Zásady zabezpečenia údajov a ochrany osobných údajov IBM pre Služby technologickej podpory Obsah 1. Posúdenie zabezpečenia údajov a ochrany osobných údajov... 2 1.1 Súlad s právnymi predpismi... 2 1.2 Aktualizácia Zásad zabezpečenia údajov a ochrany osobných údajov pre Služby technologickej podpory 2 1.3 Údaje Zákazníka... 2 1.4 Ustanovenia týkajúce sa všeobecného nariadenia o ochrane údajov Európskej únie... 2 2. Zásady bezpečnosti pri spracúvaní údajov... 3 2.1 Členenie... 3 2.2 Najnižšia úroveň oprávnenia... 3 2.3 Oddeľovanie zodpovedností... 3 2.4 Hĺbková ochrana... 3 2.5 Integrovaná ochrana súkromia... 4 2.6 Správa IT rizík... 4 3. Fyzická bezpečnosť... 4 3.1 Zariadenia a riadenie prístupu... 4 3.2 Médiá a fyzická likvidácia médií... 4 4. Logická bezpečnosť... 5 4.1 Technické špecifikácie serverov, midlvéru a aplikácií... 5 4.2 Prístup na základe rolí... 5 4.3 Zásady pre heslá a overenie... 6 4.4 Bezpečnosť siete... 6 4.5 Bezpečnosť serverov... 6 4.6 Bezpečnosť databáz... 6 4.7 Bezpečnosť pracovných staníc a prenosných zariadení... 7 4.8 Bezpečnosť aplikácií... 7 4.9 Zabránenie v neoprávnenom vniknutí, zisťovanie neoprávneného vniknutia a testovanie zraniteľnosti... 7 5. Bezpečný vývoj... 8 6. Proces riešenia bezpečnostných incidentov... 8 7. Zásady zamestnávania súvisiace s bezpečnosťou údajov... 8 7.1 Zásady náboru a vylúčenia... 8 7.2 Školenia a kultúra... 9 7.3 Dodržiavanie zásad... 9 7.4 Dôvernosť rozhovorov... 9 8. Podnikové kontrolné mechanizmy, pokyny a štandardy CIO... 9 9. Audit... 9 10. Kontinuita obchodných operácií... 9 11. Riešenie krízových situácií... 9 12. Služba a podpora... 9 13. Akvizície... 10 Verzia 1.0, 18. decembra 2017 Strana 1 z 10
1. Posúdenie zabezpečenia údajov a ochrany osobných údajov Rozsah týchto Zásad zabezpečenia údajov a ochrany osobných údajov pre Služby technologickej podpory je obmedzený na popis manipulácie s Údajmi Zákazníka a ich ochrany zo strany IBM v rámci poskytovania Služieb technologickej podpory (ďalej aj Služby TS alebo TSS ). Tieto Zásady popisujú všeobecné pravidlá, procesy, kontrolné mechanizmy a nástroje, ktoré IBM využíva v rámci svojich interných zariadení, v ktorých sa spracúvajú údaje, v súvislosti s údajmi vlastnenými Zákazníkom, ktoré poskytol Zákazník a sú uvedené v transakčných dokumentoch alebo ich IBM získala iným spôsobom v rámci poskytovania technickej podpory po predaji (spoločne nazývané Údaje Zákazníka ). 1.1 Súlad s právnymi predpismi IBM bude dodržiavať všetky právne predpisy a nariadenia, ktoré sa vzťahujú na Služby TS vrátane právnych predpisov, ktoré sa vzťahujú na hlásenia narušenia bezpečnosti. IBM nezisťuje, či údaje, ktoré jej Zákazník pošle na pomoc pri identifikácii problému, zahrňujú informácie podliehajúce nejakému právnemu predpisu alebo nariadeniu. Všetky Bezpečnostné incidenty podliehajú nižšie zdokumentovanému Procesu riešenia bezpečnostných incidentov. 1.2 Aktualizácia Zásad zabezpečenia údajov a ochrany osobných údajov pre Služby technologickej podpory Keď IBM doplní, upraví alebo zmení rozsah Služieb technologickej podpory prostredníctvom zdokumentovaného procesu zmenového konania, IBM môže pridať nové ustanovenia do Zásad zabezpečenia údajov a ochrany osobných údajov alebo upraviť ich existujúce ustanovenia v súlade s týmito zmenami. Keď si Zákazník obnoví alebo zakúpi novú Službu TS Service, predplatné (ďalej aj subskripcia ) Zákazníka vzťahujúce sa na tieto Služby TS bude podliehať aktuálne platným Zásadám zabezpečenia údajov a ochrany osobných údajov. 1.3 Údaje Zákazníka Definícia Údajov Zákazníka Údaje Zákazníka predstavujú prostriedok pochádzajúci od Zákazníka, ktorý bol poskytnutý IBM na účely prístupu k nemu, jeho uloženie alebo správu v rámci akceptovanej zmluvy o Službách TS. IBM môže získavať Údaje Zákazníka rôznymi spôsobmi, napríklad: (1) Zákazník môže využiť ponuky podpory produktov IBM, (2) Zákazník môže posielať štruktúrované alebo neštruktúrované údaje na účely ich použitia pri identifikácii problémov v rámci Služieb technickej podpory poskytovaných po predaji (napríklad údaje na účely ladenia, ako sú údaje vo výpisoch z úložiska) a (3) Zákazník môže vrátiť stroje alebo časti strojov na inováciu (ďalej aj upgrade ), výmenu alebo opravu, pričom tieto zariadenia môžu obsahovať Údaje Zákazníka. Používanie Údajov Zákazníka Údaje Zákazníka sa budú používať výhradne na poskytovanie Služieb TS Zákazníkov, vrátane činností kompatibilných s poskytovaním takýchto Služieb technologickej podpory. IBM nebude používať Údaje Zákazníka ani odvodzovať údaje na