Ασφάλεια Πληροφοριών
Ελάχιστες Απαιτήσεις Ασφαλείας
Το παρόν περιγράφει τα ελάχιστα μέτρα ασφάλειας που πρέπει να λαμβάνουν οι Εκτελούντες την Επεξεργασία για την Allianz Ευρωπαϊκή Πίστη Μονοπρόσωπη Ανώνυμη Ασφαλιστική Εταιρία (εφεξής «Εταιρία») για την προστασία των Προσωπικών Δεδομένων και των Πληροφοριών που επεξεργάζονται στα πλαίσια της συνεργασίας τους με την Εταιρία. Κύριος σκοπός είναι η εκπλήρωση των ελάχιστων προκαθορισμένων απαιτήσεων της ισχύουσας νομοθεσίας περί προστασίας προσωπικών δεδομένων και ιδιωτικότητας.
Η συμμόρφωση με αυτά τα ελάχιστα μέτρα ασφαλείας δεν εγγυάται την παροχή του κατάλληλου επιπέδου προστασίας – πρέπει να γίνει μία ολιστική και περιεκτική αξιολόγηση της ασφάλειας που πρέπει να ληφθεί ανάλογα με τις περιστάσεις, τα είδη των προσωπικών δεδομένων και της επεξεργασίας που πρόκειται να διεξαχθεί.
Επιπλέον ειδικές απαιτήσεις ασφάλειας μπορούν να συμπεριληφθούν στις εκάστοτε συμβάσεις της Εταιρίας με τον αντίστοιχο Εκτελούντα.
Οι τεχνικές ασφαλείας των πληροφοριών, όπως και οι απειλές για την ασφάλεια συνεχώς εξελίσσονται. Συνεπώς η ασφάλεια θα πρέπει συνεχώς να αξιολογείται υπό το πρίσμα επικείμενων ειδικών περιστάσεων, προκειμένου να καθορισθεί το κατάλληλο επίπεδο προστασίας.
Οργανωτικά Μέτρα
Υπεύθυνος Ασφάλειας
1. Το πρόσωπο που είναι υπεύθυνο από την πλευρά του Εκτελούντα για την συνολική συμμόρφωση με τις ελάχιστες απαιτήσεις ασφάλειας ορίζεται ως Υπεύθυνος Ασφάλειας. Το εν λόγω πρόσωπο θα πρέπει να έχει την κατάλληλη εκπαίδευση και εμπειρία για τη διαχείριση της ασφάλειας των πληροφοριών και να διαθέτει τους κατάλληλους πόρους για την αποτελεσματική διασφάλιση της συμμόρφωσης.
2. Τα στοιχεία επικοινωνίας του Υπεύθυνου Ασφάλειας θα πρέπει να περιέρχονται εις γνώση της Εταιρίας και κάθε τροποποίηση στα εν λόγω στοιχεία θα πρέπει να γνωστοποιείται άμεσα.
Σχέδιο - Έγγραφα Ασφάλειας
3. Τα μέτρα που θεσπίζονται για τη συμμόρφωση με τις εν λόγω ελάχιστες απαιτήσεις ασφάλειας «Σχέδιο Ασφάλειας» θα πρέπει να καταγράφονται «Έγγραφα Ασφάλειας», να ενημερώνονται και να τροποποιούνται οποτεδήποτε λαμβάνουν χώρα σημαντικές αλλαγές στα Πληροφοριακά Συστήματα του Εκτελούντα ή σε οτιδήποτε άλλο δύναται να επηρεάσει την Ασφάλεια των διαχειριζόμενων Πληροφοριών. Ενδεικτικά Μέτρα ασφάλειας που θα πρέπει να περιλαμβάνονται στο «Σχέδιο Ασφάλειας» (όπου είναι εφαρμόσιμα) αφορούν:
4. Μέτρα Ασφάλειας που σχετίζονται με την τροποποίηση, ανάπτυξη και συντήρηση των συστημάτων και εφαρμογών (βάση δεδομένων, ψηφιοποιημένα αρχεία κ.τ.λ.), συμπεριλαμβανομένης της ασφάλειας των κτιρίων ή εγκαταστάσεων όπου λαμβάνει χώρα η επεξεργασία και αποθήκευση των δεδομένων, της ασφάλεια του εξοπλισμού των δεδομένων, των τηλεπικοινωνιακών υποδομών και των περιβαλλοντικών ελέγχων.
