Techniczne i organizacyjne środki bezpieczeństwa w Ferrero

 
1. OGÓLNE ŚRODKI KONTROLNE
1.1 W Ferrero wdrożono odpowiednio udokumentowane i regularnie aktualizowane polityki ochrony danych osobowych.
1.2 Procedury ochrony danych osobowych w Ferrero są formalnie dokumentowane, gdy jest to konieczne, okresowo przeglądane i uzupełniane obiektywną dokumentacją (np. protokołami z posiedzeń, listami, logami IT), co może pokazywać ciągłą staranności i czujności w odniesieniu do ochrony danych osobowych podczas prowadzonych czynności przetwarzania.
1.3 W Ferrero wyznaczony został zarówno specjalista ds. bezpieczeństwa, jak i inspektor ochrony danych (IOD) odpowiedzialni za koordynację i monitorowanie zasad i procedur bezpieczeństwa, jak również zgodność z przepisami dotyczącymi ochrony danych osobowych.

2. PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ (ARTYKUŁ 15 i nast. RODO)
2.1 Pracownicy Ferrero mają świadomość praw osób, których dane dotyczą oraz postępowania w przypadku kierowania do administratora danych żądań osób, których dane dotyczą chcących skorzystać ze swoich praw.
2.2 Ferrero prowadzi ogólny rejestr, w którym odnotowuje się takie żądania, np. o skorzystanie z prawa dostępu.
2.3 W Ferrero wyznaczono osobę / funkcję (IOD) odpowiedzialną za udzielanie administratorowi danych pisemnych wyjaśnień dotyczących żądań osób, których dane dotyczą.
2.4 W Ferrero wyznaczono termin przekazania żądań administratorowi danych.
2.5 W Ferrero istnieje procedura dokumentowania na piśmie wszelkich odrzuconych żądań osób, których dane dotyczą chcących skorzystać z prawa do usunięcia, ograniczenia przetwarzania lub przenoszenia danych oraz udostępniania tej dokumentacji administratorowi danych.

3. POLITYKA PRYWATNOŚCI (ARTYKUŁ 13 RODO) (w stosownych przypadkach)
3.1 Pracownicy Ferrero i inne osoby odpowiedzialne za dostarczanie osobom, których dane dotyczą polityki prywatności/informacji o przetwarzaniu danych osobowych i/lub za pobieranie zgody od tych osób, również w imieniu administratora danych, zostali przeszkoleni w zakresie zasad ochrony danych osobowych.

3.2 Podczas dostarczania polityk prywatności / informacji o przetwarzaniu danych osobowych osobom których dane dotyczą, pracownicy Ferrero i inne osoby odpowiedzialne są w stanie w sposób jasny przekazać, ustnie lub pisemnie, osobom, których dane dotyczą informacje o przysługujących im prawach.
3.3 W Ferrero prowadzony jest rejestr źródeł, z których pozyskuje się dane osobowe.

4. OSOBY UPOWAŻNIONE (ARTYKUŁ 29 RODO)
4.1 W Ferrero przeprowadzono formalne powołanie osób upoważnionych, indywidualnie lub w ramach jednorodnych kategorii.
4.2 Wszystkie powołane osoby upoważnione otrzymały pisemne instrukcje dotyczące przetwarzania i ochrony danych osobowych.
4.3 Osoby upoważnione otrzymują odpowiednie szkolenie w zakresie ochrony danych osobowych. Szkolenie to jest odpowiednio dokumentowane.
4.4 Uprawnienia dostępu przyznane osobom upoważnionym są adekwatne i aktualizowane. Instrukcje dawane osobom upoważnionym są aktualizowane. Jest to okresowo potwierdzane.

5. SZKOLENIE
5.1 Przed rozpoczęciem przetwarzania danych osobowych osoby nowo zatrudnione otrzymują odpowiednie instrukcje.
5.2 Przed powierzeniem pracownikom czynności związanych z dostępem do danych osobowych oceniana jest ich integralność i wiarygodność.
5.3 Osoby upoważnione otrzymują regularne aktualizacje operacyjne dotyczące bezpieczeństwa.
5.4 Ferrero rozpowszechnia wytyczne dotyczące bezpieczeństwa wszystkim osobom upoważnionym.
5.5 W Ferrero prowadzi się dokumentację wspierającą i poświadczającą prowadzone działania szkoleniowe.

