Techniczne i organizacyjne środki bezpieczeństwa w Ferrero

1. OGÓLNE ŚRODKI KONTROLNE
1.1 W Ferrero wdrożono odpowiednio udokumentowane i regularnie aktualizowane polityki ochrony danych osobowych.
1.2 Procedury ochrony danych osobowych w Ferrero są formalnie dokumentowane, gdy jest to konieczne, okresowo przeglądane i uzupełniane obiektywną dokumentacją (np. protokołami z posiedzeń, listami, logami IT), co może pokazywać ciągłą staranności i czujności w odniesieniu do ochrony danych osobowych podczas prowadzonych czynności przetwarzania.
1.3 W Ferrero wyznaczony został zarówno specjalista ds. bezpieczeństwa, jak i inspektor ochrony danych (IOD) odpowiedzialni za koordynację i monitorowanie zasad i procedur bezpieczeństwa, jak również zgodność z przepisami dotyczącymi ochrony danych osobowych.

2. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (ARTYKUŁ 15 i nast. RODO)
2.1 Pracownicy Ferrero mają świadomość praw osób, których dane dotyczą oraz postępowania w przypadku kierowania do administratora danych żądań osób, których dane dotyczą chcących skorzystać ze swoich praw.
2.2 Ferrero prowadzi ogólny rejestr, w którym odnotowuje się takie żądania, np. o skorzystanie z prawa dostępu.
2.3 W Ferrero wyznaczono osobę / funkcję (IOD) odpowiedzialną za udzielanie administratorowi danych pisemnych wyjaśnień dotyczących żądań osób, których dane dotyczą.
2.4 W Ferrero wyznaczono termin przekazania żądań administratorowi danych.
2.5 W Ferrero istnieje procedura dokumentowania na piśmie wszelkich odrzuconych żądań osób, których dane dotyczą chcących skorzystać z prawa do usunięcia, ograniczenia przetwarzania lub przenoszenia danych oraz udostępniania tej dokumentacji administratorowi danych.

3. POLITYKA PRYWATNOŚCI (ARTYKUŁ 13 RODO) (w stosownych przypadkach)
3.1 Pracownicy Ferrero i inne osoby odpowiedzialne za dostarczanie osobom, których dane dotyczą polityki prywatności/informacji o przetwarzaniu danych osobowych i/lub za pobieranie zgody od tych osób, również w imieniu administratora danych, zostali przeszkoleni w zakresie zasad ochrony danych osobowych.

3.2. Podczas dostarczania polityk prywatności / informacji o przetwarzaniu danych osobowych osobom których dane dotyczą, pracownicy Ferrero i inne osoby odpowiedzialne są w stanie w sposób jasny przekazać, ustnie lub pisemnie, osobom, których dane dotyczą informacje o przysługujących im prawach.
3.3. W Ferrero prowadzony jest rejestr źródeł, z których pozyskuje się dane osobowe.

4. OSOBY UPOWAŻNIONE (ARTYKUŁ 29 RODO)
4.1 W Ferrero przeprowadzono formalne powołanie osób upoważnionych, indywidualnie lub w ramach jednorodnych kategorii.
4.2 Wszystkie powołane osoby upoważnione otrzymały pisemne instrukcje dotyczące przetwarzania i ochrony danych osobowych.
4.3 Osoby upoważnione otrzymują odpowiednie szkolenie w zakresie ochrony danych osobowych. Szkolenie to jest odpowiednio dokumentowane.
4.4 Uprawnienia dostępu przyznane osobom upoważnionym są adekwatne i aktualizowane. Instrukcje dawane osobom upoważnionym są aktualizowane. Jest to okresowo potwierdzane.

5. SZKOLENIE
5.1 Przed rozpoczęciem przetwarzania danych osobowych osoby nowo zatrudnione otrzymują odpowiednie instrukcje.
5.2 Przed powierzeniem pracownikom czynności związanych z dostępem do danych osobowych oceniana jest ich integralność i wiarygodność.
5.3 Osoby upoważnione otrzymują regularne aktualizacje operacyjne dotyczące bezpieczeństwa.
5.4 Ferrero rozpowszechnia wytyczne dotyczące bezpieczeństwa wszystkim osobom upoważnionym.
5.5 W Ferrero prowadzi się dokumentację wspierającą i poświadczającą prowadzone działania szkoleniowe.