5. Μηχανισμοί ασφάλειας δεδομένων για την εξασφάλιση της ακεραιότητας και της εμπιστευτικότητας των δεδομένων, κατηγοριοποίηση των δεδομένων.
6. Ασφάλεια των υπολογιστών και των τηλεπικοινωνιακών συστημάτων, συμπεριλαμβανομένων των διαδικασιών διαχείρισης εφεδρικών αντιγράφων, διαδικασίες για την αντιμετώπιση των ιών υπολογιστών, διαδικασίες διαχείρισης σημάτων/κωδικών, ασφάλεια για την υλοποίηση του λογισμικού, ασφάλεια που σχετίζεται με βάσεις δεδομένων, ασφάλεια για τη σύνδεση συστημάτων στο διαδίκτυο, επιθεώρηση της καταστρατήγησης του συστήματος δεδομένων, μηχανισμοί για τη συνεχή καταγραφή των προσπαθειών παραβίαση του συστήματος ασφάλειας ή απόκτησης μη εξουσιοδοτημένης πρόσβασης σε αυτό.
7. Σχέδιο αποκατάστασης σε περίπτωση καταστροφής, το οποίο θα καθορίζει: τα μέτρα για την ελαχιστοποίηση των διακοπών της κανονικής λειτουργίας των συστημάτων, τον περιορισμό της έκτασης οποιασδήποτε ζημιάς και καταστροφής, την ομαλή διαβίβαση των Προσωπικών Δεδομένων από το ένα σύστημα υπολογιστή στο άλλο, εφόσον κρίνεται αναγκαίο, την παροχή εναλλακτικών μέσων λειτουργίας του συστήματος ενός ηλεκτρονικού υπολογιστή, την εκπαίδευση, άσκηση και εξοικείωση του προσωπικού με διαδικασίες έκτακτης ανάγκης, την εξασφάλιση γρήγορου και ομαλού συστήματος ανάκτησης και την ελαχιστοποίηση των οικονομικών επιπτώσεων οποιουδήποτε συμβάντος καταστροφής.
8. Σχέδιο έκτακτης ανάγκης, το οποίο πρέπει να αντιμετωπίσει τους ακόλουθους πιθανούς κινδύνους των συστημάτων και τα κατάλληλα κριτήρια για τον προσδιορισμό του πότε θα πρέπει να ενεργοποιηθεί το Σχέδιο: οι κρίσιμες λειτουργίες και συστήματα, η στρατηγική για την προστασία των συστημάτων και προτεραιότητες σε περίπτωση που το Σχέδιο ενεργοποιηθεί, κατάλογο των μελών του προσωπικού που καλούνται σε περίπτωση έκτακτης ανάγκης, καθώς και αριθμούς τηλεφώνου άλλων σχετικών προς τούτο μερών, το σύνολο των διαδικασιών για τον υπολογισμό της υφιστάμενης ζημίας, ρεαλιστικά σχέδια διαχείρισης χρόνου για την αποκατάσταση των συστημάτων, σαφής κατανομή των καθηκόντων του προσωπικού, την πιθανή χρήση συναγερμών και ειδικών συσκευών (πχ φίλτρα αέρα, φίλτρα θορύβου), σε περίπτωση πυρκαγιάς θα πρέπει να είναι διαθέσιμος ειδικός εξοπλισμός (πχ πυροσβεστήρας, αντλίες νερού, κλπ), συσκευές ή μέθοδοι για τον προσδιορισμό της θερμοκρασίας, υγρασίας και άλλων περιβαλλοντικών παραγόντων (πχ κλιματιστικά, θερμόμετρα κλπ), ειδικό λογισμικό ασφάλειας για τον εντοπισμό της παραβίασης της ασφάλειας, ειδικές γεννήτριες για την αντιμετώπιση της διακοπής του ηλεκτρικού ρεύματος, διατήρηση αντιγράφων του λογισμικού ή υλικών σε όλα προστατευόμενα κτίρια προς αποφυγή ακούσιας απώλειας.
