Tehničke i organizacijske mjere sigurnosti poduzete pri obradi podataka


Kontrola fizičkog pristupa podatkovnom centru

  • Koristi se video nadzor 24/7/365
  • Građevina je zaštićena alarmnim sustavom. Pristup prostorijama zaštićen je sistemom ručnog zaključavanja i sistemom ulaska pomoću pametne kartice
  • Ovlašteni ulaz je dokumentiran za svakog posjetitelja poimence
  • Definirane su procedure i pravila ulaska za treće strane / goste / posjetitelje. Ulazak i kretanja unutar podatkovnog centra dopušten je samo u pratnji ovlaštene osobe za nadzor. Postoje pravila za opoziv ovlaštenja za ulazak u zgradu i pristup računalnim sistemima, kao i njihovim dokumentima, za zaposlenike po okončanju radnog odnosa.


Kontrola pristupa sustavu

  • Mreža je zaštićena putem vatrozida
  • Implementirana je automatizirana sigurnosna provjera za sve IP adrese (SIEM)
  • Sva komunikacija između mrežnih uređaja i resursa odvija se putem enkriptiranih kanala
  • Primjenjuju se slijedeća pravila za lozinke:
    • Individualna računalna zaporka svakog zaposlenika koja se smatra tajnom
    • Najmanja dužina lozinke i kompleksnost lozinke, ako je primjenjivo: kombinacija 10 znakova i znamenki
    • Automatsko zaključavanje: nakon 5 neuspjelih pokušaja
    • Ukoliko servis dopušta korištenje 2FA/MFA mehanizma, obavezno se isti primjenjuje
  • Automatsko obavezno skeniranje virusa primjenjuje se na svim korisničkim računalima. Primjenjuje se automatizirani nadzor i izvješćivanje svih incidenata ili nepoštivanja definiranih pravila.
  • Ažuriranja sustava i aplikacija obavlja se prema preporuci proizvođača u najkraćem roku
  • Svaki pristup sustavu bilježi se. Zapisnici se pohranjuju na zasebnom sustavu


Kontrola pristupa aplikaciji od strane korisnika

  • Svaki pristup sustavu se bilježi (audit log)
  • Aplikacija ne dozvoljava pristup bez primijene enkripcijskih metoda (HTTPS)
  • Primjenjuju se slijedeće metode zaštite resursa i osiguranja šifriranog pristupa primjenom Content Security Policy (CSP), HTTP Strict Transport Security (HSTS), X-Frame-Options, CORS policy


Organizacijske mjere sigurnosti

  • Zaposlenici su pisanim putem upoznati s obvezama poštivanja sigurnosnih pravila i povjerljivosti podataka
  • Zaposlenici se redovno educiraju o novim sigurnosnim rizicima i metodama njihove prevencije i smanjenja
  • Zaposlenici Izvršitelja obrade koji obrađuju podatke Voditelja obrade ili imaju pristup istima su se pisanim putem obvezali čuvati povjerljivost u vezi s radom s osobnim podacima
  • Zaposlenici su se pisanim putem obvezali čuvati tajnost telekomunikacija
  • Imenovana kontakt osoba za zaštitu podataka je: Ivica Ojvan, +385 99 28 02 023, dpo@linijakoda.com


Raspoloživost i otpornost

  • Učestalost izrade sigurnosnih kopija (back up): 1 dnevno
  • Period čuvanja kopija: 3 mjeseca
  • Kopije su pohranjene u šifiranom obliku
  • Vrijeme potrebno za ponovno pokretanje sustava nakon kompletnog uništenja podatkovnog centra: 1 dan
  • Sinkronizacija redundatne infrastrukture: svakih 5 minuta


Podizvršitelji obrade i njihove usluge

  • Podizvršitelji imaju pristup isključivo šifriranim podacima Voditelja obrade. Enkripcijski ključevi dostupni su isključivo Izvršitelju
  • Hetzner Gmbh, Industriestr. 25, 91710 Gunzenhausen, Njemačka – data center i kolokacija servera
  • Microsoft Azure, West Europe region – backup i disaster recovery site


Izvoz i brisanje podataka

  • Izvoz korisničkih podataka moguć je na pisani zahtjev korisnika. Podaci mogu biti dostavljeni u CSV i/ili XML formatu
  • Trajno brisanje svih korisničkih podataka moguće je na pisani zahtjev korisnika

Zahtjev za brisanjem korisničkih podataka ostaje evidentiran
Zadnji puta izmijenjeno: srijeda, 29. srpnja 2020., 13:36