2Mobile d.o.o. izvaja naslednje tehnične in organizacijske ukrepe za zagotovitev ustrezne ravni varnosti osebnih podatkov, ob upoštevanju narave, obsega, okoliščin in namena obdelave ter tveganj za pravice in svoboščine posameznikov:
1.1. Nadzor dostopa do prostorov
Namen nadzora dostopa do prostorov je preprečiti, da bi nepooblaščene osebe pridobile dostop do prostorov, v katerih se obdelujejo osebni podatki. Nadzor dostopa do prostorov se izvaja zlasti z naslednjimi ukrepi:
1. Recepcija v poslovni stavbi s stalno prisotnostjo receptorjev vsak delovni dan v času od 8:00 do 16:00; izven delovnega časa poslovno stavbo varuje zunanja varnostna služba.
2. Nadzorovan dostop do poslovnih prostorov:
3. Video nadzor poslovne stavbe:
4. Upravljanje kartic in ključev:
1.2. Nadzor dostopa do računalniških sistemov
Namen nadzora dostopa do računalniških sistemov je v preprečevanju uporabe računalniških sistemov za obdelavo osebnih podatkov s strani nepooblaščenih oseb. Nadzor dostopa do računalniških sistemov se izvaja zlasti z naslednjimi ukrepi:
1. Požarni zid in sistem zaznavanja vdorov Windows Defender.
2. Na vseh delovnih postajah je privzeto nameščena protivirusna programska oprema Windows Defender. Redne posodobitve varnostnih knjižnic in sistema Windows zagotavlja Windows sam.
3. Samodejno posodabljanje programske opreme (npr. operacijskega sistema, protivirusne programske opreme, brskalnikov) je privzeto vklopljeno.
4. Vsak zaposleni ima svojo delovno postajo, ki je zavarovana z geslom. Vsak zaposleni ima svoje geslo za posamezne sisteme in aplikacije.
5. Zaposleni so dolžni zaklepati delovne postaje, ko niso v uporabi.
6. Geslo za ohranjevalnik zaslona deluje tako, da je zagotovljeno samodejno zaklepanje po 3 minutah, če zaposleni ne zaklene delovne postaje.
7. Za vsa orodja, ki jih uporabljamo za svoje poslovanje, je zagotovljena varna prijava z edinstvenim uporabniškim imenom, geslom in drugim faktorjem za preverjanje pristnosti (OTP, MFA, 2FA).
8. Minimalne zahteve za gesla in upravljanje gesel:
9. V primeru suma varnostnih groženj administrator pošlje zahtevo vsem zaposlenim, da za določeno orodje takoj zamenjajo geslo.
10. Spremljanje varnostnih pomanjkljivosti kritičnih sistemov: Administrator je odgovoren za spremljanje status strani ponudnikov orodij v oblaku. Če so ugotovljene varnostne pomanjkljivosti, ukrepamo glede na navodila ponudnika orodja (npr. administrator pošlje zahtevo za menjavo gesla vsem uporabnikom določenega orodja).
11. V primeru prenehanja zaposlitve se osebi ukine dostop do vseh sistemov.
1.3. Nadzor dostopa do podatkov
Nadzor dostopa do podatkov vključuje ukrepe za zagotavljanje, da lahko uporabniki sistemov za obdelavo podatkov dostopajo do podatkov na podlagi dodeljene pravice dostopa in da se podatki med obdelavo, uporabo in hrambo nepooblaščeno ne berejo, kopirajo, spreminjajo ali odstranjujejo. Nadzor dostopa do podatkov se izvaja zlasti z naslednjimi ukrepi:
1. Dostop do sistemov z osebnimi podatki temelji na uporabniških računih. Zaposleni morajo pridobiti dovoljenje za dostop in imajo dodeljen točno določen segment sistema, do katerega lahko dostopajo. Vsi dostopi so omogočeni le z uporabniškim imenom, geslom in MFA.
2. Zaposleni imajo dostop samo do tistih podatkov, ki jih nujno potrebujejo za opravljanje svojih delovnih nalog in v skladu z načelom potrebe po seznanitvi. Splošne pravice dostopa veljajo samo za administratorja in direktorja.
3. Nosilce podatkov (npr. odpisane računalnike) pred odpisom popolno izbrišemo.
1.4. Nadzor ločene obdelave podatkov (separation control)
Nadzor nad ločevanjem vključuje ukrepe za zagotavljanje, da se podatki, zbrani za različne namene, obdelujejo ločeno. Nadzor ločene obdelave podatkov se izvaja zlasti z naslednjimi ukrepi:
1. Z ločitvijo razvojnega, testnega in produkcijskega okolja na zahtevo stranke.
2. Orodja v oblaku omogočajo logično ločitev strank.
2.1. Nadzor prenosa
Nadzor prenosa vključuje ukrepe za zagotavljanje, da osebnih podatkov med elektronskim prenosom ali shranjevanjem ni mogoče nepooblaščeno brati, kopirati, spreminjati ali brisati. Nadzor prenosa se zagotavlja zlasti z naslednjimi ukrepi:
1. Zaščita dokumentov z geslom
2. VPN tuneli v primeru povezave na oddaljeno okolje partnerjev
3. Požarni zid in protivirusna zaščita kot je opisano pod točko 1.2.
2.2. Nadzor vnosa
Nadzor vnosa vključuje ukrepe za zagotavljanje, da je mogoče za nazaj preveriti in ugotoviti, ali so bili osebni podatki vneseni v sisteme za obdelavo podatkov, spremenjeni ali odstranjeni (nadzor vnosa) ter kdo je to storil. Nadzor vnosa se zagotavlja zlasti z naslednjimi ukrepi:
1. Zagotavljamo osnovno sledljivost obdelave osebnih podatkov (vnos, bisanje, spremembe) preko orodja »Windows Activity History«, preko orodja »Windows App History«, preko preverjanja zgodovine brskanja v brskalnikih, preko orodja »Event Viewer«, preko Azure Admin Portala in pregleda uporabe e-pošte oz. dostopov do e-poštnega predala zaposlenih (samo administrator).
