Certyfikacja zgodności z RODO – środki techniczne i organizacyjne

Data aktualizacji dokumentu: 09.08.2023 r.

Dokument przedstawia ogólny opis środków technicznych i organizacyjnych stosowanych przez firmę BrainSHARE IT sp. z o.o. z siedzibą w Krakowie, przy świadczeniu dla klientów usług związanych z przetwarzaniem danych osobowych w związku z korzystaniem z Systemu SaldeoSMART, zgodnych z wymaganiami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane RODO).

W BrainSHARE IT sp. z o.o. (BrainSHARE, Spółka) wdrożone zostały niezbędne procedury          i polityki służące m.in. zapewnieniu bezpieczeństwa, poufności, integralności i dostępności danych klientów (w tym danych osobowych, w stosunku do których BrainSHARE jest administratorem czy procesorem ), do których w ramach świadczonych usług uzyskują dostęp pracownicy lub współpracownicy Spółki.

1. Procedury i polityki służące do zapewnienia bezpieczeństwa, poufności i integralności danych osobowych w tym:

1. Polityka Bezpieczeństwa Przetwarzania Danych Osobowych (sieć, dostęp do pomieszczeń);
2. Procedury dotyczące analizy ryzyka i audytu wewnętrznego.

2. Kontrola dostępu

1. Ograniczony dostęp do budynków, środowisk i zbiorów danych. Dostęp mają osoby wyłącznie upoważnione. 
2. Pracownicy lub współpracownicy korzystają z kart dostępowych lub stosowane są inne metody kontroli fizycznego dostępu do nieruchomości, budynków lub pomieszczeń firmy, zapewniające kontrolę dostępu poszczególnych osób odpowiednią do zakresu ich uprawnień.
3. Nadawanie uprawnień poszczególnym pracownikom lub współpracownikom w zakresie dostępu do systemów wewnętrznych BrainSHARE oraz środowisk klienta podlega procedurze umożliwiającej weryfikację wniosku o nadanie uprawnień.
4. Dostęp do systemów wewnętrznych i środowisk oraz danych klientów możliwy jest tylko dla upoważnionych pracowników lub współpracowników po zalogowaniu na indywidualne konto i przy użyciu indywidualnego hasła.
5. Zdalny dostęp pracowników lub współpracowników do sieci Spółki i późniejsza wymiana informacji, odbywają się po uwierzytelnieniu przy wykorzystaniu bezpiecznych mechanizmów, zapewniających poufność i integralność (VPN).
6. W celu zapewnienia bezpieczeństwa, tam gdzie jest to uzasadnione Spółka współpracuje z firmami ochroniarskimi.
7. Lista aktualnych podwykonawców – Polcom S.A., Zendesk Inc., Hotjar Limited, Benhauer sp. z o.o., Google Firebase, InMoment, Livespace” sp. z o.o.

3. Środki ochrony programów i baz danych

1. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
2. Zastosowano kryptograficzne środki ochrony danych osobowych – certyfikat ssl.
3. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
4. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
5. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
6. Użyto systemu firewall do ochrony dostępu do sieci komputerowej.

4. Data Center

Serwery, których właścicielem jest Spółka; zlokalizowane są w Polsce poprzez kolokację w firmie Polcom w Alwernii oraz Skawinie pod Krakowem – Certyfikat Bezpieczeństwa Data Center ISO 27001 oraz zgodność z TIER 4.

1. Kontrola dostępu, monitoring, ochrona fizyczna;
2. Rendundacja klimatyzacji, zasilania energetycznego, łącza telekomunikacyjnego;
3. Zasilanie zapasowe dla serwerów;
4. System przeciwpożarowy;
5. Rendundancja warstwy fizycznej (serwery, urządzenia sieciowe, połączenia FC, Ethernet);
6. Stosowane są następujące procesy:
   1. zarządzanie aktualizacjami i łatkami;
   2. procedury backupowe i odtworzeniowe zgodnie z Polityką Backupów;
   3. wysoka dostępność (HA) na wypadek awarii.
7. Backup środowisk produkcyjnych znajduje się w dwóch różnych lokalizacjach, w tym jeden z nich w osobnej lokalizacji geograficznej, aniżeli system produkcyjny
8. Wstęp do Data Center mają tylko uprawnione osoby przez Spółkę – uprawnienia dostępu przyznawane są tylko na wniosek Prezesa Zarządu.
9. Wszelkie fizyczne działania w Data Center są logowane i protokołowane.

W zakresie przechowywania danych Spółka korzysta z Google Cloud. Szczegółowe informacje dotyczące przetwarzania danych osobowych: https://cloud.google.com/privacy/gdpr.

