Informacje dotyczące
zgodności z ISO
System Zarządzania Bezpieczeństwem Informacji w CodeTwo (SZBI), spełniający wymagania norm ISO/IEC 27001 oraz ISO/IEC 27018, gwarantuje maksymalny poziom bezpieczeństwa informacji oraz ochrony danych osobowych w środowisku chmurowym oraz lokalnym.
Niniejsza strona ma na celu dostarczenie informacji na temat:
Czym są normy ISO/IEC 27001 oraz ISO/IEC 27018
Normy ISO są tworzone, wydawane oraz utrzymywane przez Międzynarodową Organizację Normalizacyjną. Normy z serii ISO/IEC 27000 odnoszą się do bezpieczeństwa informacji i mają na celu zapewnienie poufności, integralności oraz dostępności informacji. W tabeli poniżej znajdziesz podstawowe informacje dotyczące norm ISO/IEC 27001 oraz ISO/IEC 27018, a także certyfikat potwierdzający naszą zgodność.
IS 764207 PII 764209
| Podstawowe informacje | |
|---|---|
ISO/IEC 27001 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania Norma dotycząca bezpieczeństwa informacji zawierająca wymogi związane z wdrażaniem systemu zarządzania bezpieczeństwem informacji (SZBI). SZBI definiuje szereg procesów, procedur, polityk oraz innych zasobów (włączając pracowników oraz systemy IT), które pozwalają firmie zapewnić odpowiedni poziom ochrony własnych danych wrażliwych, a także danych swoich partnerów i klientów. Norma ta wymaga również, aby SZBI był stale ulepszany, a wszystkie ryzyka związane z bezpieczeństwem informacji były analizowane oraz by podejmowane były w stosunku do nich odpowiednie kroki. | ISO/IEC 27018 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady ochrony danych identyfikujących osobę (PII) w chmurach publicznych działających jako przetwarzający PII. Norma ta określa szczegółowe wymagania oraz wskazówki dla podmiotów przetwarzających dane. Wymagania te obejmują wdrożenie, utrzymanie oraz walidację środków używanych do zabezpieczania danych osobowych przetwarzanych w publicznych środowiskach chmurowych. W normie zawarte zostały również praktyczne zasady obchodzenia się z danymi identyfikującymi osobę oraz prawa jakie posiadają użytkownicy względem swoich danych.
|
| Nasze certyfikaty | |
Nr Cert. IS 764207  | Nr Cert. PII 764209  |
| Podstawowe informacje |
|---|
ISO/IEC 27001 Norma dotycząca bezpieczeństwa informacji zawierająca wymogi związane z wdrażaniem systemu zarządzania bezpieczeństwem informacji (SZBI). SZBI definiuje szereg procesów, procedur, polityk oraz innych zasobów (włączając pracowników oraz systemy IT), które pozwalają firmie zapewnić odpowiedni poziom ochrony własnych danych wrażliwych, a także danych swoich partnerów i klientów. Norma ta wymaga również, aby SZBI był stale ulepszany, a wszystkie ryzyka związane z bezpieczeństwem informacji były analizowane oraz by podejmowane były w stosunku do nich odpowiednie kroki. |
ISO/IEC 27018 Norma ta określa szczegółowe wymagania oraz wskazówki dla podmiotów przetwarzających dane. Wymagania te obejmują wdrożenie, utrzymanie oraz walidację środków używanych do zabezpieczania danych osobowych przetwarzanych w publicznych środowiskach chmurowych. W normie zawarte zostały również praktyczne zasady obchodzenia się z danymi identyfikującymi osobę oraz prawa jakie posiadają użytkownicy względem swoich danych. |
| Nasze certyfikaty |
Nr Cert. IS 764207 |
Nr Cert. PII 764209 |
Jak CodeTwo wdrożyło SZBI zgodny ISO/IEC 27001 oraz ISO/IEC 27018
Bezpieczeństwo danych firmy oraz danych powierzonych nam przez klientów i partnerów od zawsze było dla nas priorytetem. Opierając się na najlepszych praktykach oraz standardach branżowych, takich jak ISO/IEC 27001 oraz ISO/IEC 27018, od wielu lat tworzymy i udoskonalamy odpowiednie polityki, procedury i systemy, które tworzą nasz System Zarządzania Bezpieczeństwem Informacji. Ponadto CodeTwo jest zgodne z wymogami RODO, HIPAA, CCPA oraz innymi stanowymi przepisami dot. ochrony prywatności obowiązującymi w USA, a także z wymogami PCI.
Otrzymanie certyfikatu ISO stanowi kulminację naszych długoletnich wysiłków mających na celu zapewnienie najwyższego stopnia bezpieczeństwa informacji przetwarzanych w naszej firmie oraz przez nasze oprogramowanie, zarówno lokalnie, jak i w chmurze.
Zobacz Politykę Systemu Zarządzania Bezpieczeństwem Informacji CodeTwo
1. 100% zgodności z wymogami ISO
System Zarządzania Bezpieczeństwem Informacji w CodeTwo spełnia wszystkie wymagania narzucone przez normy ISO/IEC 27001 oraz ISO/IEC 27018 – bez żadnych wyjątków.