9. Τα «Έγγραφα Ασφάλειας» θα πρέπει να είναι διαθέσιμα στο προσωπικό του Εκτελούντα, το οποίο έχει πρόσβαση στα Προσωπικά Δεδομένα, στα Πληροφοριακά Συστήματα και στο φυσικό αρχείο και θα πρέπει να καλύπτει τουλάχιστον τις ακόλουθες πτυχές:
10. Το «Σχέδιο Ασφάλειας», τα «Έγγραφα Ασφάλειας» και κάθε σχετικά αρχεία και έγγραφα θα πρέπει να διατηρούνται τουλάχιστον για πέντε (5) έτη από το πέρας της επεξεργασίας.
Καθήκοντα και Υποχρεώσεις του Προσωπικού του Εκτελούντα
11. Μόνο εκείνοι οι υπάλληλοι του Εκτελούντα, οι οποίοι έχουν επιδείξει ειλικρίνεια, ακεραιότητα και διακριτικότητα, πρέπει να είναι Εγκεκριμένοι Χρήστες ή να έχουν πρόσβαση στις εγκαταστάσεις όπου βρίσκονται τα Πληροφοριακά Συστήματα, τα μέσα που εμπεριέχουν Προσωπικά Δεδομένα και στους αποθηκευτικούς χώρους των αρχείων. Το προσωπικό θα πρέπει να δεσμεύεται από υποχρέωση εμπιστευτικότητας (NDA) όσον αφορά την πρόσβαση γενικά στα Δεδομένα και ειδικά στα Προσωπικά Δεδομένα και Δεδομένα ειδικής κατηγορίας
12. Εφαρμόζονται τα απαραίτητα μέτρα για την κατάρτιση και την εξοικείωση του προσωπικού με τις ελάχιστες απαιτήσεις ασφάλειας, με τις σχετικές πολιτικές και τους ισχύοντες νόμους σχετικά με την εκτέλεση των καθηκόντων τους σε σχέση με την Επεξεργασία των Προσωπικών Δεδομένων και τις συνέπειες τυχόν παραβίασης αυτών των απαιτήσεων.
13. Τα καθήκοντα και οι υποχρεώσεις του προσωπικού που έχει πρόσβαση στα Προσωπικά Δεδομένα και στα Πληροφοριακά Συστήματα θα πρέπει να καθορίζονται και να τεκμηριώνονται με σαφή τρόπο.
14. Οι Εγκεκριμένοι Χρήστες θα πρέπει να ενημερώνονται ότι ο ηλεκτρονικός εξοπλισμός και οι χώροι αποθήκευσης των εγγράφων δεν θα πρέπει να παραμένει αφύλακτος και προσβάσιμος από μη εξουσιοδοτημένο προσωπικό.
15. Η φυσική πρόσβαση σε περιοχές όπου τα Προσωπικά Δεδομένα αποθηκεύονται θα πρέπει να είναι περιορισμένη μόνο στους Εγκεκριμένους Χρήστες.
16. Τα πειθαρχικά μέτρα για την παραβίαση του «Σχεδίου Ασφάλειας» θα πρέπει να καθορίζονται, τεκμηριώνονται και γνωστοποιούνται στο προσωπικό με σαφή τρόπο.