6. POLITYKA BEZPIECZEŃSTWA INFORMACJI
6.1 W Ferrero zdefiniowano zestaw kryteriów i zasad, aby jasno wyrazić postawę i wsparcie firmy wobec kwestii bezpieczeństwa informacji, a także zdefiniowano kontrole bezpieczeństwa dotyczące urządzeń mobilnych i telepracy (takie jak praca zdalna, dostęp zdalny i wirtualne miejsca pracy).
6.2 W Ferrero zdefiniowano oddzielne role i obowiązki w zakresie bezpieczeństwa informacji i przypisano je odpowiednim osobom, aby uniknąć konfliktów interesów i zapobiegać jakimkolwiek niewłaściwym działaniom.
6.3 Ferrero zawarła odpowiednie umowy z podwykonawcą(-ami) przetwarzania, w których narzuca się im wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w zakresie ochrony danych osobowych.

7. BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
7.1 Obowiązki związane są brane pod uwagę jeszcze przed zatrudnieniem, podczas rekrutacji lub selekcji pracowników, kontrahentów i pracowników tymczasowych (np. za pomocą odpowiednich opisów wakatów lub weryfikacji przed zatrudnieniem, w zakresie dozwolonym przez obowiązujące prawo) i zawiera się je w umowach o pracę lub innych umowach o świadczenie usług (np. w ramach warunków zatrudnienia i wszelkich innych podpisanych umów, które określają role i obowiązki związane z bezpieczeństwem, za pomocą zobowiązań dotyczących zapewnienia zgodności itp.).

7.2 W Ferrero stosuje się formalne postępowanie dyscyplinarne, które może zostać wszczęte w przypadku incydentów związanych z bezpieczeństwem informacji powstałych z winy pracowników, kontrahentów i pracowników tymczasowych.
7.3 Kiedy dana osoba opuszcza Ferrero lub gdy zaszły znaczące zmiany w zakresie ról i obowiązków, wszystkie aspekty związane z bezpieczeństwem są zarządzane poprzez np. obowiązek zwrotu wszystkich informacji firmowych i sprzętu korporacyjnego, aktualizację praw dostępu / uprawnień oraz uświadomienie osobom zaangażowanym ich bieżących zobowiązań dotyczących prywatności, własności intelektualnej, zachowanych warunków umownych i innych, w tym istniejących wobec nich oczekiwań etycznych.
7.4 Osoby upoważnione otrzymują instrukcje dotyczące usuwania lub niszczenia informacji zawartych na nośnikach pamięci przed ich ponownym użyciem.

8. ZARZĄDZANIE AKTYWAMI
8.1 Ferrero posiada spis swoich aktywów informacyjnych, a osoby posiadające te aktywa są identyfikowane w celu zapewnienia odpowiedzialności za bezpieczeństwo tych aktywów. W Ferrero określone zostały zasady "dopuszczalnego użytkowania" tych aktywów.
8.2 Nośniki do przechowywania informacji są zarządzane, kontrolowane, transportowane i usuwane w taki sposób, aby nie zagrażały bezpieczeństwu przechowywanych informacji.
8.3 Ferrero posiada odpowiednią liczbę bezpiecznych pojemników, odpowiednio rozdystrybuowanych i dostępnych dla osób odpowiedzialnych za przechowywanie (nawet tymczasowe) danych osobowych w dowolnej formie (papierowej, elektronicznej lub innej).
8.4 W Ferrero wdrożono mechanizmy kontrolne w celu uniknięcia sytuacji, w której dokumenty zawierające szczególne kategorie danych osobowych pozostaną bez nadzoru, gdy zostaną powierzone osobom upoważnionym i usunięte z ich chronionego archiwum.
8.5 Osoby upoważnione mają łatwy dostęp do niszczarek dokumentów papierowych.
8.6 W Ferrero wdrożono odpowiednią politykę dotyczącą użytkowania, przechowywania i niszczenia dokumentów papierowych.
8.7 Dokumenty papierowe zawierające szczególne kategorie danych osobowych są usuwane lub - najlepiej - niszczone przed ponownym użyciem.