5. Usługi zewnętrzne 

1. Spółka w zakresie wsparcia usług serwisowych w modelu hostowanym korzysta z usług Zendesk Inc., która swoja główną siedzibę ma w Stanach Zjednoczonych (San Francisco, California). Zendesk Inc. przestrzega zbioru zasad ochrony prywatności, w szczególności poprzez stosowanie wiążących reguł korporacyjnych zatwierdzonych przez Europejską Radę Ochrony Danych (lista).
   
   Więcej informacji na temat przetwarzania danych przez Zendesk Inc. znajduje się  w polityce prywatności Zendesk na stronie:  
   
   https://www.zendesk.co.uk/company/customers-partners/privacy-policy/
   
   oraz na stronie o ochronie danych osobowych w UE:
   
   https://www.zendesk.co.uk/company/privacy-and-data-protection/
   
   Zendesk Inc. posiada:
   
   • certyfikat ISO 27001:2013 – System Zarządzania Bezpieczeństwem Informacji – Zendesk_ISO27001_Certificate_2021.pdf
   • oraz certyfikat ISO 27018:2014 – Ochrona danych osobowych w chmurze obliczeniowej – Zendesk_ISO27018_Certificate_2021.pdf.

2. W zakresie analizy zachowania użytkownika w celu ulepszania działania aplikacji Spółka wykorzystuje narzędzie Hotjar, którego dostawcą jest Hotjar Limited,  Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malta. Hotjar deklaruje zgodność z przepisami dotyczącymi ochrony danych osobowych https://www.hotjar.com/legal/compliance/gdpr-commitment/.
3. W zakresie wsparcia działań marketingowych spółka korzysta z Systemu SALESmanago Customer Data Platform & Marketing Automation Platform, którego dostawcą jest Benhauer sp. z o.o. ul. Grzegórzecka 21, 31-532 Kraków. Zgodność z przepisami dotyczącymi ochrony danych osobowych https://www.salesmanago.pl/info/rodo.htm
4. W zakresie do pomiaru lojalności klientów spółka korzysta w InMoment (dawniej Wootric) – dane znajdują się na terenie EU – szczegóły polityki prywatności znajdują się tutaj.
5. W zakresie przechowywania danych Spółka korzysta z Google Cloud, za pośrednictwem DEVOTEAM Avalon Solutions Sp. z.o.o. Waryńskiego 3a, 00-645 Warszawa.
6. W zakresie wsparcia procesu sprzedaży spółka wykorzystuje Livespace CRM, „Livespace” sp. z o.o. z siedzibą w Warszawie (02-516) przy ul. Tadeusza Rejtana 17/12, https://www.livespace.io/pl/ochrona-danych-osobowych/.
7. W zakresie zarządzania projektami spółka wykorzystuje narzędzie Jira, dane są przetwarzane na terenie UE – https://support.atlassian.com/security-and-access-policies/docs/understand-data-residency/ 

6. System SaldeoSMART

1. Daje możliwość nadania każdemu użytkownikowi osobnego loginu;
2. Wymusza logowanie przy użyciu loginu oraz hasła;
3. Hasła użytkowników są zapisane w postaci jednokierunkowego skrótu (funkcja haszująca);
4. Zapewnia dostęp i kontrolę wybranych obszarów danych – poprzez prawa na użytkownikach;

7. SaldeoSMART – wersja online

1. Połączenie z serwerem SaldeoSMART jest szyfrowane (SSL);
2. Zasoby serwerów chronione są przez Firewall;
3. Dostęp do maszyn produkcyjnych mają tylko uprawnieni do tego pracownicy lub współpracownicy;
4. Dane użytkowników oraz bazy danych aplikacji są przechowywane na zaszyfrowanych dyskach;
5. Zastosowanie mają wszystkie elementy wymienione w pkt. 4.

8. SaldeoSMART – wersja lokalna

1. Połączenie z serwerem SaldeoSMART jest szyfrowane (SSL) w przypadku udostępnienia systemu w sieci publicznej;
2. Rekomenduje się aby dyski maszyny wirtualnej SaldeoSMART były szyfrowane;
3. Zasoby serwera chronione są przez Firewall;
4. Dostęp do OS maszyny mają tylko uprawnione do tego osoby, a ich działania są logowane;
5. Zapewnienie ciągłości działania i wykonywanie kopii bezpieczeństwa leży w kwestii Administratora Danych (Klienta).

9. Zarządzanie incydentami

W BrainSHARE wdrożono procedurę zarządzania incydentami i nałożono na wszystkich pracowników i współpracowników obowiązek zgłaszania wszelkiego rodzaju incydentów naruszenia bezpieczeństwa, w tym incydentów dotyczących naruszenia ochrony danych osobowych.