2. Maksymalne bezpieczeństwo danych
Dokładamy wszelkich starań, aby w każdym momencie przetwarzania danych zachować ich poufność, integralność oraz dostępność.
3. Obszerna dokumentacja
Posiadamy udokumentowaną każdą politykę, proces oraz procedurę stosowaną w CodeTwo. Ponadto prowadzimy ewidencję ocen ryzyka, audytów, środków bezpieczeństwa, incydentów bezpieczeństwa informacji itd. Cała dokumentacja jest weryfikowana przez najwyższe kierownictwo.
4. Zarządzanie zmianą
Każda zmiana wprowadzana w CodeTwo przechodzi przez cykl PDCA (Zaplanuj-Wykonaj-Sprawdź-Popraw), aby zapewnić poufność, integralność oraz dostępność systemów informacyjnych. Zasada ta jest stosowana również przy wytwarzaniu naszego oprogramowania. Każda, nawet najmniejsza zmiana w programie jest zawsze skrupulatnie planowana i dokumentowana, a następnie musi zostać zatwierdzona. Starsza wersja naszego oprogramowania jest natomiast zawsze zabezpieczana tak, aby można było ją łatwo przywrócić kiedy tylko będzie to potrzebne. Nowa wersja programu zostaje udostępniona naszym klientom dopiero po tym, kiedy zmiana zostanie wprowadzona i gruntownie przetestowana. Po wydaniu nowej wersji programu niemalże natychmiast rozpoczynamy prace nad dalszym jego udoskonalaniem.
5. Szacowanie ryzyka oraz plan postępowania z ryzykiem
Identyfikujemy oraz dokumentujemy wszelkie możliwe zagrożenia oraz podatności, które mogłyby zagrozić bezpieczeństwu informacji w naszej firmie. Oceniamy także prawdopodobieństwo oraz zakres oddziaływania tych ryzyk (biorąc pod uwagę różne scenariusze), a także tworzymy plan działań korygujących w celu zminimalizowania lub wyeliminowania ryzyka utraty informacji oraz możliwych przyczyn takiego ryzyka. Środki bezpieczeństwa oraz mechanizmy kontroli wdrożone w naszej firmie pozwalają nam na szybkie zweryfikowanie kto wprowadził zmianę w danym kodzie źródłowym, procedurze lub dowolnym innym dokumencie, kiedy zmiana ta została wprowadzona oraz co zostało zmienione.
6. Rygorystyczne audyty
Regularnie przechodzimy wewnętrzne oraz zewnętrzne audyty bezpieczeństwa, które przeprowadzane są w obu naszych biurach. Podczas zewnętrznych audytów niezależna instytucja certyfikująca weryfikuje czy CodeTwo nadal spełnia wymagania norm ISO/IEC 27001 oraz ISO/IEC 27018. Oprócz tego, w przypadku zaistnienia incydentu bezpieczeństwa informacji, po każdej zmianie organizacyjnej itp., przeprowadzamy także dodatkowe audyty wewnętrzne. Audyty te są przeprowadzane przez wyznaczonych pracowników, którzy przeszli odpowiednie szkolenie, a także przez zewnętrznych audytorów, zgodnie z naszym rocznym planem audytów.
7. Zarządzanie ciągłością działania
Jesteśmy przygotowani na każdą ewentualność, która może wpłynąć na krytyczne dla CodeTwo procesy biznesowe, oprogramowanie oraz serwisy. Plan zapewnienia ciągłości działania wdrożony w naszej firmie obejmuje wszystkie istniejące zasoby organizacyjne oraz techniczne, które wykorzystywane są do reagowania na potencjalne sytuacje kryzysowe oraz w celu zapewnienia ciągłości dostarczania usług naszym klientom.
8. Zaangażowanie wszystkich pracowników
Każdy pracownik CodeTwo musi być świadomy swojej odpowiedzialności w zakresie bezpieczeństwa informacji, stosować się do wszystkich stosownych procedur oraz przestrzegać wytycznych zawartych w politykach CodeTwo. Wszyscy pracownicy podlegają obowiązkowi zachowania poufności, natomiast ci, którzy przetwarzają dane osobowe lub inne dane naszych klientów, muszą dodatkowo uzyskać odpowiednią pisemną zgodę. W celu spełnienia tego wymogu i zwiększania świadomości personelu, za każdym razem kiedy wprowadzana jest zmiana w Systemie Zarządzania Bezpieczeństwem Informacji organizujemy wewnętrzne oraz zewnętrzne szkolenia dla wszystkich pracowników. Wszelkie zmiany są komunikowane pracownikom bez zbędnej zwłoki, a ponadto każdy pracownik przynajmniej raz w roku musi zapoznać się z całą dokumentacją związaną z bezpieczeństwem informacji. W razie potrzeby organizowane są również dodatkowe szkolenia. Najwyższe kierownictwo proaktywnie wspiera oraz uczestniczy we wszelkich aktywnościach mających na celu zapewnienie bezpieczeństwa oraz zachowanie zgodności ISO.
