SAUGUMO PRIEMONIŲ APRAŠAS

Paslaugų teikėjas: Zebracloud AB

juridinio asmens kodas: 305694624, buveinės adresas: Verkių g. 34-2, LT-08221 Vilnius

Saugumo priemonių aprašas: Periodiškai atnaujinamas dokumentas, kuriame aprašytos Paslaugų teikėjo veikloje taikomos techninės ir organizacinės duomenų apsaugos priemonės
Saugumo priemonių aprašas skelbiamas: www.zebracloud.com
Saugumo priemonių aprašas paskutinį kartą atnaujintas: 2021-07-01

                             Saugumo priemonių aprašas yra neatskiriama sutarčių tarp Paslaugų teikėjo ir jo klientų dalis

Paslaugų teikėjo taikomos duomenų apsaugos priemonės yra organizacinės ir techninės:

1. Konfidencialumas. Darbuotojai vadovaujasi saugaus stalo politika bei yra supažindinti pasirašytinai su duomenų saugumui keliamais reikalavimais. Taip pat visi darbuotojai yra pasirašę konfidencialios informacijos saugojimo sutartis.

2. Darbuotojai. Darbuotojai yra supažindinti su duomenų saugumo svarba, taisyklėmis ir jiems priskirtomis atsakomybėmis, siekiant užtikrinti duomenų (įskaitant asmens) apsaugą. Taip pat yra paskirtas darbuotojas, atsakingas už duomenų apsaugą organizacijoje, žinių sklaidą BDAR reikalavimų užtikrinimą bei nuolatinę priežiūrą.

3. Procesų valdymas. Parengta ir puoselėjama vadybos sistema, padedanti valdyti duomenų apsaugą, užkirsti kelią potencialiai, veiklą įtakojančiai grėsmei, minimizuojant neigiamą incidentų bei rizikų
pasireiškimo tikimybę bei poveikį. Darbuotojų atsakomybės, įgaliojimai ir įsipareigojimai nustatyti vidaus tvarkos dokumentuose, pareigybiniuose nuostatuose.

4. Teisės aktai. Laikomasi Lietuvos Respublikos įstatymų, teisės aktų, o taip pat sutartyse tarp Paslaugų teikėjo ir klientų, tiekėjų/ subrangovų bei partnerių numatytų įsipareigojimų.

5. Naudojamos informacinės sistemos. Renkantis organizacijos veiklai reikalingas informacines sistemas (toliau – IS) yra įvertinamas poveikis duomenų apsaugai pagal BDAR reikalavimus. Naudojama tik sertifikuota programinė įranga, kuri atnaujinama laikantis nustatytos tvarkos.

6. Praėjimo kontrolė. Darbuotojai teikia paslaugas iš Paslaugų teikėjo patalpų, patekimas į kurias yra apsaugotas naudojant praėjimo kontrolės sistemą.

7. Darbuotojų darbo vietos saugumas. Visi organizacijos kompiuteriai apsaugoti nuo virusų bei kenkėjiškų programų. Darbo vietų kompiuterių programinė įranga reguliariai atnaujinama.

8. Išorinio įsilaužimo prevencija. Naudojami išorinės apsaugos lygmenys pasitelkiant įsilaužimo prevencijos sprendimais. Tinklo perimetras apsaugotas ugniasiene (firewall). Visi saugumo incidentai apdorojami pagal saugumo užtikrinimo procesą, kuris nuolatos yra tobulinamas, o sistemos atnaujinamos ir prižiūrimos pagal gamintojų reikalavimus.

9. Duomenų centrai. Naudojami duomenų centrai, atitinkantys aukščiausius saugumo standartų reikalavimus bei informacijos saugojimo politiką Europos Sąjungoje. Perkamos debesų kompiuterijos paslaugos, kurios atitinka saugos standartus, plačiau https://upcloud.com/data-centres/#NL-AMS1

10. Duomenų valdymo prieinamumas. Griežtai apribotas darbuotojų skaičius, turinčių prieigos teisę prie duomenų centrų ir duomenų bazių. Kiekvienas saugumo incidentas arba numanomas saugumo incidentas yra registruojamas, išanalizuojamas.

11. Atsarginės duomenų kopijos. Duomenų atsarginės kopijos atliekamos priklausomai nuo kliento pasirinkto plano. Duomenų atsarginės kopijos yra užšifruojamos. Visos duomenų atsarginės kopijos saugomos mažiausiai vieną savaitę, sudarant galimybę duomenis atkurti.

