1.      Definicja bezpieczeństwa.

Przez bezpieczeństwo informacji danych osobowych klientów firmy Ekosan rozumie się zapewnienie:

  1. Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim).
  2. Integralności informacji (uniknięcie nieautoryzowanych zmian w danych).
  3. Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika)
  4. Rozliczalności operacji wykonywanych na informacjach (zapewnie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).

Właściciel ekosanodpady.pl stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie.

2.      Oznaczanie danych

Jako dane podlegające szczególnej ochronie (informacje służbowe) rozumie się:

  1. informacje o realizowanych sprzedażach (zarówno planowane, bieżące jaki historyczne),
  2. informacje finansowe Firmy,
  3. informacje organizacyjne,
  4. dane dostępowe do poszczególnych komputerów,
  5. dane osobowe,
  6. wszystkie informacje związane z działalnością firmy Ekosan są oznaczone, jako „informacji służbowe”.

3.      Zasada minimalnych uprawnień

W ramach nadawania uprawnień do danych przetwarzanych przez firmę Ekosan należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.

Przykładowo:  pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).

4.      Zasada wielowarstwowych zabezpieczeń

Ekosan chroniony jest równolegle na wielu poziomach.  Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych.

Przykładowo: w celu ochrony przed wirusami stosuje się równolegle: oprogramowanie antywirusowe, odpowiednią konfigurację systemu aktualizacji Windows, zabezpieczenia sieciowe.

5.      Zasada ograniczania dostępu

W przypadku zaistnienia odpowiedniej potrzeby, administrator danych osobowych przyznaje stosowne uprawnienia.

Przykładowo: domyślnie dostęp do bazy przechowującej dane klientów jest zabroniony. Stosowny dostęp zostaje przyznany osobie, której zajmowane stanowisko wiąże się
z koniecznością pracy w tego typu systemie.

6.      Zabezpieczenie stacji roboczych

Stacje robocze są zabezpieczone przed nieautoryzowanych dostępem osób trzecich.

Minimalne środki ochrony to:

  1. zainstalowane na stacjach systemy typu: firewall oraz antywirus,
  2. wdrożony system aktualizacji systemu operacyjnego oraz jego składników,
  3. wymaganie podania hasła przed uzyskaniem dostępu do stacji,
  4. niepozostawianie niezablokowanych stacji PC bez nadzoru,
  5. bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.

7.      Wykorzystanie haseł

  1. Hasła powinny być okresowo zmieniane.
  2. Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej).
  3. Hasła nie powinny być łatwe do odgadnięcia, to znaczy:
    1. powinny składać się z minimum 9 znaków, w tym jeden znak specjalny
    2. nie mogą przybierać prostych form, np. 123456789, stanislaw, dom99, haslo, Magda8, itp.
  4. Hasła mogą być tworzone według łączenia “losowych” (tj nie istniejących w popularnych słownikach) sylab/słów, np,: mal-tra-laza-#topa. W ten sposób można uzyskać długie hasło stosunkowo proste do zapamiętania.

8.      Odpowiedzialność pracowników za dane służbowe

Każdy pracownik odpowiada za utrzymanie w tajemnicy danych służbowych, do których dostęp został mu powierzony.

9.      Edukacja pracowników w zakresie bezpieczeństwa

Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć
w szkoleniach z zakresu:

  1. ochrony danych osobowych,
  2. świadomości istnienia problemów bezpieczeństwa,
  3. szczegółowych aspektów bezpieczeństwa.

10.  Odpowiedzialność pracowników za dane dostępowe do systemów

Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:

  1. hasła dostępowe,
  2. klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
  3. inne mechanizmy umożliwiające dostęp do systemów IT.

Przykłady ochrony danych dostępowych:

  1. nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
  2. nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
  3. ochrona danych dostępowych przed kradzieżą przez osoby trzecie.

11.  Transport danych służbowych przez pracowników

Zabrania się przenoszenia niezabezpieczonych danych służbowych poza teren firmy Ekosan. W szczególności zabrania się przenoszenia danych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Firmy.

12.  Korzystanie z firmowej infrastruktury w celach prywatnych

Zabrania się korzystania firmowej infrastruktury w celach prywatnych.

13.  Sieć lokalna

Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, przykładowo:

  1. istotne serwery muszą być odseparowywane od sieci klienckich,
  2. goście nie mogą uzyskiwać dostępu do komputerów  firmy Ekosan.

Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.

14.  Systemy IT / serwery

  1. Systemy przechowujące dane służbowe (np. dane osobowe) są zamknięte chronione fizycznie odpowiednio zabezpieczone.
  2. W działalności firmy Ekosan przyjęto zasady o poufności, integralności i rozliczalności danych osobowych.
  3. Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.

15.  Dokumentowanie bezpieczeństwa

Firma prowadzi dokumentację w zakresie dostępów do zbiorów danych / systemów udzielonych pracownikom.

Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.

16.  Dostęp do systemów firmy Ekosan po rozwiązaniu umowy o pracę

W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy.

17.  Naruszenie bezpieczeństwa

Każdy incydent jest odnotowywany, a właściciel Firmy podejmuje stosowne kroki zaradcze.