1. REGULI GENERALE
Art. 1 Prezentele proceduri stabilesc măsuri tehnice şi organizatorice pentru îndeplinirea obligaţiilor referitoare la securitatea şi controlul sistemelor informatice, în vederea asigurării confidenţialității datelor şi informaţiilor precum şi pentru păstrarea în siguranţă a acestora, în cadrul activităţii curente executate de EVOLUSAN PRO SRL. Prin cerinţe minime de securitate este avut în vedere un complex de măsuri tehnice, informatice, organizatorice, logistice, proceduri şi politici de securitate prin care să se asigure nivelul minim de securitate prevăzut în art. 20 din Legea nr. 677/2001, în conformitate cu cerinţele minime de securitate a prelucrărilor de date cu caracter personal.
Art. 2 Societatea a adoptat măsuri tehnice şi organizatorice adecvate pentru protejarea datelor cu caracter personal împotriva distrugerilor accidentale sau ilegale, pierderii, modificării, dezvăluirii sau accesului neautorizat.
Art. 3 Societatea a luat măsuri de stocare în siguranţă a informaţiilor, astfel încât sa fie asigurat un nivel adecvat de protectie şi securitate, în sensul legii 677/2001.
Art. 4 Pentru îndeplinirea prevederilor legale aferente şi în vederea satisfacerii cerinţelor păstrării în siguranţă a datelor şi informaţiilor, societatea a elaborat şi implementat măsuri organizatorice şi tehnice prin respectarea urmatoarelor principii:
Notificarea: Operatorul de date cu caracter personal este notificat la Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal;
Legalitatea. Prelucrarea datelor cu caracter personal se face în temeiul și în conformitate cu prevederile legale;
Scopul bine-determinat. Orice prelucrare de date cu caracter personal se face în scopuri bine determinate, explicite și legitime, adecvate, pertinente și neexcesive prin raportare la scopul in care sunt colectate și ulterior prelucrate;
Confidentialitatea. Regulamentul intern de organizare și funcţionare al instituţiei conţine reglementări cu privire la confidenţialitatea informaţiilor.
Consimţamantul persoanei vizate. Orice prelucrare de date cu caracter personal, cu exceptia prelucrarilor care vizează date din categoriile strict mentionate în Legea 677/2001, poate fi efectuată numai dacă persoana vizată și-a dat consimţământul în mod expres și neechivoc pentru acea prelucrare;
Informarea. Informarea persoanelor se face de către instituția care prelucrează datele personale ale persoanei vizate;
Protejarea persoanelor vizate. Persoanele vizate au dreptul de acces la datele care sunt prelucrate, de a interveni asupra acestora, de opozitie și de a nu fi supus unei decizii individuale, precum și dreptul de a se adresa Autoritaţii Nationale de Supraveghere a Prelucrarii Datelor cu Caracter Personal sau instanței de judecată pentru apărarea oricăror drepturi garantate de lege, care le-au fost încălcate;
Securitatea. Măsurile de securitate a datelor cu caracter personal sunt stabilite astfel încât să asigure un nivel adecvat de securitate a datelor cu caracter personal procesate.
2. PROCEDURI SPECIFICE
Art. 5 IDENTIFICAREA ŞI AUTENTIFICAREA UTILIZATORULUI
Prin utilizator se înţelege orice persoană care acţionează sub autoritatea operatorului, cu drept recunoscut de acces la bazele de date cu caracter personal.
Utilizatorii, pentru a căpăta acces la o bază de date cu caracter personal, trebuie să se identifice.
Identificarea în cadrul EVOLUSAN PRO SRL se face prin introducerea codului de identificare de la tastatură (un şir de caractere),
Fiecare utilizator are propriul său cod de identificare. Niciodată nu este alocat acelaşi cod de indentificare mai multor utilizatori.
Codurile de identificare (sau conturi de utilizator) nefolosite o perioadă mai îndelungată sunt dezactivate şi distruse după un control prealabil intern al operatorului. Perioada după care codurile trebuie dezactivate şi distruse este stabilită prin proceduri interne de operator.
Orice cont de utilizator este însoţit de o modalitate de autentificare. Autentificarea se face prin introducerea unei parole.
Parolele sunt şiruri de caractere, adecvate din punct de vedere al securităţii ca lungime şi compoziţie. La introducerea parolelor acestea nu sunt afişate în clar pe monitor. Parolele sunt schimbate periodic în funcţie de politicile de securitate ale operatorului. Schimbarea periodică a parolelor se face numai de către utilizatori autorizaţi de operator.
Orice utilizator care primeşte un cod de identificare şi un mijloc de autentificare este obligat prin fişa postului să păstreze confidenţialitatea acestora şi să răspundă în acest sens în faţa operatorului.
Este stabilită o procedură proprie de administrare şi gestionare a conturilor de utilizator.
Operatorul a autorizat anumiţi utilizatori pentru a revoca sau a suspenda un cod de identificare şi autentificare, dacă utilizatorul acestora şi-a dat demisia ori a fost concediat, şi-a încheiat contractul, a fost transferat la alt serviciu şi noile sarcini nu îi solicită accesul la date cu caracter personal, a abuzat de codurile primite sau dacă va absenta o perioadă îndelungată stabilită de entitate.
