Ferrero tehnilised ja organisatsioonilised turvameetmed
ÜLDISED MEETMED
1.1 Ferrero on viinud sisse nõuetekohaselt dokumenteeritud ja regulaarselt ajakohastatavad isikuandmete kaitse põhimõtted.
1.2 Ferrero isikuandmete kaitse protseduurid dokumenteeritakse vajadusel ametlikult, vaadatakse regulaarselt läbi ja põhjendatakse objektiivsete dokumentidega (nt koosolekute protokollid, nimekirjad, IT-logid), mis võivad demonstreerida teostatavates töötlemistoimingutes isikuandmete kaitsega seotud järjepidevat hoolsust ja valvsust.
1.3 Ferrero on nimetanud ametisse nii turvaametniku kui andmekaitseametniku, kes vastutavad turvareeglite ja -protseduuride kooskõlastamise ja jälgimise eest, samuti andmekaitse nõuetelevastavuse eest.
2. ANDMESUBJEKTI ÕIGUSED (GDPR ART. 15 jj.)
2.1 Ferrero töötajad tunnevad andmesubjektide õigusi ning vastutavale töötlejale andmesubjektide õiguste kasutamise taotluste esitamise korda.
2.2 Ferrero haldab üldregistrit, kus salvestatakse vastavad taotlused, nt taotlused andmetega tutvumise õiguse kasutamiseks.
2.3 Ferrero on nimetanud ametisse isiku/funktsiooni (andmekaitseametniku), kes vastutab vastutavale töötlejale andmesubjektide taotluste kohta kirjalike selgituste esitamise eest.
2.4 Ferrero on määranud tähtaja vastutavale töötlejale taotluste esitamiseks.
2.5 Ferreros kehtib protseduur, mille alusel dokumenteeritakse kirjalikult mistahes keeldumised, mis on antud andmesubjektide taotlustele oma õiguste kasutamiseks andmete kustutamise, töötlemise piiramise või andmete ülekandmise osas, ning mille alusel käesolevat dokumentatsiooni vastutava töötlejaga jagatakse.
3. ANDMEKAITSE PÕHIMÕTTED (GDPR ART.13) (kui see on kohaldatav)
3.1 Ferrero töötajad ja teised andmesubjektidele andmekaitse põhimõtete/isikuandmete kaitse alaste teadete esitamise eest ja/või andmesubjektide nõusoleku kohta andmete kogumise eest, samuti vastutava töötleja nimel, vastutavad isikud on isikuandmete kaitse reeglite osas väljaõpetatud.
3.2 Andmesubjektidele andmekaitse põhimõtteid/isikuandmete kaitset puudutavaid teateid saates on Ferrero töötajad ja teised vastutavad isikud suutelised andmesubjekte nende õigustest kas suuliselt või kirjalikult selgelt teavitama.
3.3 Ferrero dokumenteerib allikad, kust isikuandmeid hangitakse.
4. VOLITATUD ISIKUD (GDPR ART.29 GDPR)
4.1 Ferrero on ametlikult ametisse nimetanud volitatud isikud, tehes seda kas individuaalselt või osana homogeensetest kategooriatest.
4.2 Kõik ametisse nimetatud volitatud isikud on saanud isikuandmete töötlemise ja kaitsmise kohta kirjalikud juhised.
4.3 Volitatud isikud saavad isikuandmete kaitse osas nõuetelevastavat väljaõpet ja haridust. Väljaõpe dokumenteeritakse nõuetekohaselt.
4.4 Volitatud isikutele antud juurdepääsuõigused on nõuetelevastavad ja ajakohased. Volitatud isikutele antud juhiseid on ajakohased. Seda kontrollitakse regulaarselt.
5. VÄLJAÕPE
5.1 Uued töötajad läbivad enne isikuandmete töötlemise alustamist nõuetekohase väljaõppe.
5.2 Enne kui töötajatele usaldatakse tegevused, mis hõlmavad juurdepääsu isikuandmetele, hinnatakse töötajate ausust ja usaldusväärsust.