2. Zaposleni imajo dostop samo do tistih podatkov, ki jih nujno potrebujejo za opravljanje svojih delovnih nalog in v skladu z načelom potrebe po seznanitvi.
3. Dostop do sistemov z osebnimi podatki temelji na uporabniških računih.
Nadzor razpoložljivosti vključuje ukrepe, ki zagotavljajo, da so osebni podatki zaščiteni pred nenamernim uničenjem ali izgubo. Nadzor razpoložljivosti se izvaja zlasti z naslednjimi ukrepi:
1. Vsi dokumenti so shranjeni v oblaku v orodjih, ki jih dnevno uporabljamo za svoje delo. Ponudniki orodij v oblaku zagotavljajo varnostno shranjevanje podatkov. Dostop do orodij v oblaku je omogočen na podlagi uporabniških računov, ki zagotavljajo MFA, OTP in 2FA.
2. V poslovni stavbi je vgrajen sistem za zaznavanje dima in ognja
3. Požarni zid in protivirusna zaščita kot je opisano pod točko 1.2.
4. V primeru varnostnih groženj oziroma varnostnih kršitev administrator vsem zaposlenim pošlje obvestilo o grožnji preko skupnih pogovornih kanalov in lahko zahteva ponastavitev gesel vseh zaposlenih.
4.1. Zaposleni in drugi sodelavci
1. Postopki zaposlovanja so zastavljeni tako, da je zagotovljena skrbna izbira zaposlenih (npr. pošiljanje podrobnega življenjepisa in razgovor za službo z dodatnimi vprašanji).
2. Zaposleni, ki obdelujejo osebne podatke, ali imajo do njih dostop, so se pisno obvezali, da v zvezi z obdelavo osebnih podatkov ohranijo zaupnost.
3. Zaposleni znajo prepoznati socialni inženiring.
4. Zaposleni se držijo politike gesel.
5. Zaposleni se držijo politike čistega zaslona in čiste mize.
6. Zaposleni se usposabljajo za ozaveščanje o varnosti in zasebnosti:
7. Zaposleni so seznanjeni z navodili upravljavca in zavezani, da ravnajo skladno s njimi, kar se tudi redno preverja. Upravljavci imajo po pogodbi pravico do izvajanja pregledov in revizij .
8. Vzpostavljene imamo procese za skrbno izbiro ponudnikov storitev in spremljanje izpolnjevanja pogodb. S podobdelovalci imamo sklenjene ustrezne pogodbe za obdelavo podatkov, ki vključujejo ustrezne tehnične in organizacijske varnostne ukrepe ter pravico do izvajanja pregledov in revizij.
4.2 Revizija tehničnih in organizacijskih ukrepov
1. Najmanj 1-krat letno interno ocenjujemo učinkovitost tehničnih in organizacijskih ukrepov. Ob ugotovljenih pomanjkljivostih uvedemo nove ukrepe oziroma prilagodimo obstoječe.
2. Pri razvoju programske opreme je vzpostavljeno načelo o »vgrajenem in privzetem varstvu podatkov«, tako da se pri razvijanju in oblikovanju izdelkov, storitev in aplikacij upošteva pravica do zasebnosti.
4.3. Ukrepi v primeru kršitve varstva osebnih podatkov
1. V primeru seznanitve s kršitvijo varstva osebnih podatkov, bomo upravljavca pisno obvestili brez nepotrebnega odlašanja, najkasneje pa v 24-ih urah potem, ko se bomo seznanili s kršitvijo. Pisno obvestilo bo vsebovalo:
2. Obvestilo bo poslano po elektronski pošti na naslov pooblaščene osebe za varstvo osebnih podatkov pri upravljavcu ali druge kontaktne osebe, če upravljavec nima imenovane pooblaščene osebe za varstvo osebnih podatkov.
2Mobile d.o.o.
Pri 2Mobile smo specialisti za pripravo strategij pogovornega trženja in večkanalno komunikacijo z uporabniki. Naša agilna razvojna ekipa zagotavlja hitro podporo pri vpeljevanju tehnoloških rešitev s področja pogovornega trženja, vse od enostavnih SMS vmesnikov do pametnih pogovornih botov z uporabo umetne inteligence.
Zagovarjamo medosebno zaupanje med partnerji in naročniki ter vedno stremimo k zadovoljstvu in dolgoročnemu sodelovanju.
Naše tehnološke rešitve, ki jih kot ekskluzivni zastopnik za regijo zagotavljamo v sodelovanju z globalnim partnerjem Liveperson, naročnikom omogočajo višji delež prodaje, saj spodbujajo zvestobo in zadovoljstvo strank.