Αναφορά Συμβάντων και Περιστατικών Ασφαλείας
17. Η διαδικασία για την αναφορά, διαχείριση και ανταπόκριση των συμβάντων και περιστατικών ασφαλείας θα πρέπει να εξετάζεται τουλάχιστον ετησίως από τον Εκτελούντα.
Τεχνικά Μέτρα
Εξουσιοδότηση
18. Μόνο εκείνοι οι υπάλληλοι του Εκτελούντα, οι οποίοι έχουν νόμιμη επιχειρησιακή ανάγκη να έχουν πρόσβαση στα Πληροφοριακά Συστήματα και στους χώρους αποθήκευσης εγγράφων ή να διεξάγουν οποιαδήποτε Επεξεργασία Προσωπικών Δεδομένων εξουσιοδοτούνται να το πράξουν (“Εγκεκριμένοι Χρήστες”).
Ταυτοποίηση
19. Κάθε Εγκεκριμένος Χρήστης θα πρέπει να διαθέτει ένα προσωπικό και μοναδικό κωδικό αναγνώρισης για αυτόν τον σκοπό (“Ταυτότητα Χρήστη”).
20. Κάθε Ταυτότητα Χρήστη δεν μπορεί να εκχωρηθεί σε άλλο πρόσωπο, ακόμη και σε μεταγενέστερο χρόνο.
21. Πρέπει να τηρούνται ενημερωμένα αρχεία των Εγκεκριμένων Χρηστών, της εγκεκριμένης σε αυτούς πρόσβασης, ενώ διαδικασίες ταυτοποίησης και πιστοποίησης θα πρέπει να καθορισθούν για κάθε πρόσβαση στα Πληροφοριακά Συστήματα και στους χώρους αποθήκευσης εγγράφων ή για τη διεξαγωγή οποιασδήποτε επεξεργασίας Προσωπικών Δεδομένων.
22. Κωδικοί πρόσβασης θα πρέπει να τροποποιούνται τουλάχιστον κάθε τρεις(3) μήνες.
23. Το λογισμικό, το firmware και το hardware που χρησιμοποιούνται στα Πληροφοριακά Συστήματα θα πρέπει να ελέγχονται τουλάχιστον κάθε έξι (6) μήνες προκειμένου να εντοπισθούν τα τρωτά σημεία και τα ελαττώματα στα Πληροφοριακά Συστήματα ώστε να επιλυθούν.
24. Θα πρέπει να δημιουργηθούν μηχανισμοί που επιτρέπουν τη σαφή, εξατομικευμένη αναγνώριση κάθε χρήστη, ο οποίος επιχειρεί πρόσβαση στο Πληροφοριακό Σύστημα, καθώς και ένας έλεγχος για να διαπιστωθεί εάν κάθε χρήστης είναι εξουσιοδοτημένος.
25. Θα πρέπει να τεθούν όρια στις επαναλαμβανόμενες προσπάθειες για να δοθεί μη εξουσιοδοτημένη πρόσβαση στο Πληροφοριακό Σύστημα. Η Ταυτότητα Χρήστη θα πρέπει να κλειδώνει μετά από τουλάχιστον πέντε (5) αποτυχημένες προσπάθειες για εξουσιοδότηση.
Πιστοποίηση
26. Οι Εγκεκριμένοι Χρήστες δύνανται να επεξεργάζονται Προσωπικά Δεδομένα, εφόσον τους έχουν δοθεί διαπιστευτήρια πιστοποίησης, ώστε να ολοκληρώσουν επιτυχώς μία διαδικασία επαλήθευσης ταυτότητας, που σχετίζεται είτε με μία συγκεκριμένη διαδικασία Επεξεργασίας είτε με ένα σύνολο εργασιών Επεξεργασίας.