6. POLITYKA BEZPIECZEŃSTWA INFORMACJI
6.1 W Ferrero zdefiniowano zestaw kryteriów i zasad, aby jasno wyrazić postawę i wsparcie firmy wobec kwestii bezpieczeństwa informacji, a także zdefiniowano kontrole bezpieczeństwa dotyczące urządzeń mobilnych i telepracy (takie jak praca zdalna, dostęp zdalny i wirtualne miejsca pracy).
6.2 W Ferrero zdefiniowano oddzielne role i obowiązki w zakresie bezpieczeństwa informacji i przypisano je odpowiednim osobom, aby uniknąć konfliktów interesów i zapobiegać jakimkolwiek niewłaściwym działaniom.
6.3 Ferrero zawarła odpowiednie umowy z podwykonawcą(-ami) przetwarzania, w których narzuca się im wdrożenie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa w zakresie ochrony danych osobowych.

7. BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
7.1 Obowiązki związane są brane pod uwagę jeszcze przed zatrudnieniem, podczas rekrutacji lub selekcji pracowników, kontrahentów i pracowników tymczasowych (np. za pomocą odpowiednich opisów wakatów lub weryfikacji przed zatrudnieniem, w zakresie dozwolonym przez obowiązujące prawo) i zawiera się je w umowach o pracę lub innych umowach o świadczenie usług (np. w ramach warunków zatrudnienia i wszelkich innych podpisanych umów, które określają role i obowiązki związane z bezpieczeństwem, za pomocą zobowiązań dotyczących zapewnienia zgodności itp.).

7.2 W Ferrero stosuje się formalne postępowanie dyscyplinarne, które może zostać wszczęte w przypadku incydentów związanych z bezpieczeństwem informacji powstałych z winy pracowników, kontrahentów i pracowników tymczasowych.
7.3 Kiedy dana osoba opuszcza Ferrero lub gdy zaszły znaczące zmiany w zakresie ról i obowiązków, wszystkie aspekty związane z bezpieczeństwem są zarządzane poprzez np. obowiązek zwrotu wszystkich informacji firmowych i sprzętu korporacyjnego, aktualizację praw dostępu / uprawnień oraz uświadomienie osobom zaangażowanym ich bieżących zobowiązań dotyczących prywatności, własności intelektualnej, zachowanych warunków umownych i innych, w tym istniejących wobec nich oczekiwań etycznych.
7.5 Osoby upoważnione otrzymują instrukcje dotyczące usuwania lub niszczenia informacji zawartych na nośnikach pamięci przed ich ponownym użyciem.

8. ZARZĄDZANIE AKTYWAMI
8.1 Ferrero posiada spis swoich aktywów informacyjnych, a osoby posiadające te aktywa są identyfikowane w celu zapewnienia odpowiedzialności za bezpieczeństwo tych aktywów. W Ferrero określone zostały zasady "dopuszczalnego użytkowania" tych aktywów.
8.2 Nośniki do przechowywania informacji są zarządzane, kontrolowane, transportowane i usuwane w taki sposób, aby nie zagrażały bezpieczeństwu przechowywanych informacji.
8.3 Ferrero posiada odpowiednią liczbę bezpiecznych pojemników, odpowiednio rozdystrybuowanych i dostępnych dla osób odpowiedzialnych za przechowywanie (nawet tymczasowe) danych osobowych w dowolnej formie (papierowej, elektronicznej lub innej).
8.4 W Ferrero wdrożono mechanizmy kontrolne w celu uniknięcia sytuacji, w której dokumenty zawierające szczególne kategorie danych osobowych pozostaną bez nadzoru, gdy zostaną powierzone osobom upoważnionym i usunięte z ich chronionego archiwum.
8.5 Osoby upoważnione mają łatwy dostęp do niszczarek dokumentów papierowych.
8.6 W Ferrero wdrożono odpowiednią politykę dotyczącą użytkowania, przechowywania i niszczenia dokumentów papierowych.
8.7 Dokumenty papierowe zawierające szczególne kategorie danych osobowych są usuwane lub - najlepiej - niszczone przed ponownym użyciem.

