Uvod

Ta dokument predstavlja povzetek krovne varnostne politike družbe in je namenjen našim poslovnim partnerjem. V njem so povzete ključne varnostne kontrole, postopki in načela, ki jih v podjetju uporabljamo za zagotavljanje visoke ravni informacijske varnosti.
S seznanitvijo z vsebino dokumenta se partnerji seznanijo z delovanjem sistema upravljanja informacijske varnosti ter z našimi pričakovanji glede spoštovanja standardov varovanja podatkov.

Dokument je javno dostopen prek spletne strani družbe.
Podjetje si pridržuje pravico do sprememb in dopolnitev dokumenta, skladno s svojimi poslovnimi potrebami, tehničnimi in organizacijskimi zahtevami ter razvojem področja informacijske varnosti.

Ker je dokument javno dostopen, ob spremembah ne izvajamo neposrednega obveščanja partnerjev. Poslovni partnerji so dolžni sami redno spremljati aktualno različico dokumenta.

Namen in obseg

Z namenom ohranjanja visoke ravni varnosti informacij je podjetje vzpostavilo sistem upravljanja informacijske varnosti (ISMS), ki vključuje tudi vidike sodelovanja s poslovnimi partnerji.

Sistem zajema ukrepe in nadzor nad štirimi ključnimi področji:

• organizacijska varnost,

• varnost osebja,

• fizična varnost,

• tehnološka (informacijska) varnost.

Odločanje na podlagi ocene tveganja

Podjetje ima vzpostavljen proces upravljanja tveganj, s katerim prepoznavamo, analiziramo in ocenjujemo varnostna tveganja.
Na podlagi teh ocen določimo ustrezne ukrepe, ki so lahko:

• organizacijski (npr. pravilniki, usposabljanja, izobraževanja),

• tehnični, ki se delijo na:

  • fizične (ograje, vrata, sef, varnostne naprave),

  • logične (gesla, večfaktorska avtentikacija, dostopne pravice).

Redno izvajanje ocene tveganj omogoča nenehno izboljševanje in razvoj sistema upravljanja informacijske varnosti.

Klasifikacija informacij

Vse informacije v podjetju so razvrščene po stopnji pomembnosti, kar določa pravila za njihovo uporabo, shranjevanje in zaščito ter opredeljuje potrebne varnostne kontrole.

Pogoji poslovnega sodelovanja

Pri sodelovanju, ki presega kupno-prodajne odnose, za vse naše stranke, tako fizične kot pravne osebe, zagotavljamo popolno varnost njihovih podatkov. S partnerji imamo sklenjene sporazume o nerazkrivanju informacij (NDA), s čimer zagotavljamo ustrezno raven varovanja poslovnih in tehničnih podatkov.

Fizična varnost

Namen fizične varnosti je zaščita prostorov, opreme in informacijskih sredstev.
Dostop do prostorov podjetja je nadzorovan, območja so opremljena z varnostnimi napravami in videonadzorom.

Poslovni partnerji se morajo predhodno najaviti svoji kontaktni osebi. Obiskovalci se vpišejo v knjigo gostov, ki se hrani eno leto.
Dostop brez spremstva je dovoljen le pooblaščenim zunanjim izvajalcem, ki vzdržujejo kritično infrastrukturo.

Informacijska in kibernetska varnost

Zaščita informacijskih virov in podatkov je zagotovljena s tehničnimi in organizacijskimi ukrepi, ki preprečujejo nepooblaščen dostop in varnostne grožnje.

Poslovna komunikacija

Vsa uradna komunikacija se izvaja izključno prek uporabniških računov z domeno pcpodpora.si
Naslovi iz drugih domen ne predstavljajo uradnega stališča podjetja.

Izmenjava podatkov

Pri elektronski izmenjavi podatkov (EDI) sodeluje tehnično osebje obeh partnerjev, ki določi tehnične zahteve in varnostne pogoje.
Uporabniški dostopi do aplikacij ali sistemov se obravnavajo kot poslovna skrivnost in so individualni, kjer je to tehnično izvedljivo.

Uporaba poslovnih informacijskih sistemov

Dostopi do informacijskih sistemov se izvajajo z unikatnimi uporabniškimi imeni in gesli, ki morajo izpolnjevati minimalne varnostne zahteve (vsaj 8 znakov, velike in male črke, številke).
Kjer je mogoče, se uporablja večfaktorska avtentikacija (MFA).
Prenosi podatkov potekajo izključno po šifriranih povezavah (HTTPS, VPN).

Nadzor dostopa

Spremembe v seznamih uporabnikov se med partnerji sproti sporočajo in potrjujejo.
Redno se izvaja pregled in potrjevanje aktualnosti uporabniških dostopov.

Zagotavljanje delovanja informacijskega sistema

Podjetje zagotavlja zanesljivo delovanje infrastrukture s podporno opremo (UPS, agregati, klimatizacija).
Sistemi se redno vzdržujejo, posodabljajo in testirajo za delovanje v izrednih razmerah.

Upravljanje varnostnih dogodkov

Za obvladovanje varnostnih incidentov imamo vzpostavljen postopek ukrepanja, ki vključuje hitro odzivanje in obveščanje poslovnih partnerjev.
Incidenti, ki vključujejo osebne podatke, se obravnavajo skladno z veljavno zakonodajo.

Odgovornosti in pristojnosti

Vloge in odgovornosti vseh sodelavcev so jasno opredeljene in redno preverjane glede na poslovne potrebe.
Vsaka vloga določa, kdo je odgovoren za izvajanje določenih varnostnih kontrol.

Usposabljanje

Sodelavci se redno izobražujejo o uporabi informacijskih sistemov, ravnanju s podatki in spremembah zakonodaje ali standardov.
Partnerji so zavezani k spremljanju aktualnega povzetka varnostne politike, ki je dostopen na spletni strani podjetja.

Preverjanje skladnosti

Redno izvajamo notranje in zunanje preglede skladnosti s politiko informacijske varnosti, zakonodajo in veljavnimi standardi.
Ugotovitve se dokumentirajo, določijo se ukrepi, odgovorne osebe in roki za izvedbo.
Spremembe v informacijskem sistemu morajo biti odobrene s strani vodstva.

Zahteve poslovnih partnerjev

Pri določanju kontrol in mehanizmov upoštevamo zahteve partnerjev glede rokovanja s podatki.
Nejasnosti razrešimo skupaj, da zagotovimo jasnost in usklajenost varnostnih postopkov.

Zakonodaja in regulativa

Spremljamo spremembe zakonodaje in standardov s področja informacijske varnosti ter ustrezno posodabljamo politiko in njene povzetke.

Objava in veljavnost dokumenta

Ta dokument je javno objavljen na spletni strani PCpodpora in velja od dneva objave.

17. oktober 2024
REDFOX.SI, Sebastjan Dobnik s.p.