9. KONTROLA DOSTĘPU
9.1 Wymogi organizacyjne Ferrero dotyczące kontroli dostępu do zasobów informacyjnych są jasno udokumentowane w polityce / procedurze kontroli dostępu, a dostęp do sieci i połączeń Ferrero jest ograniczony.
9.2 Użytkownicy są świadomi swoich obowiązków związanych z utrzymaniem skutecznej kontroli dostępu, takich jak wybór silnych haseł i zachowanie ich poufności.
9.3 Dostęp do informacji jest ograniczony zgodnie z polityką / procedurą kontroli dostępu Ferrero, np. za pomocą bezpiecznych systemów logowania, zarządzania hasłami, uprzywilejowanej kontroli dostępu i ograniczenia dostępu do kodów źródłowych.
9.4 W Ferrero dostęp do obszarów wrażliwych jest kontrolowany. Osoby uzyskujące dostęp do tych obszarów muszą uzyskać na to wcześniejszą zgodę.
9.5 Obszary wrażliwe są wyposażone w elektroniczne narzędzia kontroli dostępu lub podlegają właściwemu nadzorowi.
9.6 W Ferrero dokonuje się częstych przeglądów logów dostępu do wrażliwych obszarów, takich jak pomieszczenia serwerów, aby w porę wykryć nieuzasadniony dostęp.

10. SZYFROWANIE

11. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
11.1 W Ferrero zostały jasno określone fizyczne granice i bariery, łącznie z fizyczną kontrolą dostępu i wewnętrznymi procedurami, stworzone po to, aby chronić siedzibę, pomieszczenia, biura, miejsca załadunku / rozładunku itp., przed nieuprawnionym dostępem (ochrona przed pożarami, powodziami, trzęsieniami ziemi, bombami itp.).
11.2 Ferrero może potwierdzić, że sprzęt i/lub informacje nie są wynoszone poza siedzibę przedsiębiorstwa bez uprzedniej zgody oraz, że są odpowiednio chronione niezależnie od tego, czy znajdują się na terenie przedsiębiorstwa czy też poza nim.
11.3 Informacje zawarte w nośnikach do przechowywania informacji są niszczone przed ich pozbyciem się lub ponownym wykorzystaniem.
11.4 Wszelkie nieużywane urządzenia są chronione, a dla tego sprzętu wyznaczona jest specjalna przestrzeń i przejrzysta polityka kontroli.

12. BEZPIECZEŃSTWO OPERACYJNE
12.1 Kontrola złośliwego oprogramowania została zaimplementowana i jest utrzymywana.
12.2 Odpowiednie kopie zapasowe są wykonywane i utrzymywane zgodnie z zasadami tworzenia kopii zapasowych Ferrero.
12.3 Kopie zapasowe są testowane. Wyniki testów są dokumentowane i rejestrowane.

13. UWIERZYTELNIANIE I MONITOROWANIE
13.1 Systemy czasowe są zsynchronizowane, aby zapewnić czasową spójność danych śledzenia.
13.2 W Ferrero stosuje się zasadę przydzielania jak najmniejszych uprawnień, umożliwiając użytkownikom autoryzowany dostęp w oparciu o ich funkcje pracownicze.

14. ZARZĄDZANIE TECHNICZNYMI PUNKTAMI NEWRALGICZNYMI

14.1 Komponenty systemu i aktualizacje oprogramowania związane z usuwaniem znanych luk są oceniane w celu ustalenia przydatności, testowane przed ewentualną instalacją i wdrażane w odpowiednim czasie.
14.2 Aby zapobiec tworzeniu nowych zagrożeń, wprowadzono zasady dotyczące instalacji oprogramowania przez użytkowników.
14.3 W Ferrero zdefiniowano i wdrożono proces testowania rozprzestrzeniania na poziomie aplikacji i infrastruktury.

15. BEZPIECZEŃSTWO KOMUNIKACJI
15.1 Bezpieczeństwo sieci i usług sieciowych Ferrero jest chronione, np. poprzez segregację sieci.
15.2 W Ferrero wdrożono środki ochrony w celu kontroli komunikacji w obrębie wewnętrznych i zewnętrznych granic infrastruktury.
15.3 W Ferrero wdrożono zasady, procedury i umowy (np. umowy o poufności, umowy powierzenia przetwarzania danych osobowych) dotyczące przekazywania informacji do/od stron trzecich, w tym za pośrednictwem wiadomości elektronicznych.
15.4 W Ferrero wdrożono bezpieczne kanały (np. zaszyfrowane protokoły podczas połączenia z siecią firmową i/lub VPN w przypadku połączeń zdalnych) w celu komunikacji między systemami informatycznymi a siecią korporacyjną.

