Asseguramos a implementação e o cumprimento das medidas técnicas e organizacionais necessárias, de acordo com o § 32 DSGVO. Estas incluem medidas para garantir a contínua confidencialidade, disponibilidade e resiliência dos sistemas e serviços de processamento de dados. As medidas técnicas e organizacionais adequadas incluem, por exemplo, a criptografia de dados pessoais e um rigoroso controle de acesso.
O responsável pela proteção de dados da Startcon GmbH é Peder Iblher. Ele pode ser contatado em datenschutz@startcon.berlin para suas preocupações.
Utilizamos procedimentos e documentação que prevêem auditorias regulares, avaliação e avaliação da eficácia das medidas técnicas e organizacionais implementadas para garantir a segurança do processamento de dados.
Realizamos treinamentos sobre proteção e segurança de dados de dois em dois anos.
O acesso físico aos servidores é fornecido por nosso provedor de serviços em nuvem. Seus servidores estão localizados dentro da UE.
A mídia de dados também só é armazenada em locais seguros, onde há fortes controles de acesso físico.
– O acesso a todos os serviços e dados do cliente é protegido pela gestão de identidade. Isto inclui um conceito de autorização e fortes medidas de autenticação de acordo com os padrões corporativos.
– Todos os direitos de acesso e autorizações para usuários dos sistemas de processamento de dados são verificados e recertificados uma vez por ano; os direitos de acesso altamente privilegiados são recertificados pelo menos uma vez a cada seis meses.
– As tentativas de acesso sem sucesso são avaliadas regularmente.
– Todos os servidores e estações de trabalho têm configurações de segurança adequadas e são continuamente verificados quanto a vulnerabilidades. Quaisquer vulnerabilidades identificadas são tratadas de acordo.
– Todos os serviços e estações de trabalho requerem um nome de usuário e uma senha que estejam de acordo com nossa política de senhas:
– Todas as senhas contêm letras maiúsculas e minúsculas, caracteres especiais e números e têm pelo menos doze dígitos.
– As senhas não devem ser compartilhadas com ninguém. Todas as senhas devem ser tratadas como informações sensíveis e confidenciais.
– As senhas padrão não devem ser usadas ou devem ser alteradas imediatamente.
– Todas as senhas de nível de operador devem ser alteradas pelo menos uma vez a cada seis meses. No caso de autorização de acesso crítico, a mudança deve ser feita uma vez a cada trimestre.
Asseguramos que nosso pessoal autorizado e nossos consultores só acessem os dados aos quais sua autorização de acesso se aplica:
– O acesso aos recursos só é concedido se a pessoa em questão estiver autorizada a acessá-los.
– As permissões de acesso do usuário aos sistemas e dados, incluindo a configuração do supervisor e a concessão de direitos de acesso, são solicitadas, alteradas ou revogadas como parte de um fluxo de trabalho pré-definido.
– Uma conta de usuário é atribuída exclusivamente a um usuário específico.
– Todos os usuários são designados a grupos específicos.
Garantimos que os dados pessoais possam ser verificados e confirmados quando se pretende compartilhá-los e as partes interessadas tenham fornecido ou submetido seus dados pessoais para este fim.
– Todo o pessoal é responsável por garantir que os dados sejam comunicados somente quando
– isto é feito utilizando tecnologias de comunicação pré-definidas
– um claro propósito legal ou comercial é perseguido
– o membro do pessoal relevante assinou um acordo de confidencialidade aceitando a responsabilidade pela proteção de dados
– isto está de acordo com os acordos de confidencialidade existentes
– o destinatário está autorizado a receber os dados
– isto não viola os princípios de segurança explicados durante o treinamento de segurança.
– As pessoas com funções administrativas estão autorizadas a se comunicar diretamente com servidores ou aplicações, se
– a conexão é assegurada por uma forte criptografia
– a autenticidade do servidor ou aplicação foi verificada.
– A comunicação de dados aos funcionários de não-clientes ou empresas só é permitida se a parte interessada puder garantir a segurança dos dados enviados.
