1.1. Nadzor dostopa do prostorov

Namen nadzora dostopa do prostorov je preprečiti, da bi nepooblaščene osebe pridobile dostop do prostorov, v katerih se obdelujejo osebni podatki. Nadzor dostopa do prostorov se izvaja zlasti z naslednjimi ukrepi: 

1. Recepcija v poslovni stavbi s stalno prisotnostjo receptorjev vsak delovni dan v času od 8:00 do 16:00; izven delovnega časa poslovno stavbo varuje zunanja varnostna služba.

2. Nadzorovan dostop do poslovnih prostorov: 

• Vsak zunanji obiskovalec mora biti predhodno najavljen in se ob prihodu v poslovno stavbo  registrira na recepciji z imenom, priimkom in telefonsko številko ter pove tudi razlog za prihod. Ob odhodu se odjavi. 
• Vrata za vstop v poslovne prostore 2Mobile so ves čas zaklenjena. Obiskovalec mora pozvoniti, da se mu omogoči vstop v poslovne prostore. 

3. Video nadzor poslovne stavbe: 

• Video nadzor v poslovni stavbi se izvaja na območju recepcije, na stopniščih in v garažah. 
• Z video nadzorom upravlja upravnik poslovne stavbe.

4. Upravljanje kartic in ključev: 

• Vsak zaposleni ima svojo vstopno kartico za vstop v poslovno stavbo. Poslovni prostor je zaklenjen s ključem, ki ga ima vsak zaposleni. Izdelava duplikata ključa ni mogoča brez kartice. 
• Omare so zaklenjene, z omejenim dostopom do ključev samo za določene zaposlene.
• Če osebi preneha zaposlitev vstopno kartico in ključ vrne. 

1.2. Nadzor dostopa do računalniških sistemov

Namen nadzora dostopa do računalniških sistemov je v preprečevanju uporabe računalniških sistemov za obdelavo osebnih podatkov s strani nepooblaščenih oseb. Nadzor dostopa do računalniških sistemov se izvaja zlasti z naslednjimi ukrepi: 

1. Požarni zid in sistem zaznavanja vdorov Windows Defender.

2. Na vseh delovnih postajah je privzeto nameščena protivirusna programska oprema Windows Defender. Redne posodobitve varnostnih knjižnic in sistema Windows zagotavlja Windows sam. 

3. Samodejno posodabljanje programske opreme (npr. operacijskega sistema, protivirusne programske opreme, brskalnikov) je privzeto vklopljeno.

4. Vsak zaposleni ima svojo delovno postajo, ki je zavarovana z geslom. Vsak zaposleni ima svoje geslo za posamezne sisteme in aplikacije.

5. Zaposleni so dolžni zaklepati delovne postaje, ko niso v uporabi. 

6. Geslo za ohranjevalnik zaslona deluje tako, da je zagotovljeno samodejno zaklepanje po 3 minutah, če zaposleni ne zaklene delovne postaje.

7. Za vsa orodja, ki jih uporabljamo za svoje poslovanje, je zagotovljena varna prijava z edinstvenim uporabniškim imenom, geslom in drugim faktorjem za preverjanje pristnosti (OTP, MFA, 2FA).

8. Minimalne zahteve za gesla in upravljanje gesel:

• Gesla morajo imeti več kot 8 znakov in vsebovati vse od sledečega: velike in male črke, številke in posebni znaki.
• Gesla se morajo zamenjati vsaj enkrat na 3 mesece.
• Posojanje gesel in uporaba skupinskih gesel je prepovedana.

9. V primeru suma varnostnih groženj administrator pošlje zahtevo vsem zaposlenim, da za določeno orodje takoj zamenjajo geslo.

10. Spremljanje varnostnih pomanjkljivosti kritičnih sistemov: Administrator je odgovoren za spremljanje status strani ponudnikov orodij v oblaku. Če so ugotovljene varnostne pomanjkljivosti, ukrepamo glede na navodila ponudnika orodja (npr. administrator pošlje zahtevo za menjavo gesla vsem uporabnikom določenega orodja).