16. NABYWANIE, ROZWÓJ I KONSERWACJA SYSTEMU
16.1 W Ferrero analizuje się i określa się wymagania dotyczące kontroli bezpieczeństwa, w tym dotyczące aplikacji internetowych i transakcji.
16.2 Zasady dotyczące bezpieczeństwa oprogramowania / rozwoju systemów są zdefiniowane zgodnie z wewnętrzną polityką Ferrero.
16.3 Zarządzanie, dokonywanie, przegląd i zatwierdzanie (najlepiej za pomocą narzędzia) zmian odbywa się w dedykowanym środowisku przed migracją do środowiska produkcyjnego.
16.4 Zmiany w konfiguracji parametrów aplikacji autoryzuje się przed wdrożeniem i zatwierdza po wykonaniu.
16.5 Pakiety oprogramowania nie są modyfikowane, a zasady inżynieryjne dotyczące bezpieczeństwa systemu są przestrzegane.
16.6 Środowiska programistyczne, testowe i produkcyjne są rozdzielane w celu uniknięcia nieautoryzowanego dostępu lub zmian w systemach produkcyjnych i repozytoriach kodu.
16.7 Wszystkie dane testowe są starannie wybierane, generowane i kontrolowane.

17. RELACJE Z DOSTAWCAMI
17.1 W Ferrero wdrożono zasady, procedury oraz działania podnoszące świadomość itp. w celu ochrony informacji organizacyjnych, dostępnych dla dostawców IT i innych dostawców zewnętrznych (bez względu na to, czy są to podwykonawcy przetwarzania) w całym łańcuchu dostaw. Znajduje to odzwierciedlenie w pisemnych umowach podpisanych z tymi podmiotami.

18. ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z BEZPIECZEŃSTWEM INFORMACJI
18.1 W Ferrero wdrożono obowiązki i procedury dotyczące zarządzania zdarzeniami, incydentami i lukami w zabezpieczeniach dotyczącymi bezpieczeństwa informacji (raportowania, oceny, reagowania i uczenia się), w tym naruszeniami ochrony danych osobowych, w spójny i efektywny sposób, aby umożliwić terminowe raportowanie administratorowi danych, a także gromadzenie odpowiedniego materiału dowodowego tam, gdzie jest on prawnie wymagany.

19. ASPEKTY BEZPIECZEŃSTWA INFORMACJI DOTYCZĄCE ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA
19.1 W Ferrero zaplanowana została ciągłość działania bezpieczeństwa informacji, wdrożona, przetestowana i zweryfikowana jako integralna część systemów zarządzania ciągłością działania.
19.2 W Ferrero istnieją wystarczające rezerwy, aby spełnić wymagania dotyczące dostępności.

20. ZGODNOŚĆ
20.1 Ferrero zidentyfikowała i udokumentowała swoje zobowiązania w zakresie bezpieczeństwa informacji w stosunku do władz (w tym organów nadzoru) i innych stron trzecich, w tym w odniesieniu do własności intelektualnej, rejestrów korporacyjnych lub innych, prywatności i szyfrowania.

Ostatnia aktualizacja: czerwiec 2018


Ferrero’s Technical & Organizational Security Measures

1. GENERAL CONTROLS
1.1 Ferrero has implemented duly documented and regularly updated personal data protection policies.
1.2 Ferrero’s personal data protection procedures are formally documented, when required, periodically reviewed and substantiated with objective documents (e.g., minutes of meetings, lists, IT logs), which may demonstrate constant diligence and vigilance regarding the protection of personal data in the processing activities carried out.
1.3 Ferrero has appointed both a security officer and a data protection officer (DPO) responsible for coordinating and monitoring the security rules and procedures as well as data protection compliance.

2. DATA SUBJECT RIGHTS (ART. 15 et seq. GDPR)
2.1 Ferrero’s employees are aware of the rights of data subjects, and procedure for communicating requests to exercise data subjects’ rights to the data controller.
2.2 Ferrero maintains a general register where these requests, e.g., to exercise the right of access, are recorded.
2.3 Ferrero has appointed a person/function (the DPO) in charge of providing written explanations to the data controller regarding requests from data subjects.
2.4 Ferrero has set a deadline for communicating requests to the data controller.
2.5 Ferrero has a procedure to document, in writing, any refusals given to data subjects’ requests to exercise their rights to erasure, restriction of processing or data portability, and to share this documentation with the data controller.

