PhotoRobot techninės ir organizacinės priemonės (TOM)
Šiame dokumente apibrėžiamos "PhotoRobot" techninės ir organizacinės priemonės (TOM) pagal BDAR 32 straipsnį: 1.0 versija – "PhotoRobot Edition", "uni-Robot Ltd.", Čekija. Dokumentas paskutinį kartą buvo atnaujintas 2025 m. gruodžio 31 d. ir padeda laikytis "PhotoRobot" sutartinių įsipareigojimų pagal DAA ir SLA.
1. Įvadas - PhotoRobot TOMs
Šiame dokumente aprašomos techninės ir organizacinės priemonės (TOM), kurias įgyvendina "uni-Robot Ltd." ("PhotoRobot"), kad užtikrintų tinkamą asmens duomenų tvarkymo saugumo lygį pagal Bendrojo duomenų apsaugos reglamento (BDAR) 32 straipsnį.
Šios priemonės taikomos "PhotoRobot" paslaugoms, įskaitant, bet neapsiribojant:
- PhotoRobot Valdikliai Debesis
- PhotoRobot Debesis 2,0
- "PhotoRobot Controls Local" (prisijungus prie debesijos paslaugų)
- API ir susijusios internetinės paslaugos
- Pagalbinė infrastruktūra ir vidaus sistemos
Šis dokumentas yra autoritetingas "PhotoRobot" TOM aprašymas ir gali būti nurodytas duomenų apdorojimo sutartyse (DPA), audituose ir įmonių saugumo apžvalgose.
2. Taikymo sritis ir taikymas
Čia aprašyti TOM taikomi:
- Asmens duomenys, tvarkomi klientų vardu teikiant "PhotoRobot" paslaugas
- Vidiniai veiklos duomenys, reikalingi paslaugoms teikti, prižiūrėti ir apsaugoti
Priemonės rengiamos atsižvelgiant į:
- Naujausi metodai
- įgyvendinimo išlaidos
- duomenų tvarkymo pobūdis, apimtis, kontekstas ir tikslai
- rizika fizinių asmenų teisėms ir laisvėms;
3. Organizacinės saugumo priemonės
3.1. Informacijos saugumo valdymas
"PhotoRobot" palaiko vidinę politiką ir procedūras, reglamentuojančias informacijos saugumą, duomenų apsaugą ir priimtiną sistemų naudojimą.
Atsakomybė už saugumą ir duomenų apsaugą yra aiškiai apibrėžta organizacijoje, įskaitant paskirtus kontaktus privatumo ir teisiniais klausimais.
3.2. Darbuotojų konfidencialumas ir sąmoningumas
- Darbuotojai ir rangovai privalo laikytis konfidencialumo įsipareigojimų
- Prieiga prie sistemų suteikiama pagal principą "būtina žinoti"
- Saugumo ir duomenų apsaugos sąmoningumas skatinamas kaip prisijungimo ir vykdomų operacijų dalis
4. Prieigos kontrolė ir leidimas
4.1. Vaidmenimis pagrįsta prieigos kontrolė (RBAC)
Prieiga prie sistemų ir klientų duomenų kontroliuojama naudojant vaidmenimis pagrįstos prieigos kontrolės (RBAC) principus.
- Vartotojams suteikiamos minimalios teisės, reikalingos užduotims atlikti
- Administravimo prieiga ribojama įgaliotiems darbuotojams
4.2. Autentifikavimas
- Vidinėms ir išorinėms sistemoms naudojami griežti autentifikavimo mechanizmai
- Slaptažodžių strategijos ir prieigos kredencialai valdomi saugiai
- Prieigos kredencialai negali būti bendrinami
5. Infrastruktūros ir tinklo saugumas
5.1. Priegloba ir debesijos infrastruktūra
"PhotoRobot" paslaugos talpinamos profesionaliuose debesijos infrastruktūros teikėjuose (pvz., "Google Cloud Platform"), kurie įgyvendina pramonės standartus atitinkančias fizinio ir aplinkos saugumo kontrolės priemones.