9. KONTROLA DOSTĘPU
9.1 Wymogi organizacyjne Ferrero dotyczące kontroli dostępu do zasobów informacyjnych są jasno udokumentowane w polityce / procedurze kontroli dostępu, a dostęp do sieci i połączeń Ferrero jest ograniczony.
9.2 Użytkownicy są świadomi swoich obowiązków związanych z utrzymaniem skutecznej kontroli dostępu, takich jak wybór silnych haseł i zachowanie ich poufności.
9.3 Dostęp do informacji jest ograniczony zgodnie z polityką / procedurą kontroli dostępu Ferrero, np. za pomocą bezpiecznych systemów logowania, zarządzania hasłami, uprzywilejowanej kontroli dostępu i ograniczenia dostępu do kodów źródłowych.
9.4 W Ferrero dostęp do obszarów wrażliwych jest kontrolowany. Osoby uzyskujące dostęp do tych obszarów muszą uzyskać na to wcześniejszą zgodę.
9.5 Obszary wrażliwe są wyposażone w elektroniczne narzędzia kontroli dostępu lub podlegają właściwemu nadzorowi.
9.6 W Ferrero dokonuje się częstych przeglądów logów dostępu do wrażliwych obszarów, takich jak pomieszczenia serwerów, aby w porę wykryć nieuzasadniony dostęp.

10. SZYFROWANIE

11. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
11.1 W Ferrero zostały jasno określone fizyczne granice i bariery, łącznie z fizyczną kontrolą dostępu i wewnętrznymi procedurami, stworzone po to, aby chronić siedzibę, pomieszczenia, biura, miejsca załadunku / rozładunku itp., przed nieuprawnionym dostępem (ochrona przed pożarami, powodziami, trzęsieniami ziemi, bombami itp.).
11.2 Ferrero może potwierdzić, że sprzęt i/lub informacje nie są wynoszone poza siedzibę przedsiębiorstwa bez uprzedniej zgody oraz, że są odpowiednio chronione niezależnie od tego, czy znajdują się na terenie przedsiębiorstwa czy też poza nim.
11.3 Informacje zawarte w nośnikach do przechowywania informacji są niszczone przed ich pozbyciem się lub ponownym wykorzystaniem.
11.4 Wszelkie nieużywane urządzenia są chronione, a dla tego sprzętu wyznaczona jest specjalna przestrzeń i przejrzysta polityka kontroli.

12. BEZPIECZEŃSTWO OPERACYJNE
12.1 Kontrola złośliwego oprogramowania została zaimplementowana i jest utrzymywana.
12.2 Odpowiednie kopie zapasowe są wykonywane i utrzymywane zgodnie z zasadami tworzenia kopii zapasowych Ferrero.
12.3 Kopie zapasowe są testowane. Wyniki testów są dokumentowane i rejestrowane.

13. UWIERZYTELNIANIE I MONITOROWANIE
13.1 Systemy czasowe są zsynchronizowane, aby zapewnić czasową spójność danych śledzenia.
13.2 W Ferrero stosuje się zasadę przydzielania jak najmniejszych uprawnień, umożliwiając użytkownikom autoryzowany dostęp w oparciu o ich funkcje pracownicze.

14. ZARZĄDZANIE TECHNICZNYMI PUNKTAMI NEWRALGICZNYMI

14.1 Komponenty systemu i aktualizacje oprogramowania związane z usuwaniem znanych luk są oceniane w celu ustalenia przydatności, testowane przed ewentualną instalacją i wdrażane w odpowiednim czasie.
14.2 Aby zapobiec tworzeniu nowych zagrożeń, wprowadzono zasady dotyczące instalacji oprogramowania przez użytkowników.
14.3 W Ferrero zdefiniowano i wdrożono proces testowania rozprzestrzeniania na poziomie aplikacji i infrastruktury.

