Anexo 2 do Contrato AV: Medidas técnicas e organizativas

A seguir, é descrita as principais medidas da Dlubal para cumprir os regulamentos de proteção de dados nos termos do artigo 32 do RGPD. No entanto, deve ser destacado que nem todas as medidas de segurança podem ser divulgados; pelo contrário, no interesse da proteção e segurança dos dados, é indispensável abrir mão de descrições confidencial e detalhada.

1 Confidencialidade (art. 32, par. 1, b RGPD)

1.1 Controlo de acesso físico

Medidas adequadas para barrar o acesso de pessoas não autorizadas a sistemas de processamento de dados onde são processados ou utilizados dados pessoais:

Os escritórios apenas têm acesso a uma entrada central. As zonas de acesso são monitorizadas por uma câmara e preenchidas pelos colaboradores da receção. No caso de não estar presente qualquer pessoal da receção, as portas de acesso encontram-se fechadas e protegidas por um sistema de alarme.
As salas dos servidores estão adicionalmente fechadas e apenas são acessíveis a pessoal autorizado.
Solução de problemas do produto Dlubal no qual estão armazenados dados pessoais, se necessário
Os sistemas de servidores importantes fora das instalações do escritório estão protegidos num centro de dados através de autorização individual multifator, vídeo videocomunicação ligada à polícia e contra atentados armados.

1.2 Controlo de acesso eletrónico

Medidas adequadas para prevenir a utilização de sistemas de processamento de dados por pessoas não autorizadas:

Os dados só estão disponíveis para os colaboradores da Dlubal, na medida do necessário, através de um sistema de CRM baseado em funções, com direitos configuráveis.
Os colaboradores têm direitos de acesso baseados na função.
Os computadores são protegidos através da autorização de um nome de utilizador e uma palavra-passe (Ative Diretório).
Secções com reforço de segurança (estrutura, comprimento, prazo de validade).
Os sistemas externos estão ligados através de túneis VPN. Apenas os endereços conhecidos têm acesso permitido através de uma lista de IPs permitidos. Toda a comunicação externa é encriptada.
Os sistemas computacionais são fornecidos centralmente com software antivírus.
As redes de dados estão protegidas por firewalls.
Apenas pessoas especificamente autorizadas têm acesso aos sistemas do servidor.

1.3 Controlo de acesso interno

Medidas que garantem que as pessoas autorizadas a utilizar um sistema de processamento de dados apenas possam aceder a dados dentro do seu privilégio de acesso e que os dados pessoais não podem ser lidos, copiados, alterados ou eliminados sem autorização durante o processamento, utilização e após o armazenamento :

Direitos: Todos os serviços utilizam o modelo de acesso "negar por defeito". Apenas pessoas e grupos autorizados têm acesso apropriado. A matriz de direitos de cada serviço individual é monitorizada e pode ser exportada para o painel de administração de cada * serviço. Todos os direitos são geridos por administrador de sistema. O número de administrador de sistema foi reduzido ao mínimo.
Ficheiros de registo: Os servidores de armazenamento de rede possuem registos de auditoria incluindo o histórico de versões dos ficheiros (CRUD). O servidor Diretório ativo regista todos os pedidos de autorização para os serviços na rede.
Sistema de controlo de versões: Todos os dados na rede estão protegidos através de instantâneos VSS e BTRFS. As bases de dados são protegidas através de instantâneos de hora a hora.

1.4 Controlo da separação

Medidas que garantem que os dados recolhidos para diferentes finalidades possam ser processados separadamente:

Armazenamento separado fisicamente em sistemas ou suportes de dados separados
Criação de um conceito de autorização
encriptação de conjuntos de dados que são processados para a mesma finalidade
Atribuição de atributos de finalidade/campos de dados a conjuntos de dados
Estabelecimento de direitos na base de dados
Separação lógica dos dados do cliente de acordo com a competência e a função

' ' RGPD; Art. 25 (1) do RGPD)

O processamento de dados pessoais de tal forma que os dados não podem ser atribuídos a uma pessoa em causa específica sem a consulta de informações adicionais, desde que essas informações adicionais sejam armazenadas separadamente e estejam sujeitas a medidas técnicas e organizativas adequadas:

Se possível para o respetivo processamento de dados, as características de identificação primária dos dados pessoais são removidas da respetiva aplicação de dados e armazenadas separadamente.