základe Údajov Zákazníka na žiadne iné komerčné účely bez súhlasu Zákazníka. Poskytovanie Údajov Zákazníka V rámci Služieb TS môže IBM niekedy využívať služby svojich dcérskych spoločností alebo obchodných partnerov v pozícii subdodávateľov, pričom v prípade potreby bude s týmito subdodávateľmi zdieľať Údaje Zákazníka. IBM nebude žiadnym iným spôsobom uverejňovať Údaje Zákazníka mimo IBM, jej dcérskych spoločností a obchodných partnerov, pokiaľ ju k tomu nevyzve Zákazník alebo to nebude nevyhnutné vzhľadom na platné právne predpisy. Spracúvanie Údajov Zákazníka Všeobecné nariadenie o ochrane údajov Európskej únie (ďalej aj GDPR ) vyžaduje, aby boli uzavreté zmluvy medzi Prevádzkovateľom a Sprostredkovateľom a medzi Sprostredkovateľom a Subdodávateľom v záujme zabezpečenia toho, že sa údaje budú spracúvať v súlade s Technickými a organizačnými opatreniami Sprostredkovateľa, ako aj zabezpečenia ochrany práv dotknutých osôb v súlade s GDPR. IBM sa zaväzuje uplatňovať ustanovenia GDPR u všetkých Zákazníkov k 25. máju 2018. 1.4 Ustanovenia týkajúce sa všeobecného nariadenia o ochrane údajov Európskej únie a. Ustanovenia GDPR, ktoré sa týkajú sprostredkovateľa, sa vzťahujú na spracúvanie Údajov Zákazníka v rozsahu GDPR zo strany IBM v mene Zákazníka. Verzia 1.0, 18. decembra 2017 Strana 2 z 10
b. Vzhľadom na tieto ustanovenia GDPR Zákazník a IBM vyjadrujú súhlas s tým, že Zákazník bude vystupovať ako prevádzkovateľ Údajov Zákazníka a IBM bude vystupovať ako sprostredkovateľ týchto údajov. V prípade, že je Zákazník v pozícii sprostredkovateľa Údajov Zákazníka, IBM bude subdodávateľom. c. Ustanovenia GDPR, ktoré sa týkajú sprostredkovateľa, sa nebudú uplatňovať, ak bude IBM v pozícii prevádzkovateľa Údajov Zákazníka. d. Ustanovenia GDPR, ktoré sa týkajú sprostredkovateľa, neobmedzujú ani nelimitujú záväzky IBM voči Zákazníkovi v oblasti ochrany údajov, ktoré vyplývajú z akejkoľvek zmluvy medzi IBM a Zákazníkom. 2. Zásady bezpečnosti pri spracúvaní údajov IBM mimoriadne záleží na ochrane Údajov Zákazníka. Bezpečnosť zariadení, ľudí a údajov sú neoddeliteľnou súčasťou kontrolných mechanizmov, ktorými sa riadi naša organizácia. Táto časť obsahuje popis niektorých podkladových bezpečnostných princípov, ktoré sú základným východiskom pre bezpečnostné zásady a postupy IBM. IBM sa už dlho sústredí na bezpečnosť používaním vhodných konfigurácií hardvéru a softvéru, ako aj návrhom a zavedením podnikových procesov a postupov. Bezpečnostné ohrozenia môžu pochádzať z organizácie, ako aj z vonkajšieho prostredia, takže bezpečnostné zásady a postupy IBM zohľadňujú široké spektrum možných rizík pre bezpečnosť údajov vrátane technologických, ľudských a prírodných faktorov. Interný dokument Podnikové pokyny IBM pre bezpečnosť informačných technológií (IT) bol vytvorený pred desaťročiami a za ten čas prešiel mnohými revíziami. Tento dokument popisuje štruktúru dohľadu a kontroly vo vzťahu k analýze rizík, fyzickej bezpečnosti, správe prístupu, plánovaniu pre prípad núdze, vyšetrovaniu, ochrane informácií, vzdelávaniu a iným aspektom. Uvádza pokyny a požiadavky v oblasti bezpečnosti IT prostredia a ochrany údajov vrátane Údajov Zákazníka. Tieto Zásady bezpečnosti údajov a ochrany osobných údajov uvádzajú sumár niektorých z požiadaviek definovaných v dokumente Podnikové pokyny (a iných dokumentoch). 2.1 Členenie Členenie je technika, ktorá umožňuje udržať si kontrolu nad rizikami súvisiacimi s ľudským správaním. Predstavuje metódu obmedzenia prístupu k údajom, fyzického aj logického, iba na tých pracovníkov, ktorí takýto prístup skutočne potrebujú, aby si mohli robiť svoju prácu. IBM napríklad obmedzuje fyzický a logický prístup k svojim dátovým centrám iba na tých pracovníkov, ktorí potrebujú mať k nim prístup. IBM taktiež obmedzuje logický prístup k aplikáciám a databázam na oprávnený personál s príslušnou pracovnou funkciou. 2.2 Najnižšia úroveň oprávnenia Princíp najnižšej úrovne oprávnenia hovorí o tom, že pracovníci, ktorí majú oprávnenie na prístup, by mali mať najnižšiu možnú úroveň prístupu, ktorá im ešte umožní vykonávať ich pracovné úlohy. Tento princíp sa vzťahuje na fyzický aj logický prístup k údajom, ako aj systémom a aplikáciám, v ktorých sa spracúvajú takéto údaje. Schopnosť čítať, vytvárať, aktualizovať a odstraňovať údaje podlieha princípu najnižšieho oprávnenia. 