NOSSAS NORMAS DE PROTEÇÃO DE DADOS

NOSSAS NORMAS DE PROTEÇÃO DE DADOS

 

Básico

Asseguramos a implementação e o cumprimento das medidas técnicas e organizacionais necessárias, de acordo com o § 32 DSGVO. Estas incluem medidas para garantir a contínua confidencialidade, disponibilidade e resiliência dos sistemas e serviços de processamento de dados. As medidas técnicas e organizacionais adequadas incluem, por exemplo, a criptografia de dados pessoais e um rigoroso controle de acesso.  

Responsável pela proteção de dados

O responsável pela proteção de dados da Startcon GmbH é Peder Iblher. Ele pode ser contatado em datenschutz@startcon.berlin para suas preocupações.  

Documentação e auditoria

Utilizamos procedimentos e documentação que prevêem auditorias regulares, avaliação e avaliação da eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do processamento de dados.  

Treinamento

Realizamos treinamentos sobre proteção e segurança de dados de dois em dois anos.  

Acesso físico aos servidores

O acesso físico aos servidores é fornecido por nosso provedor de serviços em nuvem. Seus servidores estão localizados dentro da UE.  

Acesso físico aos portadores de dados

A mídia de dados também só é armazenada em locais seguros, onde há fortes controles de acesso físico.  

Armazenamento

– O acesso a todos os serviços e dados do cliente é protegido pela gestão de identidade. Isto inclui um conceito de autorização e fortes medidas de autenticação de acordo com os padrões corporativos. – Todos os direitos de acesso e autorizações para usuários dos sistemas de processamento de dados são verificados e recertificados uma vez por ano; os direitos de acesso altamente privilegiados são recertificados pelo menos uma vez a cada seis meses.  

Usuários, Política do local de trabalho

– As tentativas de acesso sem sucesso são avaliadas regularmente. – Todos os servidores e estações de trabalho têm configurações de segurança adequadas e são continuamente verificados quanto a vulnerabilidades. Quaisquer vulnerabilidades identificadas são tratadas de acordo. – Todos os serviços e estações de trabalho requerem um nome de usuário e uma senha que estejam de acordo com nossa política de senhas: – Todas as senhas contêm letras maiúsculas e minúsculas, caracteres especiais e números e têm pelo menos doze dígitos. – As senhas não devem ser compartilhadas com ninguém. Todas as senhas devem ser tratadas como informações sensíveis e confidenciais. – As senhas padrão não devem ser usadas ou devem ser alteradas imediatamente. – Todas as senhas de nível de operador devem ser alteradas pelo menos uma vez a cada seis meses. No caso de autorização de acesso crítico, a mudança deve ser feita uma vez a cada trimestre.  

Acesso aos dados

Asseguramos que nosso pessoal autorizado e nossos consultores só acessem os dados aos quais sua autorização de acesso se aplica: – O acesso aos recursos só é concedido se a pessoa em questão estiver autorizada a acessá-los. – As permissões de acesso do usuário aos sistemas e dados, incluindo a configuração do supervisor e a concessão de direitos de acesso, são solicitadas, alteradas ou revogadas como parte de um fluxo de trabalho pré-definido. – Uma conta de usuário é atribuída exclusivamente a um usuário específico. – Todos os usuários são designados a grupos específicos.  

Compartilhamento de dados

Garantimos que os dados pessoais possam ser verificados e confirmados quando se pretende compartilhá-los e as partes interessadas tenham fornecido ou submetido seus dados pessoais para este fim. – Todo o pessoal é responsável por garantir que os dados sejam comunicados somente quando – isto é feito utilizando tecnologias de comunicação pré-definidas – um claro propósito legal ou comercial é perseguido – o membro do pessoal relevante assinou um acordo de confidencialidade aceitando a responsabilidade pela proteção de dados – isto está de acordo com os acordos de confidencialidade existentes – o destinatário está autorizado a receber os dados – isto não viola os princípios de segurança explicados durante o treinamento de segurança. – As pessoas com funções administrativas estão autorizadas a se comunicar diretamente com servidores ou aplicações, se – a conexão é assegurada por uma forte criptografia – a autenticidade do servidor ou aplicação foi verificada. – A comunicação de dados aos funcionários de não-clientes ou empresas só é permitida se a parte interessada puder garantir a segurança dos dados enviados. – A infra-estrutura de TI é protegida contra o encaminhamento eletrônico não autorizado por firewalls. – A infra-estrutura de TI é protegida pela desativação de portos que não são necessários e por protocolos de transporte.  