2 Integridade (Art. 32, Para.1 let b RGPD)

2.1 Controlo de entrada

Medidas que garantem a possibilidade de verificar e determinar posteriormente se os dados pessoais foram introduzidos, alterados ou eliminados nos sistemas de processamento de dados e por quem:

Registo da entrada, alteração e eliminação de dados

Rastreabilidade da entrada, alteração e eliminação de dados através de nomes de utilizadores individuais

Atribuição de direitos para introduzir, alterar e eliminar dados com base num conceito de autorização

Gestão de documentos

2.2 Controlo da transferência de dados

Medidas que garantem que os dados pessoais não podem ser copiados, alterados ou eliminados sem autorização durante a transmissão eletrónica ou durante o transporte ou armazenamento em suportes de dados:

O servidor de e-mail utiliza o Sender Analysis Framework (SPF) para evitar a utilização não autorizada dos nossos domínios. Desta forma, o destinatário do e-mail pode verificar se o e-mail é originário de um servidor autorizado.

Os e-mails são assinados com assinaturas DKIM para garantir a sua integridade.

Os e-mails sensíveis podem adicionalmente ser encriptados através de uma encriptação de ponto a ponto.

Os serviços HTML e VPN funcionam com encriptação SSL/TLS.

3 Disponibilidade e resiliência (Art. 32 (1) let. b RGPD)

3.1 Controlo da disponibilidade

Medidas que garantem a proteção de dados pessoais contra destruição ou perda acidental:

Conceito de cópia de segurança e recuperação

Fontes de energia ininterruptas (UPS)

Espessura de disco rígido

Utilização de sistemas Raid

Sistemas de dados BTRFS e ReFS para deteção e correção de erros e para evitar perdas ocultas de dados

Clusters de alta disponibilidade e reflexão de dados e serviços em várias localizações

Cópia de segurança das ligações à Internet e dos direccionadores para evitar tempos de paragem prolongados

Memória ECC em todos os servidores para detetar erros de memória, alterações e perdas de dados

Microsoft System Data Protection Manager instalado em todos os servidores

Faça uma cópia de segurança através de um armazenamento DPM, pelo menos, uma vez por dia

Cópia de segurança do Windows + iSCSI LUNs

Os serviços importantes são monitorizados por ferramentas de rede e comunicam falhas de serviços, tempos de inércia, ataques DoS e DDoS.

Sala de servidor segura

Placas de tomadas de proteção na sala do servidor

Inspeção regular do equipamento elétrico por uma empresa especializada

Detetores de incêndio e fumo, equipamento de extinção

Planos de emergência e gestão de crises

Guarda-fogo com proteção contra incêndio e deteção de intrusões, proteção e prevenção (AV/IDS/IDP, Zyparede Security Gateway)

O ESetMail Security for Troca para proteger o servidor de e-mail contra spam, Vírus, Ransão, esquemas esquematizados etc.

ESet Security Antivírus em todos os computadores como proteção do utilizador dos pontos de extremidade com a Consola de administração remota da ESet

Antivírus de código aberto para a proteção de servidores de rede e armazenamento

Atualizações periódicas do sistema geridas através do WSUS

Diretiva de grupo do Diretório ativo para todos os computadores

3.2 Recuperável

Medidas que permitem a disponibilização de dados pessoais e o rápido restabelecimento do acesso aos mesmos após um incidente físico ou técnico: Todos os dados estão protegidos contra perdas através de cópias de segurança periódicas. Diferentes ferramentas permitem que estes dados sejam recuperados com o mínimo de esforço no caso de incidentes físicos ou técnicos. As medidas específicas são:

Conceito de cópia de segurança e recuperação

Faça uma cópia de segurança através de um armazenamento DPM, pelo menos, uma vez por dia

Cópia de segurança do Windows + iSCSI LUNs

4 Procedimentos para revisão e avaliação periódicas (Art. 32.º, N.º 1, leb. d RGPD; Art. 25 (1) do RGPD)

4.1 Gestão da privacidade

Formação de colaboradores sobre proteção de dados

Obrigação dos colaboradores relativamente ao tratamento confidencial de dados pessoais

Nomeação de um responsável pela proteção de dados

Diretiva dos colaboradores para o tratamento de dados pessoais

Manter registo do processamento de atividades iSd Art 30 (1) e (2) RGPD

Implementação de um sistema de gestão para a proteção de dados

4.2 Controlo de aplicações

Medidas, que garantem que os dados pessoais processados no pedido só possam ser processados de acordo com as instruções do cliente, na aceção do artigo 28.º do RGPD:

Dimensionamento claro do contrato

Gestão de encomendas formais

Seleção criteriosa do empreiteiro

Instruções por escrito para o empreiteiro através do contrato de processamento de dados

Dever do empreiteiro para a confidencialidade

Superfície contínua do empreiteiro e das suas atividades

Generalidades

Mia: Assistente de IA

Funções mais recentes

Tem alguma pergunta?

Malha de EF independente

3D-Darstellung der FSM-Ergebnisse

Objetos visuais

Verificações ao punçoamento para todas as formas de secção

Secções de fase no módulo Análise das fases de construção (CSA)