11. V primeru prenehanja zaposlitve se osebi ukine dostop do vseh sistemov.

1.3. Nadzor dostopa do podatkov

Nadzor dostopa do podatkov vključuje ukrepe za zagotavljanje, da lahko uporabniki sistemov za obdelavo podatkov dostopajo do podatkov na podlagi dodeljene pravice dostopa in da se podatki med obdelavo, uporabo in hrambo nepooblaščeno ne berejo, kopirajo, spreminjajo ali odstranjujejo. Nadzor dostopa do podatkov se izvaja zlasti z naslednjimi ukrepi:

1. Dostop do sistemov z osebnimi podatki temelji na uporabniških računih. Zaposleni morajo  pridobiti dovoljenje za dostop in imajo dodeljen točno določen segment sistema, do katerega lahko dostopajo.  Vsi dostopi so omogočeni le z uporabniškim imenom, geslom in MFA.

2. Zaposleni imajo dostop samo do tistih podatkov, ki jih nujno potrebujejo za opravljanje svojih delovnih nalog in v skladu z načelom potrebe po seznanitvi. Splošne pravice dostopa veljajo samo za administratorja in direktorja.

3. Nosilce podatkov (npr. odpisane računalnike) pred odpisom popolno izbrišemo.

1.4. Nadzor ločene obdelave podatkov (separation control)

Nadzor nad ločevanjem vključuje ukrepe za zagotavljanje, da se podatki, zbrani za različne namene, obdelujejo ločeno. Nadzor ločene obdelave podatkov se izvaja zlasti z naslednjimi ukrepi:

1. Z ločitvijo razvojnega, testnega in produkcijskega okolja na zahtevo stranke. 

2. Orodja v oblaku omogočajo logično ločitev strank.

2.1. Nadzor prenosa

Nadzor prenosa vključuje ukrepe za zagotavljanje, da osebnih podatkov med elektronskim prenosom ali shranjevanjem ni mogoče nepooblaščeno brati, kopirati, spreminjati ali brisati. Nadzor prenosa se zagotavlja zlasti z naslednjimi ukrepi: 

1. Zaščita dokumentov z geslom

2. VPN tuneli v primeru povezave na oddaljeno okolje partnerjev

3. Požarni zid in protivirusna zaščita kot je opisano pod točko 1.2.

2.2. Nadzor vnosa

Nadzor vnosa vključuje ukrepe za zagotavljanje, da je mogoče za nazaj preveriti in ugotoviti, ali so bili osebni podatki vneseni v sisteme za obdelavo podatkov, spremenjeni ali odstranjeni (nadzor vnosa) ter kdo je to storil. Nadzor vnosa se zagotavlja zlasti z naslednjimi ukrepi: 

1. Zagotavljamo osnovno sledljivost obdelave osebnih podatkov (vnos, bisanje, spremembe) preko orodja »Windows Activity History«, preko orodja »Windows App History«, preko preverjanja zgodovine brskanja v brskalnikih, preko orodja »Event Viewer«, preko Azure Admin Portala in pregleda uporabe e-pošte oz. dostopov do e-poštnega predala zaposlenih (samo administrator).

2. Zaposleni imajo dostop samo do tistih podatkov, ki jih nujno potrebujejo za opravljanje svojih delovnih nalog in v skladu z načelom potrebe po seznanitvi. 

3. Dostop do sistemov z osebnimi podatki temelji na uporabniških računih.

Nadzor razpoložljivosti vključuje ukrepe, ki zagotavljajo, da so osebni podatki zaščiteni pred nenamernim uničenjem ali izgubo. Nadzor razpoložljivosti se izvaja zlasti z naslednjimi ukrepi: 

1. Vsi dokumenti so shranjeni v oblaku v orodjih, ki jih dnevno uporabljamo za svoje delo. Ponudniki orodij v oblaku zagotavljajo varnostno shranjevanje podatkov. Dostop do orodij v oblaku je omogočen na podlagi uporabniških računov, ki zagotavljajo MFA, OTP in 2FA.