Processamento de dados

Garantimos que é possível rastrear se e por quem os dados pessoais foram inseridos nos sistemas de processamento de dados e se e por quem esses dados pessoais foram alterados ou apagados. – Os sistemas de processamento de dados só podem ser usados se os usuários tiverem sido previamente submetidos a fortes controles de identificação e autenticação. – Existe uma política de backup e retenção que define os procedimentos para backups de dados e armazenamento seguro dos dados durante o período de retenção.  

Transporte

Asseguramos que a confidencialidade e integridade dos dados seja protegida durante a transmissão de dados pessoais e durante o transporte de mídia de dados: – As políticas e procedimentos estão em vigor para garantir que – os dados enviados através de redes públicas são criptografados usando criptografia forte e certificados válidos e corretos que são testados pelo menos uma vez por trimestre – todos os dados de autenticação são criptografados, – todos os funcionários e parceiros estão cientes de suas responsabilidades. – Não há comunicação de dados na forma física (pendrives, CDs, etc.).  

Confiabilidade

Asseguramos que todas as funções dos sistemas de processamento de dados estejam operacionais e que os incidentes que os afetam sejam reportados por eles: – procedimentos a serem aplicados por um responsável pela gestão de incidentes, incluindo provisões para procedimentos de escalonamento e uma árvore de chamadas – Procedimentos de gerenciamento de incidentes – Procedimentos de Gerenciamento de Informações e Eventos de Segurança (SIEM) para violações de segurança, perda de informações, divulgação não autorizada e outras emergências – procedimentos padronizados de gerenciamento de mudanças e testes para garantir a prestação de serviços sem interrupções.  

Integridade dos dados

Asseguramos que os dados pessoais armazenados não sejam corrompidos por falhas de funcionamento do sistema: – ter uma infra-estrutura de centro de dados redundante e um centro de dados à prova de falhas – o uso de técnicas de gerenciamento de banco de dados que permitem a recuperação de dados no caso de mau funcionamento do sistema.  

Mandato de processamento de dados

Garantimos que os dados pessoais só poderão ser processados de acordo com nossas instruções e as de nossos clientes: – regulando todas as ordens para o processamento de dados pessoais em contratos escritos – regular os requisitos básicos em matéria de responsabilidade, atribuição de responsabilidades, requisitos e medidas de segurança, e direitos de controle – ajudar as autoridades contratantes no exercício de seus direitos de supervisão – apoiar os responsáveis pela proteção de dados de nossos clientes – verificar o cumprimento das obrigações contratuais.  

Disponibilidade

Garantimos que os dados pessoais sejam protegidos contra destruição acidental ou perda através da continuidade dos negócios e regras de recuperação de desastres baseadas em uma análise de impacto comercial (BIA). Nossa análise de impacto comercial inclui o seguinte: – a definição do escopo dos ativos e uma identificação dos ativos incluídos nesse escopo – Uma identificação dos ativos de TI existentes ou planejados, fluxos de dados e controle e seu respectivo status. – uma identificação das ameaças apresentadas, os tipos de ameaças e suas fontes – uma avaliação do impacto que uma perda de confidencialidade, integridade, autenticidade ou disponibilidade poderia ter – medidas de proteção derivadas no caso de tal impacto. Nosso Centro de Proteção de Dados implementou controles ambientais apropriados, inclusive: – mecanismos automáticos de detecção de incêndio – Medidas de proteção contra danos causados pela água – Unidades de fornecimento ininterrupto de energia (UPS) – Controles climáticos e de temperatura – Monitoramento das condições ambientais dos servidores. Asseguramos que os dados coletados para diferentes fins sejam processados separadamente: – Processamento de dados separado para diferentes clientes – Acesso aos sistemas de processamento somente após fortes controles de identificação e autenticação para nosso pessoal – Realização de testes funcionais e não-funcionais – Um procedimento padronizado para a gestão de erros.   Berlim, em maio de 2020