3. PRIVACY POLICY (ART. 13 GDPR) (where applicable)
3.1 Ferrero’s employees and other persons responsible for offering privacy policies/personal data protection notices to data subjects and/or for collecting data subjects’ consent, also on behalf of the data controller, have been trained regarding personal data protection rules.
3.2 When offering privacy policies/personal data protection notices to data subjects, Ferrero’s employees and other persons responsible are able to clearly inform those data subjects of their rights, either orally or in writing.
3.3 Ferrero keeps a record of sources from which obtains personal data.

4. AUTHORIZED PERSONS (ART. 29 GDPR)
4.1 Ferrero has carried out formal appointments for authorised persons, either individually or as part of homogenous categories.
4.2 All appointed authorized persons have received written instructions on how to process and protect personal data.
4.3 Authorized persons receive adequate personal data protection training and education. This training is properly being documented.
4.4 Access privileges granted to authorized persons are adequate and updated. Instructions given to authorized persons are updated. This is periodically confirmed.

5. TRAINING
5.1 New recruits are properly instructed before beginning to process personal data.
5.2 Employees’ integrity and reliability is assessed prior to entrusting them with activities involving access to personal data.
5.3 Authorized persons receive regular operational updates on security.
5.4 Ferrero distributes security guidelines to all authorised persons.
5.5 Ferrero keeps documentation to support and demonstrate training activities carried out.

6. INFORMATION SECURITY POLICIES
6.1 Ferrero has defined a set of criteria and policies to clarify its posture and support for information security, as well as security controls regarding mobile devices and teleworking (such as telecommuting, remote access and virtual workplaces).
6.2 Ferrero has defined separate roles and responsibilities for information security and assigned them to the appropriate individuals, in order to avoid conflicts of interest and prevent any inappropriate activities.
6.3 Ferrero has entered into adequate agreements with sub-processor(s), which impose upon them to implement suitable technical and organisational security measures regarding personal data protection.

7. HUMAN RESOURCES SECURITY
7.1 Information security responsibilities are considered, prior to hiring, when recruiting or selecting employees, contractors and temporary staff (e.g., by means of appropriate job vacancy descriptions or pre-employment screening) and included in employment or other services agreements (e.g., within terms and conditions of employment and in any other signed agreements which define roles and responsibilities related to security, by means of compliance obligations, etc.).

7.2 Ferrero has formal disciplinary proceedings in place which may be triggered in the event of information security incidents caused by employees, contractors and temporary staff.
7.3 When a person leaves Ferrero, or when there are any significant changes to roles and responsibilities, all aspects related to security are managed, by means of, e.g., obligations to return all corporate information and corporate equipment, updating of access rights/authorisations, and reminders to persons involved of their ongoing obligations regarding privacy, intellectual property, surviving contractual terms, and others, including ethical expectations upon them.
7.4 Authorised persons receives instructions on how to delete or destroy information contained in storage media before their re-use.

8. ASSET MANAGEMENT
8.1 Ferrero has a inventory of its information assets, and persons holding those assets are identified, in order to ensure accountability for those assets’ security. Ferrero has defined “acceptable use” policies for these assets.
8.2 Information storage media are managed, controlled, transported and disposed of in such a manner as to not compromise the contents of stored information.
8.3 Ferrero has an appropriate number of safe containers, adequately distributed and available to persons in charge of custody (even if temporary) of personal data in any form (paper, electronic or other).
8.4 Ferrero has implemented controls to avoid that documents containing special categories of personal data are left unattended, when entrusted to authorised persons and removed from their protected archives.
8.5 Authorised Persons have easy access to and use of paper document shredders.
8.6 Ferrero has implemented a suitable policy on usage, storage and destruction of paper documents.
8.7 Paper documents containing special categories of personal data are erased or – preferably – destroyed before re-use.

9. ACCESS CONTROL
9.1 Ferrero’s organisational requirements in place on access control to information assets are clearly documented in an access control policy/procedure, and access to Ferrero’s Network and connections is restricted.
9.2 Users are made aware of their responsibilities regarding the maintenance of effective access control, such as selecting strong passwords and keeping them confidential.
9.3 Access to information is restricted in compliance with Ferrero’s access control policy/procedure, e.g., by means of secure login systems, password management, privileged access control and restriction of access to source codes.
9.4 Ferrero controls access to sensitive areas. Persons accessing these sensitive areas obtain prior authorisation to do so.
9.5 Sensitive areas are equipped with electronic access control tools, or otherwise subject to appropriate supervision.
9.6 Ferrero frequently reviews the access logs to the sensitive areas like servers rooms to spot unjustified accesses.