27. Ο έλεγχος της ταυτότητας θα πρέπει να βασίζεται σε ένα μυστικό κωδικό πρόσβασης που συνδέεται με την Ταυτότητα Χρήστη και ο οποίος γνωστοποιείται μόνο στον Εγκεκριμένο Χρήστη. Εναλλακτικά, η πιστοποίηση συνίσταται σε μία συσκευή εξακρίβωσης ταυτότητας, η οποία χρησιμοποιείται και κατέχεται αποκλειστικά από το πρόσωπο που είναι υπεύθυνος για την Επεξεργασία και μπορεί να συνδέεται είτε με τον κωδικό αναγνώρισης ή κωδικό πρόσβασης ή βιομετρικό χαρακτηριστικό που σχετίζεται με το πρόσωπο που είναι υπεύθυνο για την Επεξεργασία και μπορεί να συνδέεται είτε με έναν κωδικό αναγνώρισης ή με έναν κωδικό πρόσβασης.
28. Περισσότερο από ένα διαπιστευτήρια πιστοποίησης δύνανται να αντιστοιχούν ή να συνδέονται με έναν Εγκεκριμένο Χρήστη.
29. Θα πρέπει να υπάρχει μία διαδικασία που εγγυάται την εμπιστευτικότητα και ακεραιότητα του κωδικού πρόσβασης. Οι κωδικοί πρόσβασης πρέπει να αποθηκεύονται κατά τρόπο που τους καθιστά ακατανόητους, ενώ βρίσκονται σε ισχύ. Θα πρέπει να υπάρχει μια διαδικασία για την εκχώρηση, διανομή και αποθήκευση των κωδικών πρόσβασης.
30. Οι κωδικοί πρόσβασης θα πρέπει να αποτελούνται από τουλάχιστον οκτώ (8) χαρακτήρες, ή, εάν αυτό καθίσταται τεχνικά αδύνατο από τα σχετικά Πληροφοριακά Συστήματα, ένα κωδικός πρόσβασης θα πρέπει να αποτελείται από το μέγιστο επιτρεπόμενο αριθμό χαρακτήρων. Οι κωδικοί πρόσβασης δεν θα πρέπει να εμπεριέχουν οποιοδήποτε στοιχείο ώστε να μπορεί εύκολα συσχετισθεί με τον Εγκεκριμένο Χρήστη, ο οποίος είναι υπεύθυνος για την Επεξεργασία και θα πρέπει να αλλάζουν σε τακτικά χρονικά διαστήματα. Οι κωδικοί πρόσβασης, όταν χρησιμοποιούνται για πρώτη φορά, θα πρέπει να τροποποιούνται από τον Εγκεκριμένο Χρήστη. Ενέργεια, η οποία θα πρέπει να επαναλαμβάνεται έκτοτε κάθε τρείς (3) μήνες κατ’ ελάχιστο.
31. Οι οδηγίες που παρέχονται στους Εγκεκριμένους Χρήστες καθορίζουν την υποχρέωση, ως προϋπόθεση για την πρόσβαση στα Πληροφοριακά Συστήματα, λήψης των απαραίτητων προφυλάξεων για τη διασφάλιση του απορρήτου των εμπιστευτικών στοιχείων των διαπιστευτηρίων, καθώς και ότι οι συσκευές που χρησιμοποιούνται και κατέχονται αποκλειστικά από τους Εγκεκριμένους Χρήστες φυλάσσονται με τη δέουσα προσοχή.
32. Διαπιστευτήρια πιστοποίησης θα πρέπει να απενεργοποιούνται, εάν δεν έχουν χρησιμοποιηθεί για τουλάχιστον έξι (6) μήνες, εκτός από εκείνα που έχουν εγκριθεί αποκλειστικά για σκοπούς τεχνικής διαχείρισης και υποστήριξης
33. Διαπιστευτήρια πιστοποίησης θα πρέπει επίσης να απενεργοποιούνται εάν ο Εγκεκριμένος Χρήστης αποκλεισθεί ή δεν εξουσιοδοτηθεί για την πρόσβαση στα Πληροφοριακά Συστήματα ή την Επεξεργασία Προσωπικών Δεδομένων.
