Τεχνικά και οργανωτικά μέτρα σύμφωνα με το άρθρο 32 του ΓΚΠΔ

Ι. Απόρρητο (Άρθρο 32 Παρ. 1 Στοιχείο β του ΓΚΠΔ)

Έλεγχος φυσικής πρόσβασης

Τα Data Center στα οποία φιλοξενούνται οι διακομιστές της Vistoweb διαθέτουν:

• ηλεκτρονικό σύστημα φυσικού ελέγχου εισόδου με καταγραφή log
• περιμετρική περίφραξη υψηλής ασφάλειας γύρω από όλο το data center και τον περιβάλλοντα χώρο
• τεκμηριωμένη διανομή των κλειδιών στους υπαλλήλους και στους πελάτες colocation για τα colocation rack (κάθε πελάτης μόνο για το δικό του rack)
• πολιτικές για τη συνοδεία και την αναγνώριση των επισκεπτών στο κτίριο
• προσωπικό διαθέσιμο 24 ώρες την ημέρα, 7 ημέρες την εβδομάδα
• σύστημα παρακολούθησης βίντεο CCTV σε όλες τις εισόδους και εξόδους, στα συστήματα αλληλομανδάλωσης θυρών ασφάλειας και σε όλα τα δωμάτια διακομιστών
• για άτομα εκτός του προσωπικού των data center (επισκέπτες των data center), η είσοδος στο κτίριο επιτρέπεται μόνο με τη συνοδεία υπαλλήλου

Παρακολούθηση

• ηλεκτρονικό σύστημα ελέγχου φυσικής πρόσβασης με καταγραφή log
• σύστημα παρακολούθησης βίντεο CCTV σε όλες τις εισόδους και εξόδους

Ηλεκτρονικός έλεγχος πρόσβασης

Για τα πακέτα φιλοξενίας

• κωδικοί πρόσβασης διακομιστή, οι οποίοι, μετά την αρχική δημιουργία, μπορούν να αλλάξουν από τον Πελάτη και δεν είναι γνωστοί στη Vistoweb
• o κωδικός πρόσβασης του Πελάτη για το Control Panel καθορίζεται από τον ίδιο τον Πελάτη και ο κωδικός πρόσβασης πρέπει να συμμορφώνεται με προκαθορισμένες οδηγίες
• Επιπλέον, ο Πελάτης μπορεί να χρησιμοποιεί έλεγχο ταυτότητας δύο παραγόντων (two-factor authentication) για να προστατέψει περαιτέρω τον λογαριασμό του.

Εσωτερικός έλεγχος πρόσβασης

Για τα εσωτερικά συστήματα διαχείρισης της Vistoweb

• Η Vistoweb αποτρέπει την μη εξουσιοδοτημένη πρόσβαση, εφαρμόζοντας τακτικά τις ενημερώσεις ασφαλείας χρησιμοποιώντας τεχνολογία αιχμής
• Υποχρεωτικά καταγεγραμμένη διαδικασία χορήγησης άδειας για τους υπαλλήλους της Vistoweb

Για τα πακέτα φιλοξενίας

• Η Vistoweb αποτρέπει την μη εξουσιοδοτημένη πρόσβαση, εφαρμόζοντας τακτικά τις ενημερώσεις ασφαλείας χρησιμοποιώντας τεχνολογία αιχμής
• Υποχρεωτικά καταγεγραμμένη διαδικασία χορήγησης άδειας για τους υπαλλήλους της Vistoweb
• Μόνο η Vistoweb είναι υπεύθυνη για τη μεταφορά δεδομένων / λογισμικού όσον αφορά την ασφάλεια και τις ενημερώσεις.
• Η ευθύνη για τον έλεγχο της πρόσβασης ανήκει στον Πελάτη

Έλεγχος μεταφοράς δεδομένων

Για τα Data Center στη Νυρεμβέργη και Φάλκενσταϊν, της Γερμανίας

• Οι ελαττωματικές μονάδες δίσκου που δεν μπορούν να διαγραφούν με ασφάλεια, καταστρέφονται (κατακερματίζονται) απευθείας στο Data Center.
• Οι μονάδες δίσκου που λειτουργούσαν σε ακυρωμένους διακομιστές, περνούν μετά τη λήξη της σύμβασης από πολλαπλές διαδικασίες διαγραφής (data wiping) και αφού ολοκληρωθούν οι σχετικοί διεξοδικοί έλεγχοι, μεταφέρονται και επαναχρησιμοποιούνται.

Έλεγχος απομόνωσης

Για τα εσωτερικά συστήματα διαχείρισης της Vistoweb

• Τα δεδομένα απομονώνονται φυσικά ή λογικά και αποθηκεύονται ξεχωριστά από άλλα δεδομένα.
• Τα αντίγραφα ασφαλείας επίσης εκτελούνται χρησιμοποιώντας ένα παρόμοιο σύστημα φυσικής ή λογικής απομόνωσης.

Για τα πακέτα φιλοξενίας

• Τα δεδομένα απομονώνονται φυσικά ή λογικά και αποθηκεύονται ξεχωριστά από άλλα δεδομένα.
• Τα αντίγραφα ασφαλείας επίσης εκτελούνται χρησιμοποιώντας ένα παρόμοιο σύστημα φυσικής ή λογικής απομόνωσης.