2.3 Oddeľovanie zodpovedností Oddeľovanie zodpovedností je základný interný kontrolný mechanizmus, ktorý nariaďuje, že žiadna fyzická osoba nebude mať povinnosti ani prístup, ktoré by danej osobe umožňovali zneužiť alebo deaktivovať prostriedky spoločnosti bez toho, že by takéto konanie bolo včas odhalené, čím eliminuje konflikty zodpovedností. Služby TS zavádzajú koncepty oddeľovania zodpovedností v súlade s Podnikovými pokynmi IBM kombináciou návrhu procesov, systémových kontrolných mechanizmov a organizačnej štruktúry. (Bližšie informácie o tomto kontrolnom mechanizme sú k dispozícii v téme Médiá a fyzická likvidácia médií" v tretej časti.) 2.4 Hĺbková ochrana Hĺbková ochrana znamená vytváranie viacerých úrovní bezpečnosti, napríklad fyzická hĺbková ochrana predstavuje vyžadovanie použitia elektronického kľúča na prístup do budovy, následne použitie elektronického kľúča na prístup do dátového centra a samostatné kontrolné mechanizmy prístupu pre jednotlivé serverovne v rámci dátového centra. Verzia 1.0, 18. decembra 2017 Strana 3 z 10
Logická hĺbková ochrana predstavuje napríklad viacero úrovní ochrany bránou firewall, ako je detailnejšie popísané v ďalších častiach tohto dokumentu. 2.5 Integrovaná ochrana súkromia Integrovaná ochrana súkromia znamená, že zásady ochrany údajov sú neoddeliteľnou súčasťou návrhu spracúvania údajov od začiatku poskytovania Služieb a zohľadňujú sa počas celého životného cyklu každej ponuky služieb. Ako je uvedené v definícii pojmu Údaje Zákazníka, IBM môže dostávať neštruktúrované alebo neformátované údaje (napríklad výpisy z úložiska alebo snímky obrazovky) od Zákazníka, aby mu personál IBM mohol poskytnúť prevádzkovú podporu (ďalej aj podpora po predaji ) vo forme Služieb TS. Obsah týchto neštruktúrovaných údajov môže byť neznámy pre Zákazníka alebo IBM v čase ich odosielania, takže môže obsahovať údajové prvky, ktoré predstavujú osobné údaje podľa našej štandardnej definície tohto pojmu. IBM zavedie technické a organizačné opatrenia (TOM), ktoré zaručia, že spracúvanie Údajov Zákazníka bude obmedzené iba na povolené účely. Prístup k Údajom Zákazníka budú mať len oprávnení pracovníci a oprávnení subdodávatelia IBM, ktorí potrebujú mať takýto prístup, aby mohli vykonávať oprávnené úlohy kompatibilné s povolenými účelmi. 2.6 Správa IT rizík Hodnotenie a správa rizík sú nevyhnutným východiskom pre bezpečnosť údajov. Personál IBM zodpovedný za interné kontrolné mechanizmy pravidelne kontroluje, či sú aplikácie a procesy v súlade s týmito kontrolnými mechanizmami. IBM má aj riadiacu komisiu pre správu IT rizík, ktorú vedie riaditeľ pre informačné technológie IBM (CIO). Členovia tejto komisie sú experti na bezpečnosť, vyšší manažéri a ľudia, ktorí tvoria interné IT štandardy schvaľované manažmentom. Táto komisia neustále skúma IT riziká súvisiace so širokým spektrom potenciálnych hrozieb. Práca tejto komisie sa premietne do lepšej ochrany IBM pred IT rizikami. 3. Fyzická bezpečnosť 3.1 Zariadenia a riadenie prístupu Fyzická bezpečnosť je kľúčovým aspektom ochrany Údajov Zákazníka. IBM využíva mechanizmy na riadenie prístupu, ktoré obmedzujú prístup k systémovým prostriedkom a komponentom infraštruktúry. Kľúče, šifrovacie zámky, elektronicky riadené prístupové systémy, vchody chránené bezpečnostnou službou a v niektorých prípadoch aj biometrické kontroly sú príkladmi fyzických bezpečnostných mechanizmov, ktoré môže IBM využívať. V prípadoch, keď sa oblasť s kontrolovaným prístupom (ďalej aj CA ) nenachádza v zariadení vlastnenom IBM, sú bezpečnostné požiadavky definované zmluvne a vlastník zariadenia sa zaväzuje dodržiavať tieto požiadavky. Oblasti s kontrolovaným prístupom sú kategorizované podľa kritérií definovaných riaditeľom pre informačné technológie na identifikáciu a ochranu zariadení, obsahu a ľudí. Prístup k oblastiam s kontrolovaným prístupom sa zaznamenáva do protokolov, pričom tieto protokoly sa kontrolujú buď prostredníctvom automatizovaných nástrojov, alebo manuálne v súlade s bezpečnostnými pravidlami pre IT. Vyžaduje sa vedenie dokumentácie obsahujúcej potvrdenia bezpečnostnej kontroly v súlade s globálnymi zásadami IBM týkajúcimi sa správy záznamov. Každá oblasť s kontrolovaným prístupom má určenú zodpovednú osobu, ktorá zaručuje dodržiavanie bezpečnostných zásad. Oblasti s kontrolovaným prístupom musia byť uzamknuté, keď sú obsadené. Miestne bezpečnostné postupy vzťahujúce sa na oblasti s kontrolovaným prístupom musia byť zdokumentované a overené. Personálu je fyzický prístup do oblastí s kontrolovaným prístupom povolený iba v odôvodnených prípadoch. V závislosti od pracovných povinností danej osoby môže byť prístup obmedzený iba na časť zariadenia. 