5.3 Volitatud isikutele antakse turvalisuse kohta regulaarseid tegevusuuendusi.
5.4 Ferrero edastab turvajuhised kõikidele volitatud isikutele.
5.5 Ferrero säilitab dokumente, mis tõendavad ja demonstreerivad läbiviidud koolitustegevusi.
6. INFOTURBE PÕHIMÕTTED
6.1 Ferrero on määratlenud kriteeriumid ja põhimõtted, mis selgitavad ettevõtte hoiakut ja tuge seoses infoturbega, samuti turvameetmed seoses mobiilseadmete ja kaugtööga (näiteks kaugtöö kodust, kaugjuurdepääs ja virtuaalsed töökohad).
6.2 Ferrero on määratlenud infoturbe rollid ja kohustused ning määranud need asjakohastele isikutele, et vältida huvide konflikte ja ennetada mistahes sobimatut tegevust.
6.3 Ferrero on sõlminud alltöötleja(te)ga nõuetelevastavad kokkulepped, mis kohustavad neid rakendama seoses isikuandmete kaitsega sobivaid tehnilisi ja organisatsioonilisi turvameetmeid.
7. INIMRESSURSSIDE TURVALISUS
7.1 Infoturbealaseid kohustusi arvestatakse enne töötajate, töövõtjate ja ajutiste töötajate tööle võtmist, värbamisel või valimisel (nt asjakohaste tööpakkumiste kirjelduste või töölevõtmisele eelneva kontrolliga) ja need lisatakse töölepingutesse või muudesse teenuslepingutesse (nt tööhõivetingimustes või mistahes muus allkirjastatud kokkuleppes, mis määratleb turvalisusega seotud rollid ja kohustused, täitmiskohustustena jne).
7.2 Ferreros korraldatakse ametlikku distsiplinaarmenetlust, mille võib töötajate, töövõtjate ja ajutiste töötajate poolt põhjustatud turvaintsidentide korral algatada.
7.3 Kui isik lahkub Ferrerost või tema rollid või kohustused muutuvad olulisel määral, käideldakse kõik turvalisusega seotud aspekte, näiteks ettevõtte kogu teabe ja kõikide seadmete tagastamise kohutusega, juurdepääsuõiguste/-volituste ajakohastamisega ja meeldetuletustega isikutele, kellel on jooksvaid kohustusi seoses andmekaitse, intellektuaalomandi, pärast lepingu lõppemist kehtima jäävate lepingutingimuste ja muuga, samuti isikule kohaldatavaid eetilisi ootusi.
7.4 Volitatud isikutele antakse juhiseid, kuidas andmekandjal olevat teavet enne andmekandja uuesti kasutamist kustutada või hävitada.
8. VARADE HALDUS
8.1 Ferrero omab ülevaadet oma infovaradest ning tuvastatud on neid varasid haldavad isikud, et tagada vastutus vastavate varade turvalisuse eest. Ferrero on määratlenud varade „aktsepteeritava kasutamise“ põhimõtted.
8.2 Andmekandjaid hallatakse, kontrollitakse, transporditakse ja kõrvaldatakse kasutusest viisil, mis ei kahjusta säilitatava teabe sisu.
8.3 Ferrero omab piisaval hulgal turvalisi konteinereid, mis jaotatakse ja on mistahes kujul (paber-, elektroonilisel või muul kujul) isikuandmete eest vastutavatele (kasvõi ajutiselt) isikutele nõuetelevastavalt kättesaadavad.
8.4 Ferrero on rakendanud meetmeid, et vältida isikuandmete erikategooriaid sisaldavate dokumentide järelevalveta jätmist, kui need usaldatakse volitatud isikutele ja eemaldatakse vastavatest kaitstud arhiividest.
8.5 Volitatud isikutel on lihtne juurdepääs ja võimalus kasutada paberdokumentide purustajaid.
8.6 Ferrero on viinud sisse paberdokumentide kasutamise, säilitamise ja hävitamise asjakohased põhimõtted.
8.7 Paberdokumendid, mis sisaldavad isikuandmete erikategooriaid, kustutatakse või eelistatult hävitatakse enne taaskasutamist.
