Microsoft Windows 10“ operacinę sistemą su naujausiais saugumo atnaujinimais ir yra centralizuotai valdomos. Darbo vietų kietieji diskai yra šifruoti.
Visos klientų užklausos registruojamos centralizuotoje sistemoje, nurodant užklausos laiką. Prisijungimas prie sistemos apsaugotas slaptažodžiu. Sistema skirta incidentų, pakeitimų ir konsultacijų valdymui, taip pat užtikrina centralizuotą problemų ir pakeitimų kontrolę.
Klientų sistemų veikimo kokybė užtikrinama nuolatine stebėsena – kiekvienas įvykis registruojamas ir analizuojamas centralizuotoje sistemoje. Incidentai valdomi pagal nustatytą incidentų valdymo planą, informuojant atsakingus asmenis ir, prireikus, sudarant veiklos tęstinumo valdymo komandą. Periodiniai testai ir mokymai vykdomi pagal veiklos tęstinumo planą.
Kritiniai ir svarbūs programinės įrangos saugumo pažeidimų pataisymai diegiami visai naudojamai programinei įrangai.
„Ruptela“ serverius talpina dviejuose duomenų centruose, turinčiuose Tier 3 ir Tier 3 Design sertifikatus. Duomenys saugomi Europos ekonominėje erdvėje ir nėra perduodami į trečiąsias šalis.