3.2 Médiá a fyzická likvidácia médií Serverové médiá používané na účely zálohovania, uchovávania záznamov alebo zotavenia po havárii musia byť fyzicky chránené pred neoprávneným použitím, odcudzením alebo poškodením. Elektronické médiá obsahujúce nešifrované údaje môžu prevážať iba schválení dopravcovia. Správcovia serverových úložných médií, ktorí manipulujú s Údajmi Zákazníka sú povinní viesť presný súpis médií a bezodkladne nahlásiť prípadné nezrovnalosti v súlade s procesom riešenia bezpečnostných incidentov IBM ( SIHP ). V súlade s princípom oddeľovania zodpovedností musí súpis viesť aspoň jedna osoba, ktorá sa nezapája do manipulácie s médiami (do vedenia tohto súpisu sa môže zapájať aj správca úložných médií, nemôže to však byť jediná osoba zodpovedná za vedenie súpisu). Verzia 1.0, 18. decembra 2017 Strana 4 z 10
Zo strojov alebo častí strojov vrátených IBM na inováciu, výmenu alebo opravu, ktoré obsahujú Údaje Zákazníka, musí Zákazník ešte pred odoslaním bezpečne vymazať údaje, a to spôsobom, aby tieto údaje nebolo možné obnoviť. Ak Zákazník z nejakého dôvodu nedokáže toto spraviť, IBM za poplatok ponúka služby bezpečného vymazania údajov alebo zachovania médií. 4. Logická bezpečnosť Logická bezpečnosť primárne pozostáva z technických opatrení. Na sieťovú infraštruktúru, servery a pracovné stanice sa vzťahuje niekoľko bežných logických bezpečnostných opatrení. Tieto opatrenia zahrňujú mechanizmy na riadenie prístupu (bližšie informácie sú uvedené v samostatných častiach nižšie) a technické opatrenia zamerané na propagáciu alebo spúšťanie neschváleného kódu (ako sú vírusy a iný škodlivý kód). Aktualizácie sa vykonávajú automaticky, a to vždy, keď je to možné (napríklad aktualizácie antivírusového softvéru na pracovných staniciach), alebo pravidelne podľa predpísaného plánu na základe priority. Príkladmi logickej bezpečnosti sú: Pravidelné testovanie bezpečnostných nedostatkov a penetračné testovanie. Inštalácia opráv sa musí vykonávať včas v súlade so schémou klasifikácie systémov a úrovne závažnosti opráv a občas dokonca aj podľa typu a vydania (verzie) operačného systému. Technické kontrolné mechanizmy na zabránenie útokom zahltením servera služby (útoky Denial of Service - DoS) (primárne sa vzťahujú na sieťovú infraštruktúru a servery). Vytváranie a zaznamenávanie (ak to zariadenie podporuje) záznamov denníka činností (sieťová infraštruktúra a servery), ku ktorým možno pristupovať pre účely auditu a z nástrojov na monitorovanie podozrivých aktivít. Dobu uchovávania takýchto záznamov denníka určuje tím IBM Worldwide Records Management (WRM), ktorý kategorizuje a podrobne definuje požiadavky pre uchovávanie. Zoznam podozrivých aktivít, ktoré je potrebné monitorovať, určuje riaditeľ pre informačné technológie (ďalej aj CIO ). Požiadavka dodržiavať špecifické bezpečnostné opatrenia pre vzdialený prístup k interným systémom IBM z prostredia za logickou bránou firewall vrátane povinného klienta VPN. Všetky takéto prístupy sú šifrované. (Vzťahuje sa na pracovné stanice a mobilné zariadenia); Požiadavka, že zariadenia sa majú katalogizovať do databázy používanej na účely kontroly a auditu. Požiadavka používať statické IP adresy (protokoly DHCP/DDNS vo všeobecnosti nie sú dovolené okrem niektorých schválených a zdokumentovaných prípadov vzťahujúcich sa na servery a vo všeobecnosti na pracovné stanice). Všetky statické IP adresy sa zaznamenávajú do zabezpečenej databázy; IBM vyžaduje, aby boli pre používateľov k dispozícii zásady akceptovateľného používania, ktoré sa zobrazia pri každej zmene podmienok, pričom sa bude vyžadovať, aby používateľ potvrdil súhlas s podmienkami týkajúcimi sa údajov, ktoré môžu byť uložené alebo spracúvané na danom mieste; Požiadavka používať špecifické pravidlá na zostavovanie obrazov operačného systému (OS image) (pracovné stanice a servery) schválené CIO a Požiadavka absolvovať kontroly stavu zabezpečenia v rámci širšieho nezávislého procesu auditu. Pokiaľ to povoľujú platné právne predpisy, bude sa vykonávať technické testovanie bezpečnosti zo strany tímov vysoko špecializovaných pracovníkov, ktorí budú môcť využiť svoje schopnosti, nástroje a techniky na odhalenie potenciálnych bezpečnostných nedostatkov, ktoré by nebolo možné odhaliť pri rutinnom testovaní. Tieto postupy sa nazývajú aj white hat testovanie alebo etický hacking. Existujú etablované prostriedky v rámci IBM, ktoré sú určené na pomoc fyzickým osobám pri takomto technickom testovaní bezpečnosti vrátane dokumentácie s prehľadom procesu. 4.1 Technické špecifikácie serverov, midlvéru a aplikácií IBM stanovila podrobné technické špecifikácie bezpečnosti pre jednotlivé operačné systémy, midlvérové produkty a nasadené aplikácie. Všetky produkčné servery, midlvérové produkty a aplikácie používané pri poskytovaní technickej podpory po predaji budú prinajmenšom spĺňať technické špecifikácie definované CIO. 4.2 Prístup na základe rolí Interné bezpečnostné služby IBM využívajú zásady riadenia prístupu, ktoré popisujú bezpečnostné požiadavky na základe typu údajov uložených v systéme, potreby používateľa získať prístup k údajom a právnych alebo zmluvných povinností. Procesy schvaľovania, posudzovania a odstraňovania žiadostí o Verzia 1.0, 18. decembra 2017 Strana 5 z 10
prístup sú formálne definované vzhľadom na tieto aspekty. IBM uchováva záznamy pre audit o všetkých závažných udalostiach týkajúcich sa prístupových oprávnení a správy identity. 4.3 Zásady pre heslá a overenie Na prístup k produkčným systémom IBM sa vyžaduje overenie. Toto zahŕňa sieťové zariadenia, servery, pracovné stanice a niektoré typy aplikácií. Niektoré systémy vyžadujú ID používateľa a heslo alebo digitálne osvedčenie, kým iné vyžadujú viaczložkovú autentifikáciu ( niečo, čo viete, a niečo, čo ste alebo máte, napríklad heslo a biometrické overenie alebo heslo a hardvérový bezpečnostný kľúč). Viaczložková autentifikácia sa vyžaduje v prípade všetkých systémov, ktoré sú k dispozícii cez verejnú sieť, alebo pre všetkých privilegovaných používateľov so systémovým oprávnením. Uplatňujú sa pravidlá pre heslá. Pravidlá musia mať určitú dĺžku a musia obsahovať určitú kombináciu písmen, veľkostí písmen, číslic a iných špeciálnych znakov. Okrem toho sa uplatňujú pravidlá vzťahujúce sa na pokusy o použitie nesprávneho hesla, napríklad zablokovanie prístupu po určitom počte neplatných pokusov. Využívajú sa automatizované nástroje, ktoré používateľom pripomínajú potrebu zmeniť heslá a zohľadniť pravidlá pre heslá (ak je to možné). Heslá s neobmedzenou platnosťou vo všeobecnosti nie sú povolené, až na veľmi malý počet výnimiek (výnimkou z tejto požiadavky sú napríklad heslá pre pevné disky, no tieto heslá sa uplatňujú iba vtedy, ak bola jednotka odstránená a znova pripojená k cudziemu radiču). Digitálne osvedčenia používané na identifikáciu musia byť vydané osvedčovacou autoritou schválenou IBM CIO. 4.4 Bezpečnosť siete Bezpečnosť siete zahŕňa fyzické aj logické bezpečnostné opatrenia. Z hľadiska logickej bezpečnosti IBM rozdeľuje svoju IT infraštruktúru do bezpečnostných pásiem so zariadeniami na riadenie toku údajov, ako sú brány firewall a smerovače, ktoré riadia povolené toky údajov medzi bezpečnostnými pásmami. Vďaka tomu môže IBM nasadiť architektúru, ktorá je v súlade s vyššie definovaným princípom hĺbkovej ochrany. Uplatňujú sa fyzické bezpečnostné obmedzenia vzťahujúce sa na fyzické umiestnenie zariadení sieťovej infraštruktúry v rámci CA. Prístup systémov, ktoré sa pripájajú k nedôveryhodnej sieti, napríklad internetu, je vo veľkej miere obmedzený. Pripojenia z týchto obmedzených systémov k iným produkčným systémom v rámci IBM sú podrobne kontrolované. V sieťovej infraštruktúre sú definované brány firewall na niekoľkých úrovniach. Udržiavajú sa povinné množiny pravidiel pre firewall. V prípade každého zariadenia infraštruktúry sa vyžadujú sa technické kontrolné mechanizmy obmedzujúce propagáciu alebo spúšťanie neschváleného kódu (ako sú vírusy a iný škodlivý kód), ak je to možné. Kontroluje sa prístup k smerovačom, prepínačom, drôtovým aj bezdrôtovým prístupovým bodom, ako aj k serverom a pracovným staniciam. Nie sú povolené žiadne nezabezpečené bezdrôtové prístupové body (s veľmi obmedzenými výnimkami pre nezabezpečený hosťovský prístup na internet). Prístup zo strany oprávneného personálu je obmedzený iba na tých pracovníkov, ktorých pracovná rola vyžaduje takýto prístup. Všeobecní používatelia nemajú umožnený prístup k zariadeniam sieťovej infraštruktúry. 4.5 Bezpečnosť serverov Na produkčné serverové systémy sa vzťahujú logické a fyzické kontrolné mechanizmy. V prípade serverových systémov sa vyžaduje množstvo technických kontrolných mechanizmov podľa kategorizácie používania serverov. IBM CIO definuje množinu bezpečnostných pravidiel pre hypervízora a podrobné technické špecifikácie týkajúce sa nastavení zabezpečenia pre operačný systém servera. Prístup k serveru sa umožňuje podľa toho, či je skutočne potrebný. Podobne ako v iných kontextoch budú pravidlá autorizácie pre servery podliehať princípu najnižšieho oprávnenia, na základe ktorého sa udelí najnižšia postačujúca úroveň oprávnení podľa konkrétnej potreby. Vo všeobecnosti všeobecným používateľom nebude udelené oprávnenie nadradeného používateľa alebo podobné oprávnenie na produkčných serveroch. Správcovia serverov alebo iné osoby s prístupovými oprávneniami správcu budú podliehať širšiemu rozsahu bezpečnostných požiadaviek ako všeobecní používatelia. 4.6 Bezpečnosť databáz IBM CIO pre informačné technológie definuje podrobné technické špecifikácie pre nastavenia bezpečnosti databázového midlvéru. Na databázy, podobne ako na servery vo všeobecnosti, sa vzťahujú požiadavky týkajúce sa fyzickej aj logickej kontroly. Databázy musia mať niekoľko úrovní mechanizmov riadenia prístupu, ktoré sa môžu líšiť podľa úrovne dôvernosti údajov uchovávaných v týchto databázach. Verzia 1.0, 18. decembra 2017 Strana 6 z 10
Správcovia databáz, ako aj iní používatelia s rozšírenými oprávneniami, budú podliehať širšiemu rozsahu bezpečnostných požiadaviek ako všeobecní používatelia. 4.7 Bezpečnosť pracovných staníc a prenosných zariadení Zamestnanci IBM musia dodržiavať špecifické pravidlá vzťahujúce sa na pracovné stanice, ktoré sa môžu používať na prístup k Údajom Zákazníka. Na pracovné stanice sa vzťahujú nasledujúce požiadavky: Musia používať aktuálnu antivírusovú ochranu predpísanú CIO (vyžaduje sa špecifický antivírusový softvér). Testovanie vírusov je povinné a je naplánované tak, aby sa spúšťalo automaticky; Musí byť aktivovaná ochrana heslom pri prihlásení; Musí byť nastavený čas uzamknutia klávesnice / obrazovky na 30 minút alebo menej (v niektorých prípadoch 15 minút); Musí byť povolený parameter šifrovania pre tie databázy aplikácie Lotus Notes, ktoré môžu obsahovať citlivé údaje; Ak zariadenie podporuje ochranu jednotky pevného disku heslom, táto musí byť povolená, pokiaľ sa nepoužíva funkcia šifrovania celého disku; Musia sa na ne automaticky inštalovať aktuálne bezpečnostné opravy (security patch); Nesmú obsahovať neschválený alebo nevhodný softvér alebo údaje; Môže sa na nich používať len schválený softvér s otvoreným zdrojovým kódom. Tento proces schvaľovania zaručuje, že sa bude používať iba testovaný a bezpečný softvér a že IBM bude dodržiavať príslušné podmienky používania; Musia v nich byť nainštalované špeciálne softvérové programy na monitorovanie, ktoré dokážu overiť súlad s bezpečnostnými požiadavkami a pomôcť IBM pri správe zariadení určených pre koncových používateľov (napríklad Tivoli End Point Manager); Musí v nich byť nainštalovaný špecifický softvér virtuálnej súkromnej siete (VPN), ktorý bol schválený riaditeľom pre informačné technológie a ktorý umožňuje vzdialený prístup k firemnej sieti intranet IBM. Takýto prístup musí byť šifrovaný na úrovni určenej CIO; Musí byť v nich nainštalovaná a spustená klientska brána firewall schválená IBM; Nesmú používať internetové aplikácie umožňujúce zdieľanie súborov typu P2P, pokiaľ to nepovolí CIO; Nesmú povoľovať žiadnu formu neovereného alebo neschváleného prístupu; Musia mať zaregistrovanú adresu MAC a Musia získavať schválené verzie softvéru vyžadovaného IBM z interného systému distribúcie softvéru (s názvom ISSI, čiže IBM Standard Software Installer). IBM si vyhradzuje právo skonfiškovať akékoľvek aktíva v osobnom vlastníctve používateľa (ako sú notebooky alebo mobily), ktoré sa v plnej alebo čiastočnej miere používajú na plnenie pracovných úloh IBM. K takejto konfiškácii môže dôjsť napríklad s cieľom podporiť vyšetrovanie. 4.8 Bezpečnosť aplikácií Správcovia aplikácií podliehajú ďalším bezpečnostným požiadavkám nad rámec tých požiadaviek, ktorým podliehajú všeobecní používatelia, keďže majú vyššiu úroveň oprávnení. Produkčné aplikácie vyžadujú autentifikáciu a autorizáciu, podobné prihláseniu do operačného systému, ale oddelené od neho. 4.9 Zabránenie v neoprávnenom vniknutí, zisťovanie neoprávneného vniknutia a testovanie zraniteľnosti Vyžadujú sa prostriedky zabraňujúce v neoprávnenom vniknutí (intrusion). Musia byť zavedené softvérové kontrolné mechanizmy na ochranu pred škodlivým kódom na niekoľkých úrovniach (niekoľko úrovní v sieťovej architektúre, na serveri a na pracovnej stanici). Brány firewall sú definované na niekoľkých úrovniach v rámci sieťovej infraštruktúry, ako aj na serveroch a pracovných staniciach. Vyžaduje sa zisťovanie podozrivého správania. Sleduje a zaznamenáva sa množstvo činností a prístupov na podporu zisťovania podozrivého správania. Používatelia s rozšírenými oprávneniami sú sledovaní na vyššej úrovni. Zoznam udalostí bezpečnostného protokolu spravuje CIO. Verzia 1.0, 18. decembra 2017 Strana 7 z 10