15. BEZPIECZEŃSTWO KOMUNIKACJI
15.1 Bezpieczeństwo sieci i usług sieciowych Ferrero jest chronione, np. poprzez segregację sieci.
15.2 W Ferrero wdrożono środki ochrony w celu kontroli komunikacji w obrębie wewnętrznych i zewnętrznych granic infrastruktury.
15.3 W Ferrero wdrożono zasady, procedury i umowy (np. umowy o poufności, umowy powierzenia przetwarzania danych osobowych) dotyczące przekazywania informacji do/od stron trzecich, w tym za pośrednictwem wiadomości elektronicznych.
15.4 W Ferrero wdrożono bezpieczne kanały (np. zaszyfrowane protokoły podczas połączenia z siecią firmową i/lub VPN w przypadku połączeń zdalnych) w celu komunikacji między systemami informatycznymi a siecią korporacyjną.

16. NABYWANIE, ROZWÓJ I KONSERWACJA SYSTEMU
16.1 W Ferrero analizuje się i określa się wymagania dotyczące kontroli bezpieczeństwa, w tym dotyczące aplikacji internetowych i transakcji.
16.2 Zasady dotyczące bezpieczeństwa oprogramowania / rozwoju systemów są zdefiniowane zgodnie z wewnętrzną polityką Ferrero.
16.3 Zarządzanie, dokonywanie, przegląd i zatwierdzanie (najlepiej za pomocą narzędzia) zmian odbywa się w dedykowanym środowisku przed migracją do środowiska produkcyjnego.
16.4 Zmiany w konfiguracji parametrów aplikacji autoryzuje się przed wdrożeniem i zatwierdza po wykonaniu.
16.5 Pakiety oprogramowania nie są modyfikowane, a zasady inżynieryjne dotyczące bezpieczeństwa systemu są przestrzegane.
16.6 Środowiska programistyczne, testowe i produkcyjne są rozdzielane w celu uniknięcia nieautoryzowanego dostępu lub zmian w systemach produkcyjnych i repozytoriach kodu.
16.7 Wszystkie dane testowe są starannie wybierane, generowane i kontrolowane.

17. RELACJE Z DOSTAWCAMI
17.1 W Ferrero wdrożono zasady, procedury oraz działania podnoszące świadomość itp. w celu ochrony informacji organizacyjnych, dostępnych dla dostawców IT i innych dostawców zewnętrznych (bez względu na to, czy są to podwykonawcy przetwarzania) w całym łańcuchu dostaw. Znajduje to odzwierciedlenie w pisemnych umowach podpisanych z tymi podmiotami.

18. ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z BEZPIECZEŃSTWEM INFORMACJI

18.1 W Ferrero wdrożono obowiązki i procedury dotyczące zarządzania zdarzeniami, incydentami i lukami w zabezpieczeniach dotyczącymi bezpieczeństwa informacji (raportowania, oceny, reagowania i uczenia się), w tym naruszeniami ochrony danych osobowych, w spójny i efektywny sposób, aby umożliwić terminowe raportowanie administratorowi danych, a także gromadzenie odpowiedniego materiału dowodowego tam, gdzie jest on prawnie wymagany.

19. ASPEKTY BEZPIECZEŃSTWA INFORMACJI DOTYCZĄCE ZARZĄDZANIA CIĄGŁOŚCIĄ DZIAŁANIA
19.1 W Ferrero zaplanowana została ciągłość działania bezpieczeństwa informacji, wdrożona, przetestowana i zweryfikowana jako integralna część systemów zarządzania ciągłością działania.
19.2 W Ferrero istnieją wystarczające rezerwy, aby spełnić wymagania dotyczące dostępności.

20. ZGODNOŚĆ
20.1 Ferrero zidentyfikowała i udokumentowała swoje zobowiązania w zakresie bezpieczeństwa informacji w stosunku do władz (w tym organów nadzoru) i innych stron trzecich, w tym w odniesieniu do własności intelektualnej, rejestrów korporacyjnych lub innych, prywatności i szyfrowania.

Ostatnia aktualizacja: czerwiec 2018