Bezpieczeństwo danych i procesów
Ochrona i bezpieczeństwo danych naszych Klientów jest naszym priorytetem, dlatego na bieżąco monitorujemy i doskonalimy procesy zarządzania bezpieczeństwem informacji zgodnie ze standardami normy ISO 27001
Ochrona danych
Jesteśmy zaangażowani w proces ochrony danych
Certyfikat ISO 27001 potwierdza naszą zdolność do ochrony danych
i informacji niezbędnych do naszych analiz.
Gwarantujemy naszym Klientom całkowite bezpieczeństwo danych
oraz przestrzeganie najwyższych standardów poprzez wdrożenie, aktualizowanie i utrzymywanie zintegrowanego systemu zarządzania bezpieczeństwem informacji (SZBI) i przestrzeganie zasad integralności, poufności i dostępności danych.
Dbamy o stałe doskonalenie i najwyższą jakość procesów bezpieczeństwa informacji
W ramach doskonalenia procesów ochrony i bezpieczeństwa danych w 2022 r. ukończyliśmy proces certyfikacji naszej organizacji dla normy ISO 27701, która potwierdza zgodność z wymogami RODO oraz wprowadza dodatkowe gwarancje i standardy w zakresie ochrony i zarządzania informacjami o prywatności, które wykraczają ponad wymogi RODO.
Zgodność z przepisami dotyczącymi ochrony danych- najczęściej zadawane pytania
HR
- Podpisanie Karty IT i zobowiązania do zachowania poufności
- Szkolenia, działania uświadamiające oraz regularne oceny wiedzy w zakresie bezpieczeństwa informacji
Bezpieczeństwo fizyczne
- Bezpośredni nadzór nad gośćmi przez członka zespołu Fiabilis przez cały czas wizyty
- Kontrole oraz ograniczony dostęp do pomieszczeń
Zarządzanie aktywami
- Zautomatyzowane i zdecentralizowane zarządzanie inwentarzem aktywów
- Polityka zarządzania, monitorowania i utylizacji powierzonych aktywów przez cały ich cykl życia
- Polityka bezpieczeństwa urządzeń peryferyjnych (automatyczna blokada, złożoność i rotacja haseł, ochrona w czasie rzeczywistym przed złośliwym oprogramowaniem, firewall, szyfrowanie dysków, ograniczenie instalacji oprogramowania, automatyczne aktualizacje…)
- Polityka centralnego zarządzania prawami dostępu oraz regularne, niezależne przeglądy
- Polityka zarządzania dostawcami usług i zaopatrzenia, obowiązkowe zobowiązanie do zachowania poufności, coroczny audyt ich bezpieczeństwa
- Polityka kontroli rozwoju, audyt kodu, testy podatności
- Wszystkie nasze aktywa są objęte systemem zarządzania bezpieczeństwem informacji (SMSI) certyfikowanym zgodnie z normą ISO 27001
Dane
- Wyznaczenie w każdym kraju specjalisty ds. ochrony danych osobowych w celu kontroli zgodności naszych działań z RODO i innymi przepisami dotyczącymi ochrony prywatności oraz udzielania specyficznych opinii (DPO lub Privacy Champion)
- Przechowywanie wszystkich danych klientów i danych wewnętrznych na naszej własnej infrastrukturze wewnętrznej
- Ścisła polityka wymiany i udostępniania plików wyłącznie za pomocą naszych własnych narzędzi, hostowanych wewnętrznie
- Pseudonimizacja danych już w momencie ich pobierania ze strony ZUS
- Brak przekazywania wrażliwych danych jakimkolwiek podmiotom zewnętrznym
- Obowiązkowa autoryzacja użytkowników za pomocą loginu i hasła, z koniecznością podwójnej autoryzacji (MFA) przy dostępie zdalnym (VPN)
- Centralne archiwizowanie logów dostępu do danych
- Ścisły cykl życia danych, zgodnie z obowiązującymi regulacjami (RODO) oraz lokalnymi normami (ISO 27001, ISO 27701)
- Polityka backupu jasno określająca szyfrowanie oraz lokalizację przechowywania danych, zarówno w naszej siedzibie, jak i w zewnętrznej, zabezpieczonej lokalizacji
Hosting i sieci
- Cała infrastruktura jest hostowana lokalnie w naszych własnych biurach fizycznych
- Fiabilis posiada różne sieci wewnętrzne, umożliwiające precyzyjne zarządzanie dostępem oraz separację środowisk
- Dostęp do danych jest zarezerwowany wyłącznie dla personelu Fiabilis i jest możliwy tylko poprzez lokalne połączenie fizyczne lub za pośrednictwem VPN chronionego podwójną autoryzacją (MFA)
Audyt bezpieczeństwa
- Każdego roku, zgodnie z naszą certyfikacją ISO 27001, niezależna organizacja Aenor audytuje, kontroluje i certyfikuje nasz SMSI, a także przeprowadza kontrolę naszego PMSI zgodnie z normą ISO 27701.
- Wewnętrzny plan audytowy zapewnia spójność cyklu PDCA (Plan, Do, Check, Act), niezbędną dla wszystkich naszych procesów.
- Każdego roku przeprowadzane są 3 wewnętrzne testy penetracyjne przez wewnętrzne zespoły IT. Są one uzupełniane przez 1 zewnętrzny, niezależny test penetracyjny oraz skan podatności.
Zgodność z przepisami dotyczącymi ochrony danych- najczęściej zadawane pytania
Jaką rolę w procesie przetwarzania danych Klienta pełni Fiabilis?
Fiabilis zasadniczo przetwarza dane osobowe swoich klientów jako podmiot przetwarzający. Przed rozpoczęciem analizy podpisujemy z każdym klientem odpowiednią umowę dotyczącą przetwarzania danych osobowych (Data Processing Agreement – DPA). Umowa ta precyzyjnie określa zasady, według których odbywa się przetwarzanie danych, a także nasze zobowiązania w tym procesie, zgodnie z artykułem 28 RODO.
W jaki sposób dane przekazywane są Fiabilis?
Stworzyliśmy bezpieczną i indywidualną platformę wymiany danych dla każdego klienta, za pośrednictwem której może on przesyłać swoje dane bezpośrednio na nasz serwer. Klient może również wybrać transfer danych zgodnie ze swoimi wymaganiami, na przykład za pomocą dedykowanej infrastruktury wewnętrznej dostarczonej przez siebie.
Gdzie i jak długo przechowywane są dane?
Twoje dane są przechowywane i przetwarzane wyłącznie na naszych bezpiecznych serwerach w Europie. Zgodnie z warunkami umowy DPA są one przechowywane przez uzgodniony okres, a następnie trwale usuwane po jego upływie.