12. Slaptažodžių valdymas. Paslaugų teikėjo darbuotojams suteikiami unikalūs prisijungimo prie resursų vardai ir slaptažodžiai. Darbuotojai privalo saugoti suteiktą prieigos informaciją ir neatskleisti jos tretiesiems asmenims. Prisijungimo duomenys yra būtini norint prisijungti prie IT sistemų ar prie kitos kompiuterinės įrangos, laikmenų, dokumentų ir pan. Darbuotojui nesinaudojus kompiuteriu ilgiau nei 20 min., automatiškai yra užrakinama jo paskyra.

13. Klientų slaptažodžių valdymas, autentifikavimas ir prieigos kontrolė. Klientai prie savo paskyrų jungiasi su slaptažodžiais. Klientai turi galimybę susikurti slaptažodį, vadovaujantis nustatytomis taisyklėmis. Slaptažodis patikrinamas pagal slaptažodžio saugumo politikos standartą ir saugomas naudojant pažangiuosius kodavimo algoritmus.

14. Jungimasis prie Kliento paskyros. Paslaugų teikėjo atsakingi darbuotojai, esant poreikiui jungtis prie Kliento paskyros, konsultuojant arba sprendžiant incidentus, keitimus (klaidas), prieš tai privalomai pasiteirauja, ar Klientas sutinka.

15. Kreipinių apskaita. Visi klientų kreipiniai yra fiksuojami centralizuotoje sistemoje. Prisijungimas prie sistemos yra valdomas slaptažodžiu. Sistemoje valdomi incidentai, keitimai (klaidos) bei konsultacijos.

16. Sistemos saugumo užtikrinimo procesas. Pilnas saugumo reikalavimų proceso ciklas yra visiškai integruotas į Sistemos programinės įrangos kūrimo ir diegimo ciklą, kuris apima:

  • Nustatytus vidinius saugumo reikalavimus, politiką ir gerąsias praktikas, taikomas Sistemos vystymo metu.
  •  Priežiūrą architektūros, funkcionalumo projektavimo ir kūrimo etapuose.
  •  Reguliari analizė, siekiant užtikrinti saugų, optimalų ir tvarkingą programavimo kodą.
  •  Saugumo mokymus darbuotojams.

17. Klientų veiklos stebėjimas. Sistemoje yra saugomi naudotojų pagrindinės veiklos istorijos įrašai.

18. Mobili prieiga. Suteikiama mobili prieiga prie Kliento paskyros duomenų per Android ir iOS mobiliųjų naršyklių programas, kurios turi identiškus saugumo reikalavimus kaip jungiantis per standartinę naršyklę.

19. Turinio atkūrimas. Suteikiama galimybė pagal Sutarties sąlygas atkurti norimą saugomą atsarginę duomenų kopiją, apie tokį poreikį turi būti pranešta atitinkamais kontaktais kuo skubiau.

20. Apsauga nuo kenksmingų programų. Visa įranga, jungiama prie organizacijos tinklo, yra apsaugota antivirusine programine įranga ir yra automatiškai reguliariai atnaujinama. Visuose darbuotojų kompiuteriuose reguliariai yra atliekamas viso kompiuterio skenavimas nuo kenksmingų programų.

21. Saugus duomenų persiuntimas (SSL) Siekiant užtikrinti saugų ryšį tarp kliento žiniatinklio naršyklės ar kitos programos ir Sistemos naudojamas SSL klasės protokolas.

22. Operacinė sistema. Darbo aplinkoje yra gamintojo palaikoma ir legali operacinė sistema.

23. Programinė įranga. Visai programinei įrangai diegiamos kritinės ir svarbios programinės įrangos saugumo pažeidžiamumus taisančios pataisos.

24. IT architektūrinė prevencija. Skirtingų klientų paskyrų duomenys yra saugomi skirtingose duomenų bazėse. Šis sprendimas užtikrina duomenų saugumą ir konfidencialumą net programinės klaidos atveju.

25. Užkardos ir įsibrovimo aptikimas. Kiekviename serveryje yra ugniasienės, kurios automatiškai uždaro prieigą prie išorinių serverių, atidarant tik tas prieigas, kurių reikia norint pasiekti duomenis.