Έλεγχοι Πρόσβασης
34. Μόνο Εγκεκριμένοι Χρήστες του Εκτελούντα έχουν πρόσβαση στα Δεδομένα (ηλεκτρονικά ή έγχαρτα) της Εταιρίας, συμπεριλαμβανομένων όσων αποθηκεύονται σε οποιοδήποτε ηλεκτρονικό ή φορητό μέσο ή όσων διαβιβάζονται ή φυσικά μεταφέρονται. Οι Εγκεκριμένοι Χρήστες έχουν εγκεκριμένη πρόσβαση μόνο σε εκείνα τα δεδομένα και τις πηγές που είναι απαραίτητα για την εκπλήρωση των καθηκόντων τους.
35. Θα πρέπει να χρησιμοποιείται ένα σύστημα για τη χορήγηση πρόσβασης στους Εγκεκριμένους Χρήστες σε καθορισμένα δεδομένα και πηγές.
36. Το προφίλ εξουσιοδότησης για κάθε Εγκεκριμένο Χρήστη ή για ομοιογενή σύνολα Εγκεκριμένων Χρηστών θα πρέπει να δημιουργηθεί και να διαμορφωθεί πριν την έναρξη οποιασδήποτε Επεξεργασίας κατά τρόπο που να επιτρέπει μόνο την πρόσβαση σε δεδομένα και πηγές που είναι απαραίτητες για την εκπλήρωση των καθηκόντων των Εγκεκριμένων Χρηστών.
37. Θα πρέπει να επαληθεύεται τακτικά, τουλάχιστον σε ετήσια βάση, ότι εξακολουθούν να ισχύουν οι προϋποθέσεις διατήρησης των σχετικών προφίλ εξουσιοδότησης. Αυτό μπορεί επίσης να περιλαμβάνει τον κατάλογο των Εγκεκριμένων Προσώπων, οι οποίοι καταρτίζονται από ομοιογενείς κατηγορίες καθηκόντων και αντίστοιχα προφίλ εξουσιοδότησης.
38. Θα πρέπει να ληφθούν μέτρα προκειμένου να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση (φυσική ή ηλεκτρονική) ή χρήση των Πληροφοριακών Συστημάτων από οποιονδήποτε χρήστη. Ειδικότερα, θα πρέπει να εγκατασταθούν τελευταίας τεχνολογίας firewalls και συστήματα ανίχνευσης εισβολέων για την προστασία των Πληροφοριακών Συστημάτων από μη εξουσιοδοτημένη πρόσβαση, συναγερμοί, κάμερες κτλ. Μέτρα θα πρέπει να ληφθούν προκειμένου να εντοπίζεται τυχόν πρόσβαση στα Πληροφοριακά Συστήματα ή τυχόν επεξεργασία των Προσωπικών Δεδομένων χωρίς εξουσιοδότηση, ή όταν έχουν γίνει τέτοιου είδους ανεπιτυχείς προσπάθειες.
39. Το λειτουργικό σύστημα ή οι έλεγχοι πρόσβασης στις βάσεις δεδομένων θα πρέπει να διαμορφώνονται έτσι ώστε να διασφαλίζεται η εξουσιοδοτημένη πρόσβαση.
Διαχείριση και Διανομή Μέσων
40. Τα Πληροφοριακά Συστήματα, τα φυσικά μέσα αποθήκευσης των Δεδομένων και το φυσικό αρχείο θα πρέπει να στεγάζονται σε ένα ασφαλές φυσικό περιβάλλον. Μέτρα θα πρέπει να ληφθούν προκειμένου να αποτραπεί η μη εξουσιοδοτημένη φυσική πρόσβαση στις εγκαταστάσεις που στεγάζουν τα Πληροφοριακά Συστήματα και το φυσικό αρχείο του Εκτελούντα.