2. V poslovni stavbi je vgrajen sistem za zaznavanje dima in ognja

3. Požarni zid in protivirusna zaščita kot je opisano pod točko 1.2.

4. V primeru varnostnih groženj oziroma varnostnih kršitev administrator vsem zaposlenim pošlje obvestilo o grožnji preko skupnih pogovornih kanalov in lahko zahteva ponastavitev gesel vseh zaposlenih.  

4.1. Zaposleni in drugi sodelavci

1. Postopki zaposlovanja so zastavljeni tako, da je zagotovljena skrbna izbira zaposlenih  (npr. pošiljanje podrobnega življenjepisa in razgovor za službo z dodatnimi vprašanji).

2. Zaposleni, ki obdelujejo osebne podatke, ali imajo do njih dostop, so se pisno obvezali, da v zvezi z obdelavo osebnih podatkov ohranijo zaupnost.

3. Zaposleni znajo prepoznati socialni inženiring.

4. Zaposleni se držijo politike gesel.

5. Zaposleni se držijo politike čistega zaslona in čiste mize.

6. Zaposleni se usposabljajo za ozaveščanje o varnosti in zasebnosti:

• Vsak novo zaposleni mora v 7 dneh od zaposlitve rešiti spletni seminar "Varni v Pisani" dostopen na naslednji povezavi: https://www.varnivpisarni.si/, certifikat mora shraniti na svojo napravo.
• Preko orodja Wizer (https://www.wizer-training.com/) vsi zaposleni enkrat letno prejmejo poziv k rešitvi "Security Annual Training", ki zajame vse aktualne trende v zvezi z varnostjo podjetij. Administrator lahko preverja ali so vsi zaposleni zaključili s treningom, zaposleni prejmejo tudi e-maile z opozorilom, da morajo zaključiti ta trening.

7. Zaposleni so seznanjeni z navodili upravljavca in zavezani, da ravnajo skladno s njimi, kar se tudi redno preverja. Upravljavci imajo po pogodbi pravico do izvajanja pregledov in revizij .

8. Vzpostavljene imamo procese za skrbno izbiro ponudnikov storitev in spremljanje izpolnjevanja pogodb. S podobdelovalci imamo sklenjene ustrezne pogodbe za obdelavo podatkov, ki vključujejo ustrezne tehnične in organizacijske varnostne ukrepe ter pravico do izvajanja pregledov in revizij.

4.2 Revizija tehničnih in organizacijskih ukrepov

1. Najmanj 1-krat letno interno ocenjujemo učinkovitost tehničnih in organizacijskih ukrepov. Ob ugotovljenih pomanjkljivostih uvedemo nove ukrepe oziroma prilagodimo obstoječe.

2. Pri razvoju programske opreme je vzpostavljeno načelo o »vgrajenem in privzetem varstvu podatkov«, tako da se pri razvijanju in oblikovanju izdelkov, storitev in aplikacij upošteva pravica do zasebnosti.

4.3. Ukrepi v primeru kršitve varstva osebnih podatkov

1. V primeru seznanitve s kršitvijo varstva osebnih podatkov, bomo upravljavca pisno obvestili brez nepotrebnega odlašanja, najkasneje pa v 24-ih urah potem, ko se bomo seznanili s kršitvijo. Pisno obvestilo bo vsebovalo:

• naravo kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število evidenc osebnih podatkov;
• verjetne posledice kršitve varnosti osebnih podatkov;
• ukrepe, ki naj jih upravljavec sprejme ali katerih sprejetje upravljavcu predlagamo za obravnavanje kršitve varnosti osebnih podatkov, pa tudi, kadar je smiselno, ukrepe za ublažitev morebitnih škodljivih učinkov kršitve. 

2. Obvestilo bo poslano po elektronski pošti na naslov pooblaščene osebe za varstvo osebnih podatkov pri upravljavcu ali druge kontaktne osebe, če upravljavec nima imenovane pooblaščene osebe za varstvo osebnih podatkov.