5.2. Tinklo apsauga
- Tinklo srautas apsaugomas naudojant ugniasienes ir prieigos valdiklius
- Visuomenei skirtos paslaugos yra izoliuotos nuo vidinių sistemų
- Infrastruktūros komponentai stebimi dėl prieinamumo ir saugumo įvykių
6. Šifravimas ir duomenų apsauga
6.1. Perduodami duomenys
- Duomenys, perduodami tarp klientų ir "PhotoRobot" paslaugų, yra užšifruojami naudojant TLS/HTTPS
- API ir debesies sąsajoms taikomi saugūs ryšio kanalai
6.2. Ramybės būsenos duomenys
- Debesijos infrastruktūroje saugomi duomenys yra apsaugoti naudojant prieglobos paslaugų teikėjo teikiamus šifravimo mechanizmus
- Prieiga prie saugomų duomenų suteikiama tik įgaliotoms sistemoms ir darbuotojams
7. Registravimas, stebėjimas ir incidentų aptikimas
7.1. Registravimas
- Sistemos žurnalai generuojami operaciniams ir su saugumu susijusiems įvykiams
- Žurnalai naudojami trikčių šalinimui, stebėjimui ir incidentų analizei
7.2. Stebėsena
- Stebimas paslaugų prieinamumas, našumas ir anomalijos
- Įspėjimai suaktyvinami neįprasto elgesio ar paslaugos sutrikimo atveju
8. Reagavimas į incidentus ir pažeidimų valdymas
"PhotoRobot" palaiko saugumo incidentų, įskaitant asmens duomenų pažeidimus, valdymo procedūras.
Šios procedūros apima:
- Incidentų nustatymas ir vertinimas
- Poveikio švelninimo ir izoliavimo priemonės
- vidinė eskalacija
- bendravimas su klientais, jei reikia
- BDAR įpareigojimų pranešti apie pažeidimus laikymasis (BDAR 33 ir 34 straipsniai);
9. Atsarginė kopija, prieinamumas ir verslo tęstinumas
9.1. Atsarginės kopijos
- Duomenų atsarginės kopijos atliekamos kaip standartinių debesies operacijų dalis
- Atsarginės kopijos naudojamos avariniam atkūrimui ir paslaugų tęstinumui
9.2. Prieinamumas
- Dedamos pagrįstos pastangos, kad būtų išlaikytas aukštas paslaugų prieinamumas
- Suplanuota techninė priežiūra gali sukelti laikinus paslaugų teikimo sutrikimus
Išsami informacija apie pasiekiamumo tikslus ir atsakymo laiką aprašyta atskirai taikomose paslaugų lygio sutartyse (SLA).
10. Saugus vystymasis ir pokyčių valdymas
10.1. Saugi kūrimo praktika
"PhotoRobot" vykdo struktūrizuotus kūrimo ir diegimo procesus, įskaitant:
- Kūrimo, testavimo ir gamybos aplinkų atskyrimas, kai tinkama
- Kontroliuojamo diegimo procedūros
- Versijų kontrolė ir pakeitimų sekimas
10.2. Atnaujinimai ir pataisymai
- Programinės įrangos komponentai atnaujinami siekiant pašalinti saugos spragas
- Kritiniams naujinimams teikiama pirmenybė pagal rizikos vertinimą
11. Pagalbiniai duomenų tvarkytojai ir trečiosios šalys
"PhotoRobot" gali pasitelkti pagalbinius duomenų tvarkytojus, kad palaikytų paslaugų teikimą (pvz., prieglobą, el. pašto paslaugas).
- Pagalbiniai duomenų tvarkytojai atrenkami atsižvelgiant į jų saugumo ir duomenų apsaugos praktiką
- Dabartinis pagalbinių duomenų tvarkytojų sąrašas tvarkomas atskirai ir skelbiamas viešai
12. Fizinis saugumas
Fizinę prieigą prie serverių ir duomenų centrų valdo debesijos infrastruktūros teikėjas ir apima:
- prieigos kontrolė
- Priežiūra ir stebėsena
- aplinkos apsauga
"PhotoRobot" nevaldo savo duomenų centrų.
13. Duomenų mažinimas ir saugojimas
- Tvarkomi tik paslaugos teikimui reikalingi duomenys
- Asmens duomenys saugomi tik tiek, kiek reikia sutartiniams, teisiniams ar veiklos tikslams
- Duomenų ištrynimo ir saugojimo laikotarpiai apibrėžti atitinkamose politikose ir sutartyse
14. Peržiūra ir atnaujinimai
Šios techninės ir organizacinės priemonės periodiškai peržiūrimos ir prireikus atnaujinamos, kad atspindėtų:
- technologijų pokyčiai
- Paslaugų pokyčiai
- kintantys saugumo ir reguliavimo reikalavimai
Apie esminius pakeitimus gali būti pranešta klientams.
15. Kontaktinė informacija
Jei turite klausimų dėl šių techninių ir organizacinių priemonių:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Čekijos Respublika
El. paštas: legal@photorobot.com
Baigiamoji pastaba
Šie TOM apibūdina dabartines "PhotoRobot" technines ir organizacines priemones ir yra skirti klientams užtikrinti skaidrumą ir patikinimą. Jie negarantuoja nepertraukiamo aptarnavimo ar absoliutaus saugumo, bet atspindi rizika pagrįstą ir proporcingą požiūrį į duomenų apsaugą ir informacijos saugumą.