PhotoRobot tehniskie un organizatoriskie pasākumi (TOM)
Šajā dokumentā ir definēti PhotoRobot tehniskie un organizatoriskie pasākumi (TOM) saskaņā ar VDAR 32. pantu: versija 1.0 – PhotoRobot Edition, uni-Robot Ltd., Čehija. Dokuments pēdējo reizi tika atjaunināts 2025. gada 31. decembrī un atbalsta atbilstību PhotoRobot līgumsaistībām saskaņā ar DPA un SLA.
1. Ievads - PhotoRobot TOMs
Šajā dokumentā ir aprakstīti tehniskie un organizatoriskie pasākumi (TOM), ko īsteno uni-Robot Ltd. (PhotoRobot), lai nodrošinātu atbilstošu drošības līmeni personas datu apstrādei saskaņā ar Vispārīgās datu aizsardzības regulas (GDPR) 32. pantu.
Šie pasākumi attiecas uz PhotoRobot pakalpojumu darbību, tostarp, bet ne tikai:
- PhotoRobot vadības mākonis
- PhotoRobot mākonis 2,0
- PhotoRobot vada lokālo (ja ir izveidots savienojums ar mākoņpakalpojumiem)
- API un saistītie tiešsaistes pakalpojumi
- Atbalsta infrastruktūra un iekšējās sistēmas
Šis dokuments kalpo kā autoritatīvs PhotoRobot TOM apraksts, un uz to var atsaukties datu apstrādes līgumos (DPA), revīzijās un uzņēmuma drošības pārskatos.
2. Darbības joma un piemērojamība
Šeit aprakstītie TOM attiecas uz:
- Personas dati, kas tiek apstrādāti klientu vārdā PhotoRobot pakalpojumu ietvaros
- Iekšējie darbības dati, kas nepieciešami pakalpojumu sniegšanai, uzturēšanai un drošībai
Pasākumi ir izstrādāti, ņemot vērā:
- Jaunākie sasniegumi
- īstenošanas izmaksas
- apstrādes veids, apjoms, konteksts un nolūki
- fizisku personu tiesību un brīvību apdraudējumu
3. Organizatoriskie drošības pasākumi
3.1. Informācijas drošības pārvaldība
PhotoRobot uztur iekšējās politikas un procedūras, kas regulē informācijas drošību, datu aizsardzību un pieņemamu sistēmu izmantošanu.
Organizācijā ir skaidri definēti pienākumi par drošību un datu aizsardzību, tostarp norādīti kontakti privātuma un juridiskos jautājumos.
3.2. Darbinieku konfidencialitāte un informētība
- Darbiniekiem un darbuzņēmējiem ir saistoši konfidencialitātes pienākumi
- Piekļuve sistēmām tiek piešķirta, pamatojoties uz nepieciešamību zināt
- Drošības un datu aizsardzības izpratne tiek veicināta kā daļa no pievienošanas un notiekošajām darbībām
4. Piekļuves kontrole un autorizācija
4.1. Lomu piekļuves kontrole (RBAC)
Piekļuve sistēmām un klientu datiem tiek kontrolēta, izmantojot lomu piekļuves kontroles (RBAC) principus.
- Lietotājiem tiek piešķirtas minimālās privilēģijas, kas nepieciešamas uzdevumu veikšanai
- Administratīvā piekļuve ir ierobežota pilnvarotam personālam
4.2. Autentifikācija
- Iekšējās un ārējās sistēmās tiek izmantoti stingri autentifikācijas mehānismi
- Paroļu politikas un piekļuves akreditācijas dati tiek pārvaldīti droši
- Piekļuves akreditācijas datus nedrīkst koplietot
5. Infrastruktūras un tīkla drošība
5.1. Hostinga un mākoņa infrastruktūra
PhotoRobot pakalpojumi tiek mitināti pie profesionāliem mākoņa infrastruktūras nodrošinātājiem (piemēram, Google Cloud Platform), kas ievieš nozares standarta fiziskās un vides drošības kontroli.