9. JUURDEPÄÄSUKONTROLL
9.1 Ferrero infovaradele juurdepääsu kohta kehtestatud organisatsioonilised nõuded on juurdepääsukontrolli põhimõtetes/korras selgelt dokumenteeritud ning juurdepääs Ferrero võrgule ja ühendustele on piiratud.
9.2 Kasutajaid teavitatakse nende kohustustest seoses efektiivse juurdepääsukontrolli tagamisega, st tugevate paroolide valimisest ja nende konfidentsiaalsena hoidmisest.
9.3 Juurdepääs teabele on piiratud vastavalt Ferrero juurdepääsukontrolli põhimõtetele/korrale, nt turvaliste sisselogimissüsteemide, paroolihalduse, privilegeeritud juurdepääsukontrolli ja juurdepääsupiiranguga lähtekoodidele.
9.4 Ferrero kontrollib juurdepääsu tundlikesse kohtadesse. Nendesse tundlikesse kohtadesse sisenevad isikud hangivad selleks eelneva loa.
9.5 Tundlikud kohad on varustatud elektrooniliste juurdepääsukontrolli seadmetega või need on muul viisil asjakohase järelevalve all.
9.6 Ferrero vaatab tundlike kohtade nagu serveriruumide juurdepääsulogisid regulaarselt läbi, et tuvastada lubamatud juurdepääsud.
10. FÜÜSILINE JA KESKKONNAALANE TURVALISUS
10.1 Ferrero on lubamatu juurdepääsu vältimiseks määratlenud selged füüsilised piirid ja tõkked, millel on füüsilised juurdepääsukontrollimeetmed ja sisekorrad ettevõtte ruumide, kontorite, tubade, laadimis-/mahalaadimisalade kaitsmiseks (kaitse tulekahju, üleujutuste, maavärinate, pommide jms eest).
10.2 Ferrero võib kinnitada, et seadmeid ja/või teavet ei viida ettevõtte ruumidest välja ilma eelneva loata ja need on nõuetekohaselt kaitstud, sõltumata sellest, kas need asuvad ettevõtte ruumides või sealt väljas.
10.3 Andmekandjatel olev teave hävitatakse enne vastavate andmekandjate kasutusest kõrvaldamist või taaskasutamist.
10.4 Kõik järelevalveta seadmed on kaitstud ning vastaval seadmel on olemas konkreetne ruum ja selged kontrollipõhimõtted.
11. OPERATIIVNE TURVALISUS
11.1 Kasutusel on pahavaravastased kaitsemeetmed ja neid hallatakse.
11.2 Vastavalt Ferrero varunduspõhimõtetele tehakse ja hallatakse sobivaid varukoopiaid.
11.3 Varundamist testitakse. Tulemused dokumenteeritakse ja salvestatakse.
12. AUTENTIMINE JA JÄRELEVALVE
12.1 Ajaarvestussüsteemid sünkroniseeritakse, et tagada jälgimisandmete ajaline järjepidevus.
12.2 Ferrero järgib vähima privileegi põhimõtet, mille kohaselt antakse kasutajatele volitatud juurdepääs vastavalt nende tööülesannetele.
13. TEHNILISTE NÕRKUSTE JUHTIMINE
13.1 Ferrero võib kinnitada, et töötatud on välja tehniliste nõrkuste juhtimisprotsess, mis tuvastab nõrkusteabe usaldusväärsete väliste allikate abil turvapuudused ja määrab turvaaukude riskiklassifikatsiooni.
13.2 Kohaldatavuse selgitamiseks hinnatakse teadaolevate turvaaukude parandamisega seotud süsteemikomponente ja tarkvarauuendusi, sobivuse korral testitakse neid enne installeerimist ning need rakendatakse õigeaegselt.