Accesul utilizatorilor la bazele de date cu caracter personal efectuate manual se face numai pe baza unei liste aprobate de conducerea entităţii.
Art. 6 TIPUL DE ACCES
Utilizatorii pot accesa numai datele cu caracter personal necesare pentru îndeplinirea atribuţiilor lor de serviciu. Pentru aceasta sunt stabilite tipurile de acces după funcţionalitate (administrare, introducere, prelucrare, salvare etc.) şi după acţiuni aplicate asupra datelor cu caracter personal (scriere, citire, ştergere), precum şi procedurile privind aceste tipuri de acces.
Compartimentul care asigură suportul tehnic poate avea acces la datele cu caracter personal pentru rezolvarea unor cazuri excepţionale.
Alte măsuri de control al acesulului sunt:
– în spaţiile destinate desfăşurării activităţii societăţii sunt instalate sisteme de alarmă
antiefracţie şi de alarmă în caz de incendiu ;
– accesul în incinta EVOLUSAN PRO SRL se face pe bază de coduri de acces;
Art. 7 COLECTAREA DATELOR
Operatorul desemnează utilizatori autorizaţi pentru operaţiile de colectare şi introducere de date cu caracter personal într-un sistem informaţional.
Orice modificare a datelor cu caracter personal se poate face numai de către utilizatori autorizaţi desemnaţi de operator.
Art. 8 EXECUŢIA COPIILOR DE SIGURANŢĂ
Operatorul stabileşte intervalul de timp la care se vor executa copiile de siguranţă ale bazelor de date cu caracter personal, precum şi ale programelor folosite pentru prelucrările automatizate. Utilizatorii care execută aceste copii de siguranţă sunt numiţi de operator, într-un număr restrâns.
Art. 9 COMPUTERELE ŞI TERMINALELE DE ACCES
Computerele şi alte terminale de acces sunt instalate în încăperi care se pot încuia.
Serverele care găzduiesc bazele de date ce conţin clienţii pot fi accesate doar în mod controlat, pe baza de drepturi de acces; nu pot fi accesate din afara retelei. Nu este permisa scoaterea din societate a mediilor de stocare mobile (CD/DVD, USB Stick, Portable HDD), decat cu aprobare prealabila din partea conducerii societatii.
Art. 10 INSTRUIREA PERSONALULUI
În cadrul cursurilor de pregătire a utilizatorilor operatorul face informarea acestora cu privire la prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, la cerinţele minime de securitate a prelucrărilor de date cu caracter personal, precum şi cu privire la riscurile pe care le comportă prelucrarea datelor cu character personal, în funcţie de specificul activităţii.
Utilizatorii care au acces la date cu caracter personal sunt instruiţi de către operator asupra confidenţialităţii acestora. Utilizatorii sunt obligaţi să îşi închidă sesiunea de lucru atunci când părăsesc locul de muncă.
Salariaților care au acces la datele cu caracter personal ale clienţilor le este interzis să le transfere sau să le utilizeze în alte scopuri decât cele strict profesionale. În acest scop, aceştia sunt obligaţi să semneze un angajament scris.
Art. 11 FOLOSIREA COMPUTERELOR
Pentru menţinerea securităţii prelucrării datelor cu caracter personal (în special împotriva viruşilor informatici) operatorul va lua măsuri care vor consta în:
– interzicerea folosirii de către utilizatori a programelor software care provin din surse externe sau dubioase;
– informarea utilizatorilor în privinţa pericolului privind viruşii informatici;
– implementarea unor sisteme automate de devirusare şi de securitate a sistemelor informatice;
– dezactivarea, pe cât posibil, a tastei “Print screen”, atunci când sunt afişate pe monitor date cu caracter personal, interzicându-se astfel scoaterea la imprimantă a acestora.
3. MĂSURI SUPLIMENTARE
Art. 12 Accesul la datele referitoare la clienti este permis angajatilor numai în îndeplinirea sarcinilor de serviciu, fiind interzisă orice circulatie necontrolată a lor în afara societății.
Art. 13 În cazul în care dezvăluirea datelor este impusă de lege, societatea, prin reprezentantul legal si/sau prin reprezentantul compartimentului de control intern se vor asigura ca terţul care solicit dezvăluirea acţioneaza în conformitate cu dispoziţiile legale
Art. 14 Accesul la staţiile de lucru se face doar pe bază de credenţiale monitorizate la nivel de Active Directory (cont utilizator protejat prin parolă). Sunt implementate mai multe niveluri de acces în funcţie de autorizarea respectivilor utilizatori.
Art. 15 Atât staţiile de lucru cât şi serverele care le deservesc sunt protejate prin antivirusi şi firewall-uri care îşi actualizează semnăturile la un interval regulat şi scurt de timp. Firewall-urile sunt setate sa limiteze accesul din afara reţelei către serverele critice.