9. Zasada ochrony danych w fazie projektowania i domyślnej ochrony danych
Stosując się do tych zasad, dbamy o to, by wszelkie środki ochrony danych osobowych były uwzględniane już na etapie projektowania naszych programów, a następnie w trakcie ich rozwoju. Co więcej, wszelkie ustawienia prywatności są zawsze domyślnie włączone. Oznacza to, że użytkownik nie musi wykonywać żadnych dodatkowych czynności w celu zapewnienia sobie najwyższego poziomu ochrony.
10. Zgodność z obowiązującymi regulacjami prawnymi
Poza spełnieniem wymogów norm ISO/IEC 27001 oraz ISO/IEC 27018, zawsze spełniamy wymogi obowiązującego prawa i przepisów prawnych w zakresie prywatności danych, takich jak Rozporządzenie o Ochronie Danych Osobowych (RODO).
11. Zarządzanie incydentami bezpieczeństwa
Działania związane z wszelkimi rzeczywistymi oraz potencjalnymi incydentami bezpieczeństwa są podejmowane niezwłocznie i zgodnie z SZBI. Kiedy tylko incydent zostanie wykryty, jest on zgłaszany do wyznaczonych pracowników, gdzie następnie jest oceniany, dokumentowany i rozwiązywany. Z każdego zaistniałego incydentu wyciągamy wnioski w celu dalszego zwiększania poziomu bezpieczeństwa, skrócenia czasu reakcji na tego typu zdarzenia, a także w celu zminimalizowania lub zapobiegania podobnym incydentom w przyszłości.
12. Relacje z dostawcami
Sprawdzamy, monitorujemy oraz dokonujemy oceny wszystkich zewnętrznych serwisów oraz dostawców z którymi współpracujemy pod kątem zapewniania bezpieczeństwa informacji. Upewniamy się także, czy dostęp stron trzecich do informacji przez nas przetwarzanych nie wykracza poza absolutnie niezbędne minimum oraz czy umowy podpisane ze stronami trzecimi zawierają klauzulę poufności.
13. Ciągłe doskonalenie
Otrzymanie certyfikatu zgodności z normami ISO/IEC 27001 oraz ISO/IEC 27018 nie jest ostatnim etapem wdrożenia SZBI. Zarządzanie bezpieczeństwem informacji to ciągły proces, który wychodzi poza spełnianie określonych wymogów poprzez ciągłe poszukiwanie obszarów do poprawy w naszym Systemie Zarządzania Bezpieczeństwem Informacji. Dlatego w CodeTwo przechodzimy cykliczne audyty, robimy przeglądy naszych polityk i procedur, a także szacujemy ryzyka i zarządzamy incydentami powiązanymi z utratą poufności, integralności i dostępności informacji. Wszystko to pozwala nam na jeszcze lepsze zarządzanie bezpieczeństwem informacji w całej organizacji.
Jakie korzyści niesie certyfikacja naszych systemów na zgodność z normami ISO/IEC 27001 i ISO/IEC 27018
CodeTwo spełnia wymogi ISO/IEC 27001 oraz ISO/IEC 27018, dzięki czemu możesz mieć pewność, że stosujemy najlepsze praktyki związane z bezpieczeństwem informacji w celu zapewnienia poufności, integralności oraz dostępności danych. Dokładamy również wszelkich starań, żeby nasze rozwiązania na platformy chmurowe i systemy lokalne powstawały zgodnie z zasadami privacy by design oraz privacy by default.
POUFNOŚĆ
Szyfrowanie danych oraz kontrola dostępu to tylko przykłady technologii, które stosujemy w celu zagwarantowania poufności Twoich danych w każdym momencie – żadna nieautoryzowana osoba nie ma do nich dostępu. Dane przetwarzamy tylko w celach, dla których zostały one nam powierzone. Jedyne przypadki, kiedy może zaistnieć konieczność ujawnienia Twoich danych, opisane zostały w naszej Polityce Prywatności.
INTEGRALNOŚĆ
Tylko Ty możesz zmieniać, poprawiać lub usuwać swoje dane osobowe, które są w naszym posiadaniu. Możesz nawet zastrzec ich dalszego przetwarzania. Poprzez wprowadzenie systemu kontroli wersji oraz strategii tworzenia kopii zapasowych, zapewniamy integralność Twoich danych – nie będą one nigdy przypadkowo zmienione i zawsze będą poprawne.
DOSTĘPNOŚĆ
Zawsze wiesz, gdzie Twoje dane są przetwarzane, a także możesz zgłosić chęć dostępu do swoich danych w dowolnym czasie. Regularnie aktualizujemy nasze systemy oraz monitorujemy je 24/7 w celu zapewnienia ich maksymalnej dostępności i wydajności. W przypadku awarii, jesteśmy zawsze przygotowani na sprawne ich przepięcie na zapasowe maszyny i serwisy.
Dowiedz się więcej o bezpieczeństwie i niezawodności naszych programów:
