Operadorearen Cloud zerbitzuetatik eskaintzen diren enpresentzako irtenbideak dira; adibidez, hodeiko konputazio-zerbitzuak (DataCenter birtuala), zerbitzari-ostatatzea, web-ostatatzea edo datu-baseen ostatatzea, datuen biltegiratzea, urruneko segurtasun-kopiak, etab.
Tratatu beharreko datuak:
Zerbitzuok datu pertsonaletarako irispidea ekarriko dute soilik biltegiratzeko edo tratatzeko erabiltzen baditu bezeroak datu horiek. Hori dela eta, Bezeroak modu frogagarrian eman behar dio Operadoreari datu pertsonalen tratamenduaren berri tratamendua hasi aurretik, bai Bezeroaren ardurapeko datuak direnean, bai Bezeroak tratamenduaren eragile gisa diharduen hirugarrenen datuak direnean, horretarako sinatutako kontratuari jarraituz.
Bezeroak ez dio ezein kalterik eragingo Operadoreari baldin eta zigorrik edo erantzunbeharrik gertatzen bada tratamendu-eragiletza ondo ez egiteagatik Bezeroak aurrez ez diolako jakinarazi tratatu egingo direla datuak.
Egin beharreko tratamenduak: Gordetzea, transmisio bidezko komunikazioa, ezabatzea eta segurtasun-kopia egitea (kontratatua badago).
Tratamendu-eragileordeak:
Segurtasun-neurriak
Operadoreak Bezeroaren datuak babesteko neurri tekniko eta antolakuntzako egokiak, barne-kontrolak eta segurtasun-ohiturak ezarri ditu, eta indarrean mantenduko, datuak baimenik gabe, istripuz edo legez kanpo inork eskuratu, argitara eman, aldatu, galdu edo suntsi ez ditzan.
Informazioaren segurtasuna antolatzea
- Segurtasun-alorreko erantzukizuna Operadoreak segurtasun-arduradun bat izendatu du, segurtasun-politikak eta -prozedurak koordinatzeko eta betearazteko. Horrez gain, datuak babesteko ordezkari bat ere izendatu du, zeinaren ardura baita konpainiaren zerbitzu eta produktu guztietako datuen babesa koordinatzea eta betearaztea.
- Segurtasun-alorreko ardurak eta funtzioak. Sailkatuta daude bezeroen datuetarako irispidea duten edo izan dezaketen lanpostu guztien funtzioak eta ardurak, tartean dela segurtasunari eta pribatutasunari dagokion guztia. Bestalde, Bezeroen datuetara irispidea duten Operadoreko langileek konfidentzialtasun-betebeharrak dituzte.
- Segurtasun-alorreko dokumentazioa Zenbait prozedura dokumentatu eta araudi dago segurtasunaz.
Giza baliabideen inguruko segurtasuna
- Ekipamenduaren erabilerarekin eta informazioaren segurtasunarekin lotutako araudia Ekipo informatikoak, mugikorrak eta informazio-sistemak nola erabili behar diren adierazten du, eta nahitaez jakin beharra daukate bezeroen datuak tratatzen dituzten langile guztiek. Hau da araudiaren helburua: informazio-sistemen erabilera egokia ziurtatzea, eta segurtasun-alorreko arriskuak gutxitzea.
- Segurtasun-alorreko trebakuntza. Bezeroen datuetara irispidea duten langile guztiek jaso dute behar den trebakuntza, jardunbide egokiak ikas ditzaten segurtasunari, pribatutasunari eta segurtasun-prozedurei dagokienez, bakoitzaren lanpostuko eginkizunen arabera. Halaber, behar den informazioa jaso dute langileek segurtasun-prozedura eta -arau horiek ez betetzeak ekar ditzakeen ondorioez.
Norberaren eta ingurunearen segurtasuna
- Instalazioetarako irispide fisikoa. Operadoreak pertsona fisiko baimenduei bakarrik uzten die sartzen Bezeroen datuak tratatzeko informazio-sistemak dauden instalazioetara.
- Euskarri fisikoak. Operadoreak erregistratu egiten ditu Bezeroen datuak dituzten eta Operadoreak kudeatzen dituen euskarri fisikoak —sartzen direnak eta irteten direnak—, barne direla euskarri-mota, bidaltzaile/hartzaile baimendua, data eta ordua.
- Etenen aurkako babesa. Zenbait sistema estandar erabiltzen ditu Operadoreak, industrian, elektrizitate-hornidurako akatsek eragiten dituzten datu-galerei aurre egiteko eta suteetatik babesteko.
- Ezabatzea. Industrian estandarrak diren prozesuak erabiltzen ditu Operadoreak Bezeroaren datuak ezabatzeko; jada beharrezko ez diren datu pertsonalak eta Bezeroaren beste edozein datu edo aktibo.
Eragiketen kudeaketa
- Software maltzurra Operadoreak baditu malwarearen aurkako kontrolak bere azpiegituran, software maltzurrak Bezeroaren datuetarako irispiderik aurkitzea eragozten laguntzeko.
- Perimetroz kanpoko datuak.
- Operadoreak enkriptatu egiten ditu, bere ardurapeko irispideetan, sare publikoetan transmititzen diren Bezeroen datuak.
- Operadoreak murriztu egiten du Bezeroaren datuetarako irispidea, bere ardurapeko kasuetan, datu horiek bere instalazioetatik irteten diren euskarri fisikoetan gordeta daudenean (besteak beste, zaintzapean jartzen ditu euskarri horiek).
- Gertakariak erregistratzea. Gertakariak erregistratzeko sistema bat dute Operadoreak kudeatzen dituen datuak tratatzeko sistemek. Behar denean aztertzen da sistema hori.
- Aldi baterako kopiak Bezeroaren datuen aldi baterako kopiarik egin behar izanez gero, Operadoreak konpromisoa hartzen du jatorrizko datuei aplikatzen zaizkien segurtasun-neurri berak ezartzeko haiei, eta jada beharrezkoak ez direnean suntsitzeko.
- Probak. Operadoreak hitzematen du ez duela probarik egingo datu errealak erabiliz, zerbitzua emateko probarik egin behar izanez gero; datu errealak nahitaez erabili behar izanez gero, berriz, haien aldi baterako kopia erabiliko du, eta aurreko puntuan aipatutako neurriak aplikatuko dizkie.
Irispideen kontrola
- Irispide-politika Bezeroen datuetarako irispidea duten pertsona fisikoen segurtasun-pribilegioen erregistro bat du Operadoreak.
- Irispidea izateko baimena
- Bezeroen datuak dituzten Operadorearen sistemetarako irispidea duten langileen erregistro bat du Operadoreak, eta eguneratu egiten du.
- Operadoreak desaktibatu egiten ditu autentifikazio-kredentzial propioak, baldin eta gutxienez sei hilabetean ez badira erabili.
- Operadoreak kontrolatu egiten du zer langilek eman, aldatu edo ken dezaketen datu eta baliabideetarako irispide baimendua.
- Operadoreak baditu bere sistemetara sartu diren pertsona baimendunak identifikatzeko sistemak.
- Pribilegio txikiagoa
- Laguntza teknikoko langileak beharrezkoa denean bakarrik sar daitezke bezeroen datuetara.
- Bezeroen datuetara sartzeko baimena beren postuetako eginkizunetarako beharrezkoa duten pertsona fisikoei bakarrik ematen die Operadoreak.
- Osotasuna eta konfidentzialtasuna.
- Operadoreak bere langileei eskatzen die administrazio-saioak desaktiba ditzatela instalazioetatik irtetean edo beste zeinahi arrazoirengatik ordenagailutik luzaro urruntzean.
- Pasahitzak ulergaitz egiten dituen modu batean gordetzen ditu Operadoreak.
- Autentifikazioa
- Industrian estandarrak diren praktikak erabiltzen ditu Operadoreak informazio-sistemetara sartu nahi duten erabiltzaileak identifikatzeko eta autentifikatzeko.
- Aldian behin pasahitzak berritzeko eskatzen die Operadoreak langileei, eta gutxienez zortzi karaktere izan ditzatela.
- Operadoreak zaintzen du desaktibatutako edo iraungitako identifikatzaileak ez daitezela esleitu beste pertsona fisiko batzuentzat.
Informazioaren segurtasuna: gorabeherak kudeatzea
- Gorabeherak konpontzeko prozesua. Gorabeherak konpontzeko Operadorearen prozedurak estandar eta jardunbide egokiak ditu oinarri, segurtasun-arazoak detektatu eta haiei ekiteko. Atal bereziak ditu prozedurak arazo horiek bezeroen datu pertsonalen konfidentzialtasuna urratzen dutenerako.
- Zerbitzuaren monitorizazioa. Operadoreak badu zerbitzuen egoera aztertzeko monitorizazio-zerbitzu bat.
Zerbitzuan segurtasun-kopia sartzen bada edo bezeroak kontratatu badu bakarrik: Datuak berreskuratzea.
- Bezeroen datuen zenbait kopia egingo ditu Operadoreak hainbatean behin (astean behin, gutxienik), datu horiek haietatik berreskuratu ahal izateko. Tarte horretan Bezeroen datuak eguneratu ez badira, ez da kopiarik egingo.
- Bezeroak hala eskatzen badu, kopia horiek zifratu egin ahal izango dira, eta Bezeroa bakarrik izango da zifratze-gakoak zaintzeko arduradun (Operadoreak ez ditu jakingo) eta datuak berreskuratzeko beharrezkoak diren eragiketak egiteko arduradun. Bezeroak adierazten du badakiela ezen, “back-up zifratua” aukera aktibatu ondoren, Operadoreak ez duela izango irispiderik Bezeroaren datuetara eta datuok galdu egingo direla Bezeroak zifratze-gakoak galtzen baditu.
- Operadoreak ez ditu leku berean biltegiratzen Bezeroen datuen kopiak eta datuak berreskuratzeko prozedurak, alde batetik, eta Bezeroen datuak tratatzen dituen konputazio-ekipo primarioa, bestetik.
- Operadoreak berariazko prozedurak ezarri ditu Bezeroen datuen kopietarako irispidea arautzeko.
- Operadoreak sei hilabetean behin aztertzen ditu, gutxienez, datuak berreskuratzeko prozedurak eta haien funtzionamendua.
- Operadoreak berak datuak leheneratzeko Operadoreak zuzenean egin dituen lanak erregistratzen ditu, datu hauek ere barne direla: arduradunaren izena, leheneratutako datuen deskribapena eta, hala badagokio, zer datu sartu behar izan ziren eskuz datuak leheneratzeko prozeduran.