Ψευδονοποίηση

• Ο Πελάτης είναι υπεύθυνος για την ψευδονοποίηση (pseudonymization)

II. Ακεραιότητα (Άρθρο 32 Παρ. 1 Στοιχείο β του ΓΚΠΔ)

Έλεγχος μεταφοράς δεδομένων

• Όλοι οι εργαζόμενοι εκπαιδεύονται σύμφωνα με το άρθρο. 32 παρ. 4 του ΓΚΠΔ και είναι υποχρεωμένοι να διασφαλίζουν ότι τα προσωπικά δεδομένα αντιμετωπίζονται σύμφωνα με τους κανονισμούς προστασίας δεδομένων.
• Διαγραφή των δεδομένων σύμφωνα με τους κανονισμούς προστασίας δεδομένων μετά τη λήξη της σύμβασης.
• Οι επιλογές κρυπτογραφημένης μετάδοσης δεδομένων παρέχονται στο πλαίσιο της περιγραφής της υπηρεσίας με τις αρχικές οδηγίες χρήσης.

Έλεγχος εισαγωγής δεδομένων

Για τα συστήματα εσωτερικής διαχείρισης της Vistoweb.

• Τα δεδομένα εισάγονται ή συλλέγονται από τον Πελάτη.
• Οι αλλαγές στα δεδομένα καταγράφονται.

Για τους διαχειριζόμενους διακομιστές και τα πακέτα φιλοξενίας

• Τα δεδομένα εισάγονται ή συλλέγονται από τον Πελάτη.
• Οι αλλαγές στα δεδομένα καταγράφονται.

III. Διαθεσιμότητα και Αξιοπιστία (Άρθρο 32 Παρ. 1 Στοιχείο β του ΓΚΠΔ)

Έλεγχος διαθεσιμότητας

Για τα συστήματα εσωτερικής διαχείρισης της Vistoweb και τα πακέτα φιλοξενίας

• δημιουργία καθημερινών αντιγράφων ασφαλείας όλων των σχετικών δεδομένων, με δυνατότητα άμεσης επαναφοράς
• δημιουργία αντιγράφου ασφαλείας ημέρας σε δευτερεύον δίσκο του διακομιστή
• διατήρηση αντιγράφων ασφαλείας για τις τελευταίες 7 ημέρες σε εξωτερικούς διακομιστές ασφαλείας
• εγκατάσταση προγραμμάτων ασφαλείας (antivirus, firewall, encryption, anti-spam)
• εγκατάσταση συστήματος UPS (uninterruptible power supply)
• εγκατάσταση συστήματος παροχής ηλεκτρικής ενέργειας έκτακτης ανάγκης
• παρακολούθηση (monitoring) όλων των σχετικών διακομιστών
• μόνιμη προστασία DDoS (distributed denial-of-service)

Δυνατότητας άμεσης αποκατάστασης (Άρθρο 32 Παρ. 1 Στοιχείο γ του ΓΚΠΔ)

Για τα πακέτα φιλοξενίας

• δυνατότητα άμεσης επαναφοράς αντιγράφου ασφαλείας σε περίπτωση βλάβης ή άλλου τεχνικού προβλήματος ή / και μετά από αίτημα του Πελάτη

IV. Διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση (Άρθρο 32 Παρ. 1 Στοιχείο δ του ΓΚΠΔ και Άρθρο 25 Παρ. 1 του ΓΚΠΔ)

• Το σύστημα διαχείρισης της προστασίας δεδομένων και το σύστημα διαχείρισης της ασφάλειας των πληροφοριών έχουν συνδυαστεί σε ένα DIMS (σύστημα διαχείρισης της ασφάλειας δεδομένων προστασίας δεδομένων).
• Διαχείριση απόκρισης σε περιστατικά είναι διαθέσιμη.
• Οι προεπιλεγμένες ρυθμίσεις προστασίας δεδομένων λαμβάνονται υπόψη για την ανάπτυξη λογισμικού (άρθρο 25 παράγραφος 2 του ΓΚΠΔ).

Συμφωνία ή έλεγχος των συμβάσεων

• Οι υπάλληλοι της Vistoweb ενημερώνονται τακτικά για τη νομοθεσία περί προστασίας δεδομένων και είναι εξοικειωμένοι με τις διαδικαστικές οδηγίες και τις οδηγίες χρήσης για την επεξεργασία δεδομένων εκ μέρους του Πελάτη και σε σχέση με το δικαίωμα διδασκαλίας του Πελάτη.
• Οι Γενικοί Όροι και Προϋποθέσεις περιέχουν αναλυτικές πληροφορίες σχετικά με τον τύπο και την έκταση της επεξεργασίας δεδομένων και την χρήση των προσωπικών δεδομένων του Πελάτη.
• Οι Γενικοί Όροι και Προϋποθέσεις περιέχουν λεπτομερείς πληροφορίες σχετικά με τον περιορισμό του σκοπού των προσωπικών δεδομένων του Πελάτη.
• Η Vistoweb έχει διορίσει έναν υπεύθυνο προστασίας δεδομένων της εταιρείας και έναν υπεύθυνο ασφαλείας πληροφοριών. Ο οργανισμός προστασίας δεδομένων και τα συστήματα διαχείρισης της ασφάλειας των πληροφοριών ενσωματώνουν και τους δύο αξιωματικούς στις σχετικές επιχειρησιακές διαδικασίες.