Vykonáva sa testovanie zraniteľnosti na základe plánu podľa typu kontrolovaného systému. Ak sa v systémoch, ktoré sa pripájajú na internet, zistí nejaká zraniteľnosť, tieto systémy sa vyradia z prevádzky, pokiaľ problém nemožno vyriešiť v rámci určeného časového limitu. K dispozícii sú schválené testovacie nástroje pre správcov systémov a bezpečnostných expertov, ktorí si tieto nástroje môžu stiahnuť z internej webovej lokality Security, Asset, and Risk Management (SARM). V tejto webovej lokalite sú k dispozícii aj vyžadované profily testovania zraniteľnosti. 5. Bezpečný vývoj Rámec bezpečného vývoja IBM je založený na komerčne primeranom úsilí a nariaďuje vývojovým tímom, aby počas vývoja produktov venovali dostatočnú pozornosť bezpečnosti. Zásady bezpečného vývoja zahrňujú: plánovanie projektov, vzdelávanie v oblasti bezpečnosti, hodnotenie rizík a modelovanie hrozieb, bezpečnostné požiadavky, bezpečné programovanie, kontrolu zdrojového kódu a dynamické testovanie bezpečnosti, bezpečnostnú dokumentáciu a proces reagovania na bezpečnostné incidenty súvisiace s produktmi. Cieľom týchto zásad je podporovať zvyšovanie bezpečnosti produktov, chrániť duševné vlastníctvo IBM a podporovať dodržiavanie záručných podmienok produktov IBM. Bližšie informácie o bezpečnosti produktov IBM sú k dispozícii na adresách http://www.ibm.com/security/secure-engineering/ a http://www.ibm.com/security/secureengineering/process.html. 6. Proces riešenia bezpečnostných incidentov IBM využíva centrálny systém na hlásenie a riešenie bezpečnostných incidentov, v rámci ktorého sa incidenty súvisiace s bezpečnosťou IT prostredia alebo údajov, ktoré môžu zahŕňať (1) vyzradenie osobných údajov, údajov zákazníkov, dôverných, technických alebo vedeckých informácií IBM alebo (2) narušenie bezpečnosti produktívneho zariadenia alebo (3) podozrivé aktivity v IT prostredí (4) alebo prípadný prienik do systémov, nahlasujú jednému telefonickému alebo webovému kontaktnému bodu. Takéto hlásenie vyvolá reakciu zo strany nepretržite dostupného tímu špeciálne vyškolených a vybavených zamestnancov, ktorí v spolupráci so softvérovými tímami a inými špecialistami budú riadiť riešenie incidentu až do jeho vyriešenia. Boli určené špecializované reakčné tímy na incidenty pre jednotlivé oblasti, takže v prípade incidentu sa spustí aj proces riešenia bezpečnostných incidentov (Security Incident Handling Process - SIHP ), aby sa zabezpečila rýchla reakcia na bezpečnostné incidenty v súlade s podnikovými požiadavkami týkajúcimi sa hlásení. IBM podporuje požiadavky GDPR týkajúce sa nahlasovania incidentov a prípadné narušenia (úniky) údajov bude hlásiť do 72 hodín, ak bude v pozícii prevádzkovateľa alebo sprostredkovateľa údajov. Tieto požiadavky týkajúce sa nahlasovania incidentov budú zahŕňať: opis povahy narušenia (úniku) Údajov Zákazníka vrátane (ak to bude možné) kategórií a približného počtu dotknutých osôb a kategórií a približného počtu dotknutých záznamov osobných údajov; meno a kontaktné údaje zodpovednej osoby alebo iného kontaktného bodu, od ktorého možno získať ďalšie informácie; pravdepodobný dopad narušenia (úniku) Osobných údajov a zavedené alebo navrhované opatrenia zo strany prevádzkovateľa s cieľom vyriešiť takéto narušenie (únik) Údajov Zákazníka vrátane, pokiaľ to bude možné, opatrení na minimalizáciu možných negatívnych dopadov. 7. Zásady zamestnávania súvisiace s bezpečnosťou údajov Ochrana Údajov Zákazníka je závislá od vyššie definovaných technických a iných mechanizmov, ako aj od pracovníkov, ktorí spravujú tieto údaje. Zásady zamestnávania sú navrhnuté tak, aby zabezpečovali, že všetci zamestnanci a zmluvní dodávatelia budú spĺňať stanovenú množinu pravidiel a v miere, v akej to povoľujú platné právne predpisy, môžu byť monitorovaní pri vykonávaní pracovných činností. 7.1 Zásady náboru a vylúčenia Pokiaľ to povoľujú platné právne predpisy, vyšetrovanie pred zamestnaním bude zahŕňať bezpečnostné previerky, overenie pravdivosti uvádzanej úrovne vzdelania, overenie platnosti preukazu totožnosti a overenie iných skutočností uvedených v žiadosti o zamestnanie. Zásady pre ukončenie pracovného pomeru vyžadujú zrušenie prístupu do siete (cieľová časová hladina je menej ako 24 hodín). Odchádzajúci zamestnanci sú povinní vrátiť majetok IBM vrátane pracovných staníc, notebookov, médií Verzia 1.0, 18. decembra 2017 Strana 8 z 10