– A infra-estrutura de TI é protegida contra o encaminhamento eletrônico não autorizado por firewalls.
– A infra-estrutura de TI é protegida pela desativação de portos que não são necessários e por protocolos de transporte.
Garantimos que é possível rastrear se e por quem os dados pessoais foram inseridos nos sistemas de processamento de dados e se e por quem esses dados pessoais foram alterados ou apagados.
– Os sistemas de processamento de dados só podem ser usados se os usuários tiverem sido previamente submetidos a fortes controles de identificação e autenticação.
– Existe uma política de backup e retenção que define os procedimentos para backups de dados e armazenamento seguro dos dados durante o período de retenção.
Asseguramos que a confidencialidade e integridade dos dados seja protegida durante a transmissão de dados pessoais e durante o transporte de mídia de dados:
– As políticas e procedimentos estão em vigor para garantir que
– os dados enviados através de redes públicas são criptografados usando criptografia forte e certificados válidos e corretos que são testados pelo menos uma vez por trimestre
– todos os dados de autenticação são criptografados,
– todos os funcionários e parceiros estão cientes de suas responsabilidades.
– Não há comunicação de dados na forma física (pendrives, CDs, etc.).
Asseguramos que todas as funções dos sistemas de processamento de dados estejam operacionais e que os incidentes que os afetam sejam reportados por eles:
– procedimentos a serem aplicados por um responsável pela gestão de incidentes, incluindo provisões para procedimentos de escalonamento e uma árvore de chamadas
– Procedimentos de gerenciamento de incidentes
– Procedimentos de Gerenciamento de Informações e Eventos de Segurança (SIEM) para violações de segurança, perda de informações, divulgação não autorizada e outras emergências
– procedimentos padronizados de gerenciamento de mudanças e testes para garantir a prestação de serviços sem interrupções.
Asseguramos que os dados pessoais armazenados não sejam corrompidos por falhas de funcionamento do sistema:
– ter uma infra-estrutura de centro de dados redundante e um centro de dados à prova de falhas
– o uso de técnicas de gerenciamento de banco de dados que permitem a recuperação de dados no caso de mau funcionamento do sistema.
Garantimos que os dados pessoais só poderão ser processados de acordo com nossas instruções e as de nossos clientes:
– regulando todas as ordens para o processamento de dados pessoais em contratos escritos
– regular os requisitos básicos em matéria de responsabilidade, atribuição de responsabilidades, requisitos e medidas de segurança, e direitos de controle
– ajudar as autoridades contratantes no exercício de seus direitos de supervisão
– apoiar os responsáveis pela proteção de dados de nossos clientes
– verificar o cumprimento das obrigações contratuais.
Garantimos que os dados pessoais sejam protegidos contra destruição acidental ou perda através da continuidade dos negócios e regras de recuperação de desastres baseadas em uma análise de impacto comercial (BIA).
Nossa análise de impacto comercial inclui o seguinte:
– a definição do escopo dos ativos e uma identificação dos ativos incluídos nesse escopo
– Uma identificação dos ativos de TI existentes ou planejados, fluxos de dados e controle e seu respectivo status.
– uma identificação das ameaças apresentadas, os tipos de ameaças e suas fontes
– uma avaliação do impacto que uma perda de confidencialidade, integridade, autenticidade ou disponibilidade poderia ter
– medidas de proteção derivadas no caso de tal impacto.
Nosso Centro de Proteção de Dados implementou controles ambientais apropriados, inclusive:
– mecanismos automáticos de detecção de incêndio
– Medidas de proteção contra danos causados pela água
– Unidades de fornecimento ininterrupto de energia (UPS)
– Controles climáticos e de temperatura
– Monitoramento das condições ambientais dos servidores.
Asseguramos que os dados coletados para diferentes fins sejam processados separadamente:
– Processamento de dados separado para diferentes clientes
– Acesso aos sistemas de processamento somente após fortes controles de identificação e autenticação para nosso pessoal
– Realização de testes funcionais e não-funcionais
– Um procedimento padronizado para a gestão de erros.
Berlim, em maio de 2020