41. Οργανωτικές και τεχνικές οδηγίες θα πρέπει να εκδοθούν σχετικά με την τήρηση και χρήση των αποσπώμενων μέσων, στα οποία αποθηκεύονται δεδομένα, προκειμένου να αποφευχθεί η μη εξουσιοδοτημένη πρόσβαση και Επεξεργασία τους.
42. Όταν τα μέσα πρόκειται να διατεθούν ή να ξαναχρησιμοποιηθούν, θα πρέπει να ληφθούν τα απαραίτητα μέτρα για να αποφευχθεί τυχόν μεταγενέστερη ανάκτηση των Προσωπικών Δεδομένων, καθώς και οποιαδήποτε άλλη πληροφορία αποθηκευμένη σε αυτά, ή η κατανόηση την πληροφορίας με οποιονδήποτε άλλο τρόπο ή η ανασύσταση αυτής με άλλα τεχνικά μέσα, προτού αποσυρθούν.
43. Μέσα που εμπεριέχουν Προσωπικά Δεδομένα θα πρέπει να διαγράφονται ή να καταστούν μη αναγνωρίσιμα εφόσον πλέον δεν χρησιμοποιούνται ή πριν τη διάθεσή τους.
44. Εκτυπώσεις ή αντίγραφα του φυσικού αρχείου απαγορεύονται παρά μόνο με την έγγραφη εξουσιοδότηση της Εταιρίας και μόνο από τους Εγκεκριμένους Χρήστες
45. Κρυπτογράφηση ή άλλη ισοδύναμη μορφή προστασίας θα πρέπει να χρησιμοποιείται για την προστασία των Δεδομένων, που διαβιβάζονται ηλεκτρονικά μέσω διαδικτύου ή αποθηκεύονται σε φορητή συσκευή, ή όπου απαιτείται η αποθήκευση ή η Επεξεργασία Δεδομένων σε ένα φυσικό ασφαλές περιβάλλον.
46. Όταν μέσα που εμπεριέχουν Δεδομένα της Εταιρίας ή το φυσικό αρχείο της Εταιρίας πρόκειται να μεταφερθούν από καθορισμένες εγκαταστάσεις ως αποτέλεσμα εργασιών συντήρησης, τα απαραίτητα μέτρα θα πρέπει να ληφθούν για να αποτραπεί οποιαδήποτε μη εξουσιοδοτημένη ανάκτηση των Δεδομένων αυτών, καθώς και οποιασδήποτε άλλης πληροφορίας αποθηκευμένης σε αυτά.
47. Όταν τα Δεδομένα διαβιβάζονται ή μεταφέρονται μέσω δικτύου ηλεκτρονικών επικοινωνιών, μέτρα θα πρέπει να ληφθούν για τον έλεγχο της ροής των δεδομένων και της καταγραφής του χρόνου διαβίβασης ή μεταφοράς τους, των διαβιβαζόμενων ή μεταφερόμενων Δεδομένων, τον προορισμό κάθε διαβιβαζόμενου ή μεταφερόμενου Δεδομένου, καθώς και τα στοιχεία του Εγκεκριμένου Χρήστη που διεξάγει τη διαβίβαση ή τη μεταφορά.
Διαφύλαξη, Εφεδρικά αντίγραφα και Ανάκτηση
48. Θα πρέπει να υπάρξουν εργαλεία για την αποτροπή κάθε ακούσιας αλλοίωσης ή καταστροφής Δεδομένων οποιασδήποτε μορφής (ηλεκτρονικής ή έγχαρτης)
49. Θα πρέπει να καθορισθούν και να θεσπισθούν διαδικασίες για τη δημιουργία εφεδρικών αντιγράφων και για την ανάκτηση των δεδομένων σε ηλεκτρονική μορφή. Αυτές οι διαδικασίες θα πρέπει να εγγυώνται ότι τα αρχεία των Δεδομένων ηλεκτρονικής μορφής μπορούν να επανακτηθούν στην κατάσταση στην οποία βρίσκονταν τη στιγμή που χάθηκαν ή καταστράφηκαν.