5.2. Tīkla aizsardzība
- Tīkla trafiks tiek aizsargāts, izmantojot ugunsmūrus un piekļuves kontroli
- Publiski pieejamie pakalpojumi ir izolēti no iekšējām sistēmām
- Infrastruktūras komponenti tiek uzraudzīti attiecībā uz pieejamību un drošības notikumiem
6. Šifrēšana un datu aizsardzība
6.1. Pārsūtītie dati
- Dati, kas tiek pārsūtīti starp klientiem un PhotoRobot pakalpojumiem, tiek šifrēti, izmantojot TLS/HTTPS
- API un mākoņa saskarnēm tiek ieviesti droši saziņas kanāli
6.2. Dati miera stāvoklī
- Mākoņa infrastruktūrā glabātie dati tiek aizsargāti, izmantojot hostinga pakalpojumu sniedzēja nodrošinātos šifrēšanas mehānismus
- Piekļuve glabātajiem datiem ir ierobežota autorizētām sistēmām un personālam
7. Reģistrēšana, uzraudzība un incidentu noteikšana
7.1. Mežizstrāde
- Sistēmas žurnāli tiek ģenerēti par operatīviem un ar drošību saistītiem notikumiem
- Žurnāli tiek izmantoti problēmu novēršanai, pārraudzībai un incidentu analīzei
7.2. Uzraudzība
- Pakalpojumu pieejamība, veiktspēja un anomālijas tiek uzraudzītas
- Brīdinājumi tiek aktivizēti neparastas uzvedības vai pakalpojuma traucējumu gadījumā
8. Reaģēšana uz incidentiem un pārkāpumu pārvaldība
PhotoRobot uztur procedūras drošības incidentu, tostarp personas datu pārkāpumu, risināšanai.
Šīs procedūras ietver:
- incidentu identificēšana un novērtēšana
- Ietekmes mazināšanas un ierobežošanas pasākumi
- iekšējā eskalācija
- saziņa ar klientiem, ja nepieciešams.
- atbilstība VDAR pienākumu ziņot par pārkāpumiem (VDAR 33. un 34. pants)
9. Dublēšana, pieejamība un biznesa nepārtrauktība
9.1. Rezerves kopijas
- Datu dublēšana tiek veikta kā daļa no standarta mākoņa operācijām
- Dublējumi tiek izmantoti katastrofas atjaunošanai un pakalpojumu nepārtrauktībai
9.2. Pieejamība
- Tiek pieliktas saprātīgas pūles, lai saglabātu augstu pakalpojumu pieejamību
- Plānotās apkopes darbības var izraisīt īslaicīgus pakalpojuma pārtraukumus
Detalizēta informācija par pieejamības mērķiem un atbildes laiku ir atsevišķi aprakstīta piemērojamajos pakalpojumu līmeņa līgumos (SLA).
10. Droša attīstība un pārmaiņu vadība
10.1. Droša izstrādes prakse
PhotoRobot seko strukturētiem izstrādes un ieviešanas procesiem, tostarp:
- izstrādes, testēšanas un ražošanas vides nodalīšana vajadzības gadījumā
- Kontrolētas izvietošanas procedūras
- Versiju kontrole un izmaiņu izsekošana
10.2. Atjauninājumi un ielāpi
- Programmatūras komponenti tiek atjaunināti, lai novērstu drošības ievainojamību
- Kritiskie atjauninājumi tiek noteikti par prioritāti, pamatojoties uz riska novērtējumu
11. Apakšapstrādātāji un trešās personas
PhotoRobot var piesaistīt apakšapstrādātājus, lai atbalstītu pakalpojumu sniegšanu (piemēram, hostingu, e-pasta pakalpojumus).
- Apakšapstrādātāji tiek izvēlēti, pamatojoties uz to drošības un datu aizsardzības praksi
- Pašreizējais apakšapstrādātāju saraksts tiek uzturēts atsevišķi un darīts publiski pieejams
12. Fiziskā drošība
Fizisko piekļuvi serveriem un datu centriem pārvalda mākoņa infrastruktūras nodrošinātājs, un tajā ietilpst:
- Piekļuves kontrole
- uzraudzība un uzraudzība
- vides aizsardzība
PhotoRobot nepārvalda savus datu centrus.
13. Datu minimizēšana un saglabāšana
- Tiek apstrādāti tikai pakalpojuma sniegšanai nepieciešamie dati
- Personas dati tiek glabāti tikai tik ilgi, cik nepieciešams līgumiskiem, juridiskiem vai operatīviem mērķiem
- Datu dzēšanas un glabāšanas periodi ir noteikti attiecīgajās politikās un līgumos
14. Pārskatīšana un atjauninājumi
Šie tehniskie un organizatoriskie pasākumi tiek periodiski pārskatīti un pēc vajadzības atjaunināti, lai atspoguļotu:
- Izmaiņas tehnoloģijās
- Izmaiņas pakalpojumos
- Mainīgās drošības un regulatīvās prasības
Par būtiskām izmaiņām var paziņot klientiem pēc vajadzības.
15. Kontaktinformācija
Jautājumi par šiem tehniskajiem un organizatoriskajiem pasākumiem:
uni-Robot SIA
Vodičkova 710/31
110 00 Prāga 1
Čehija
E-pasts: legal@photorobot.com
Nobeiguma piezīme
Šie TOM apraksta PhotoRobot pašreizējos tehniskos un organizatoriskos pasākumus un ir paredzēti, lai nodrošinātu pārredzamību un pārliecību klientiem. Tie negarantē nepārtrauktu pakalpojumu sniegšanu vai absolūtu drošību, bet atspoguļo uz risku balstītu un samērīgu pieeju datu aizsardzībai un informācijas drošībai.