vo vlastníctve IBM a všetkých komunikačných zariadení. Taktiež sa odchádzajúcim zamestnancom pripomína, že sú naďalej povinní zachovávať dôvernosť údajov. 7.2 Školenia a kultúra Noví zamestnanci absolvujú školenia zahrňujúce kurzy zamerané na správne používanie IT prostriedkov a ochranu osobných údajov. Všetci zamestnanci taktiež musia každoročne absolvovať školenie nariadené CIO, ktoré je zamerané na digitálne hrozby a bezpečnosť. 7.3 Dodržiavanie zásad IBM zaviedla zásady správania zamestnancov zahrňujúce pravidlá obchodného konania. Tieto zásady spravuje hlavný právny poradca IBM. Pravidlá obchodného konania vyžadujú, aby zamestnanci IBM dodržiavali vysoké morálne štandardy pri uskutočňovaní obchodných transakcií a zároveň aj zásady zabezpečenia a ochrany dôvernosti údajov. Zamestnanci sú vedení k tomu, aby nahlasovali nezákonné alebo nemorálne konanie, či dokonca aj konanie, ktoré sa môže zdať byť nezákonné alebo nemorálne. Zamestnanci sú povinní pri nástupe do práce a následne každý rok si pozorne prečítať Pravidlá správania v obchodnom styku (ďalej aj BCG ) a zaviazať sa k tomu, že ich budú dodržiavať. Dodržiavanie BCG je podmienkou zamestnania. IBM verejne sprístupnila BCG na adrese: http://www.ibm.com/investor/governance/business-conduct-guidelines.wss. 7.4 Dôvernosť rozhovorov V záujme ochrany Údajov Zákazníka môžu zamestnanci kedykoľvek upozorniť manažment na prípadné problémy. IBM zaviedla programy zaručujúce slobodu v identifikácii a nahlasovaní potenciálnych problémov. 8. Podnikové kontrolné mechanizmy, pokyny a štandardy CIO 9. Audit IBM využíva rámec COSO ( Committee of Sponsoring Organizations of the Treadway Commission ) a jeho päť vzájomne prepojených súčastí: kontrolné prostredie, hodnotenie rizík, kontrolné činnosti, informácie a komunikácia a sledovanie. Boli zavedené zásady a jednotné postupy vo forme podnikových nariadení, ktoré predstavujú primárny spôsob, ako IBM dokumentuje a efektívne informuje manažment aj zamestnancov IBM o svojich zásadách, povereniach a pokynoch. Bezpečnostné zásady pre IT sa uplatňujú na základe konkrétnych podnikových nariadení a iných autoritatívnych zdrojov podnikovej kontroly a sú neoddeliteľnou súčasťou obchodných operácií IBM. Bezpečnosť Údajov Zákazníka je závislá od zavedenia a overovania kontrolných mechanizmov. Jedným zo spôsobov takéhoto overovania je vykonávanie auditov subjektmi, ktoré sú nezávislé od zodpovedných obchodných jednotiek. IBM pravidelne vykonáva audit dodržiavania súladu s podnikovými kontrolnými mechanizmami vrátane kontrolných mechanizmov pre IT (overovanie súladu podnikových bezpečnostných štandardov a zásad). Pracovné funkcie Podnikové kontrolné mechanizmy a Interný audit podliehajú finančnému riaditeľovi IBM, ktorý vedie komisiu predstavenstva pre audit. 10. Kontinuita obchodných operácií Pre všetky funkcie, ktoré sú kľúčové z hľadiska funkčnosti obchodných operácií IBM, sa budú uplatňovať plány Obnovy po havárii (ďalej aj Disaster Recovery alebo DR ). Tieto formálne plány budú zdokumentované a (aspoň) raz za rok sa prehodnotia. Služby hlásenia a riešenia problémov technickej podpory, ktoré sú závislé od Údajov Zákazníka, sa považujú za kľúčové, a preto zavádzajú plány DR. 11. Riešenie krízových situácií V rámci svojho programu núdzového plánovania IBM zaviedla proces riešenia krízových situácií, ktorý IBM umožňuje riešiť krízové situácie, keď sa vyskytnú. Na základe tohto procesu musí byť pre pracoviská alebo lokality IBM s personálom vytvorený núdzový plán. Tento proces riešenia krízových situácií sa aktivuje okamžite po vzniku skutočnej alebo možnej krízovej situácie. 12. Služba a podpora Zákazníci môžu byť požiadaní, aby IBM poskytli (prípadne môžu dobrovoľne poskytnúť) údaje na pomoc pri ladení softvéru na vyriešenie chýb. Títo zákazníci budú požiadaní, aby takéto údaje na ladenie odoslali IBM prostredníctvom bezpečného online nástroja s názvom Enhanced Customer Data Verzia 1.0, 18. decembra 2017 Strana 9 z 10
Repository (ďalej aj ECuRep ). Nástroj ECuRep a súvisiace podmienky používania sú k dispozícii na nasledujúcej adrese: http://www.ibm.com/de/support/ecurep/index.html. 13. Akvizície IBM môže nadobudnúť iné spoločnosti s existujúcimi zásadami a postupmi zabezpečenia Údajov Zákazníka, ktoré sa líšia od zásad a postupov IBM. Nadobudnuté spoločnosti sú povinné dodržiavať rovnaké bezpečnostné zásady ako IBM v rámci definovaného integračného alebo prechodného obdobia po akvizícii. Do skončenia integračného obdobia sa v nadobudnutej spoločnosti budú uplatňovať rovnaké fyzické, logické a podnikové kontrolné mechanizmy ako v IBM. Dĺžka obdobia integrácie závisí od komplexnosti existujúcej infraštruktúry nadobudnutej spoločnosti. Verzia 1.0, 18. decembra 2017 Strana 10 z 10