10. PHYSICAL AND ENVIRONMENTAL SECURITY
10.1 Ferrero has clearly defined physical perimeters and barriers, with physical access controls and internal procedures to protect its premises, offices, rooms, loading / unloading areas, etc., against unauthorised access (protection against fires, floods, earthquakes, bombs, etc.).
10.2 Ferrero can confirm that equipment and/or information is not taken off-premises without prior authorisation, and is suitably protected whether on or off premises.
10.3 Information contained in information storage media is destroyed, before disposing of or re-using those media.
10.4 Any unattended equipment is protected, and a specific space and clear control policy for that equipment exist.

11. OPERATIONAL SECURITY
11.1 Malware controls have been implemented and maintained.
11.2 Suitable backups are performed and maintained, in accordance with Ferrero’s backup policy.
11.3 Backup are tested. Results are documented and recorded.

12. AUTHENTICATION AND MONITORING
12.1 Time-keeping systems are synchronised to ensure the temporal consistency of the tracking data.
12.2 Ferrero follows the principle of least privilege, allowing authorized access for users based on their job functions.

13. TECHNICAL VULNERABILITY MANAGEMENT
13.1 Ferrero can confirm that a vulnerability management process has been developed to identify security weaknesses using trusted external sources for vulnerability information, and assigning a risk classification to security vulnerabilities.
13.2 System components and software updates related to the remediation of known vulnerabilities are evaluated, to determine applicability, tested before installation if corresponds, and implemented in a timely manner.
13.3 Rules on software installation by users have been implemented, to prevent the creation of new vulnerabilities.
13.4 Ferrero has defined and implemented a penetration testing process at the application level and infrastructure level.

14. COMMUNICATIONS SECURITY
14.1 Ferrero has implemented protection measures to control communications at the internal & external boundaries of the infrastructure.
14.2 Ferrero has implemented policies, procedures and agreements (e.g., non-disclosure agreements, Personal Data Processing agreements), regarding the transfer of information to/from third parties, including by means of electronic messaging.
14.3 Ferrero has implemented secure channels (e.g., encrypted protocols when connected to the corporate network, and/or VPN in case of remote connections) for communications between the information systems and the corporate network.

15. SYSTEM ACQUISITION, DEVELOPMENT AND MAINTENANCE
15.1 Ferrero analyses and specifies security control requirements, including for web applications and transactions.
15.2 Rules governing software security/ systems development are defined in accordance with Ferrero’s internal policy.
15.3 Changes are managed, performed, reviewed and approved (ideally through a tool) in a dedicated environment before being migrated into production.
15.4 Changes to the configuration of application parameters are authorized before implementation, and validated after being performed.
15.5 Software packages are not modified, and engineering principles on system security are respected.
15.6 The development, test and production environments are separated to avoid unauthorized access or changes to production systems and code repositories.
15.7 All test data are carefully selected, generated and controlled.

16. RELATIONSHIPS WITH SUPPLIERS
16.1 Ferrero has implemented policies, procedures, awareness-raising activities, etc., to protect organisational information that is accessible to IT outsourcers and other external suppliers (whether or not these may be sub-processors) across the entire supply chain. These are reflected in written agreements signed with these entities.

17. INFORMATION SECURITY INCIDENT MANAGEMENT
17.1 Ferrero has implemented responsibilities and procedures to manage (report, assess, respond to and learn from) information security events, incidents and vulnerabilities, including personal data breaches, in a coherent and effective manner, so as to allow timely reporting to the data controller, as well as the collection of suitable forensic evidence where required.

18. INFORMATION SECURITY ASPECTS REGARDING BUSINESS CONTINUITY MANAGEMENT
18.1 Ferrero has planned information security continuity, implemented, tested and reviewed as an integral part of its business continuity management systems.
18.2 Ferrero has sufficient redundancy, so as to meet availability requirements.

19. COMPLIANCE
19.1 Ferrero has identified and documented its information security obligations towards authorities (including supervisory authorities) and other third parties, including regarding intellectual property, corporate or other records, privacy and encryption.

Last update: June 2018