50. Εφεδρικά αντίγραφα πρέπει να δημιουργούνται τουλάχιστον μία φορά την εβδομάδα, εκτός και αν δεν έχουν ενημερωθεί τα ηλεκτρονικά δεδομένα κατά τη διάρκεια αυτής της περιόδου.
51. Το εφεδρικό αντίγραφο, καθώς και οι διαδικασίες ανάκτησης δεδομένων θα πρέπει να φυλάσσονται σε διαφορετική τοποθεσία από εκείνη που βρίσκονται τα Πληροφοριακά Συστήματα που επεξεργάζονται Δεδομένα. Απαιτήσεις ασφαλείας θα πρέπει να εφαρμόζονται και στα εφεδρικά αντίγραφα.
52. Anti-virus λογισμικό και τα συστήματα ανίχνευσης εισβολέα θα πρέπει να εγκατασταθούν στα Πληροφοριακά Συστήματα για την προστασία έναντι επιθέσεων ή άλλων μη εξουσιοδοτημένων πράξεων σε σχέση με τα Πληροφοριακά Συστήματα. Το Antivirus λογισμικό και τα συστήματα ανίχνευσης εισβολέα θα πρέπει να ενημερώνονται τακτικά ακολουθώντας τις τελευταίες τεχνολογικές εξελίξεις και σύμφωνα με τις καλύτερες πρακτικές του χώρου για τα υπόψη Πληροφοριακά Συστήματα (και τουλάχιστον κάθε έξι (6) μήνες).
53. Φυσική πρόσβαση στις εγκαταστάσεις που είναι αποθηκευμένο το αρχείο της Εταιρίας πρέπει να έχει μόνο εξουσιοδοτημένο προσωπικό και θα πρέπει να τηρείται αρχείο του προσωπικού που έχει πρόσβαση σε αυτές τις εγκαταστάσεις, συμπεριλαμβανομένου του ονόματος, της ημερομηνίας και της ώρας πρόσβασης.
Αρχείο Συμβάντων
54. Θα πρέπει να υπάρχει μία διαδικασία αναφοράς, ανταπόκρισης και διαχείρισης των περιστατικών ασφαλείας, όπως παραβιάσεις της ασφάλειας των δεδομένων ή προσπάθειες για μη εξουσιοδοτημένη πρόσβαση.
Έλεγχος
55. Τακτικοί έλεγχοι για τη συμμόρφωση με τις ελάχιστες απαιτήσεις ασφάλειας, τουλάχιστον ανά διετία, θα πρέπει να διενεργούνται και να διατίθενται στη μορφή έκθεσης ελέγχου.
56. Η έκθεση ελέγχου θα πρέπει να παρέχει γνωμάτευση σχετικά με το βαθμό όπου τα μέτρα ασφάλειας και οι έλεγχοι που υιοθετήθηκαν συμμορφώνονται με τις ελάχιστες απαιτήσεις ασφάλειας, εντοπίζουν τυχόν ελλείψεις και προτείνουν, εφόσον κρίνεται απαραίτητο, διορθωτικά ή συμπληρωματικά μέτρα. Θα πρέπει επίσης να περιλαμβάνει τα δεδομένα, τα γεγονότα και τις παρατηρήσεις επί των οποίων στηρίζονται οι γνωματεύσεις και οι συστάσεις.
57. Η έκθεση ελέγχου αν ζητηθεί θα πρέπει να είναι διαθέσιμη στον Υπεύθυνο Ασφάλειας Πληροφοριών της Εταιρίας.
Ημερομηνία τελευταίας ενημέρωσης: Ιούνιος 2023