13.3 Uute turvaaukude tekkimise vältimiseks on kehtestatud reeglid kasutajate poolt tarkvara paigaldamisele.
13.4 Ferrero on määratlenud ja võtnud rakenduse ja infrastruktuuri tasandil kasutusele läbistustestimise protsessi.
14. KOMMUNIKATSIOONI TURVALISUS
14.1 Ferrero on viinud sisse kaitsemeetmed kontrollimaks kommunikatsiooni infrastruktuuri sise- ja välispiiridel.
14.2 Ferrero on viinud sisse põhimõtted, protseduurid ja kokkulepped (nt mitteavaldamise lepingud, isikuandmete töötlemise lepingud) teabe edastamise/saamise kohta kolmandatele(-t) isikutele(-t), kaasa arvatud elektrooniliste sõnumite vahendusel.
14.3 Ferrero on infosüsteemide ja ettevõtte võrgu vaheliseks kommunikatsiooniks viinud sisse turvalised kanalid (nt krüpteeritud protokollid ettevõtte võrguga ühendumisel ja/või VPN kaugühenduste korral).
15. SÜSTEEMI HANKIMINE, ARENDAMINE JA HOOLDUS
15.1 Ferrero analüüsib ja täpsustab turvakontrolli nõudeid, sealhulgas veebirakenduste ja tehingute osas.
15.2 Tarkvara turvalisust/süsteemiarendust reguleerivad reeglid on sätestatud kooskõlas Ferrero sisepoliitikaga.
15.3 Muudatusi hallatakse, teostatakse, vaadatakse läbi ja kinnitatakse (eelistatult programmi kaudu) enne tootmisse andmist selleks ettenähtud keskkonnas.
15.4 Rakendusparameetrite konfiguratsioonimuudatused kinnitatakse enne sisse viimist ning valideeritakse pärast nende teostamist.
15.5 Tarkvarapakette ei muudeta ning täidetakse süsteemi turvalisuse tehnilisi põhimõtteid.
15.6 Arendus-, testimis- ja tootmiskeskkonnad on üksteisest eraldatud, et vältida volitamata juurdepääsu või muudatusi tootmissüsteemides või koodihoidlates.
15.7 Kõiki katseandmeid valitakse, genereeritakse ja kontrollitakse hoolikalt.
16. SUHTED TARNIJATEGA
16.1 Ferrero on viinud sisse põhimõtted, protseduurid, teadlikkuse tõstmise tegevused jms, et kaitsta kogu tarneahelas IT-alltöövõtjatele ja teistele välistarnijatele (olgu need alltöötlejad või mitte) kättesaadavat organisatsioonilist teavet. Need kajastuvad vastavate isikutega sõlmitud kirjalikes kokkulepetes.
17. INFOTURBEINTSIDENDI HALDAMINE
17.1 Ferrero on viinud sisse kohustused ja protseduurid, millega hallatakse (teavitatakse, hinnatakse, reageeritakse ja õpitakse) infoturbesündmusi, -intsidente ja -auke, kaasa arvatud isikuandmete rikkumist, ühtsel ja efektiivsel viisil, et võimaldada vastutava töötleja õigeaegset teavitamist ja vajadusel nõuetelevastavate tõendite kogumist.
18. INFOTURBE ASPEKTID SEOSES ÄRITEGEVUSE JÄRJEPIDEVUSEJUHTIMISEGA
18.1 Ferrero on oma äritegevuse juhtimissüsteemide lahutamatu osana planeerinud, viinud sisse, testinud ja vaadanud läbi infoturbe järjepidevuse.
18.2 Ferrerol on käideldavusnõuete täitmiseks piisavalt liiasust.
19. NÕUETELEVASTAVUS
19.1 Ferrero on tuvastanud ja dokumenteerinud oma infoturbe kohustused ametiasutuste (sealhulgas järelevalveasutuste) ja teiste kolmandate isikute ees, kaasa arvatud seoses intellektuaalomandi, ettevõtte või muude dokumentide, andmekaitse ja krüpteerimisega.
Viimati uuendatud: juunis 2018