Πολιτική Ασφάλειας

Δίνουμε μεγάλη σημασία στην ασφάλεια των πληροφοριών.

Η εταιρεία είναι πιστοποιημένη σύμφωνα με το πρότυπο ISO 27001 και απότερος σκοπός της εφαρμογής του προτύπου είναι η προστασία των πληρφοροριών στο επίπεδο της εμπιστευτηκότητας, ακεραιότητας και της διαθεσιμότητας ώστε να υπάρχει επιχειρησιακή συνέχεια. Η διοίκηση της εταιρίας δεσμεύεται στο να κάνει ότι είναι δυνατόν για την διασφάλιση των παραπάνω καθώς επίσης δεσμεύεται για τη συνεχή βελτίωση του συστήματος. Οι επιμέρους στόχοι είναι να ανά έτος να μην έχουμε παραπάνω από 2 συμβάντα που αφορούν την ασφάλεια της πληφορίας. Τα συμβάντα μπορεί να αναδειχθούν μέσα από την εσωτερική επιθεώρηση ή από οποιαδήποτε άλλη καταγραφή μέσα στο χρόνο. Πριν από κάθε ανασκόπηση της διοίκησης θα μετρούμε αυτό το δείκτη.

Ασφάλεια Πληροφοριών

Πολιτικές

Προμηθευτών & Υπεργολάβων

Όσον αφορά τις σχέσεις με τους προμηθευτές και υπερβολάβους οι προδιαγραφές θα διαφέρουν αναλόγως του προϊόντος ή της υπηρεσίας που θα παρέχεται. Γενικά όμως ισχύουν τα παρακάτω:

  • Οι απαιτήσεις που αφορούν την ασφάλεια πληροφοριών θα πρέπει να έχουν καταγραφεί υπό μορφή συμφωνητικού το οποίο μπορεί να είναι παράρτημα ενός εμπορικού συμφωνητικού.
  • Κατά την επιλογή και την έγκριση νέων προμηθευτών πρέπει να ασκείται η δέουσα επιμέλεια πριν από τη σύναψη συμβάσεων.
  • Η απομακρυσμένη πρόσβαση από προμηθευτές πρέπει να γίνεται μέσω εγκεκριμένων μεθόδων που συμμορφώνονται με τις πολιτικές ασφάλειας πληροφοριών.
  • Η πρόσβαση στις πληροφορίες του οργανισμού μας πρέπει να είναι περιορισμένη, όπου είναι δυνατόν, σύμφωνα με τις σαφείς επιχειρηματικές ανάγκες.
  • Η εταιρεία θα έχει το δικαίωμα να ελέγχει τις πρακτικές ασφάλειας πληροφοριών του προμηθευτή και, κατά περίπτωση, των υπεργολάβων.
  • Πλάνα για διαχείριση συμβάντων και περιστατικών έκτακτης ανάγκης πρέπει να σχεδιαστούν βάσει των αποτελεσμάτων μιας εκτίμησης κινδύνου.
  • Η επιλογή των απαιτούμενων ελέγχων προς τον προμηθευτή θα πρέπει να βασίζεται σε μια ολοκληρωμένη εκτίμηση κινδύνου λαμβάνοντας υπόψη τις απαιτήσεις ασφάλειας πληροφοριών, το προϊόν ή την υπηρεσία που θα πρέπει να παρέχεται. Είναι πολύ σημαντικό να καθοριστούν σύμφωνα με τις δυνατότητες του προμηθευτή.

Κινητών Συσκευών

Κινητές συσκεύες όπως κινητά τηλέφωνα, laptop και tablets είναι χρήσιμα εργαλεία στην καθημερινή μας ζωή. Η χρήση τους όμως από άτομα που σαρώνουν ή καταχωρούν κατά την διάρκεια της εργασίας παρουσιάζουν υψηλό ρίσκο καθώς υπάρχει δυνατότητα να διαρρεύσουν πληροφορίες ευαίσθητου χαρακτήρα. Ειδικότερα τα κινητά τηλέφωνα των ατόμων που καταχωρούν και σαρώνουν δεν θα πρέπει να χρησιμοποιούνται κατά την διάρκεια της εργασίας και στη θέση εργασίας. Φορητοί υπολογιστές όταν συνδέονται με το δίκτυο της εταιρείας δεν θα πρέπει να έχουν πρόσβαση σε αρχεία πέραν των απαραίτητων για την χρήση που προορίζεται. Σε κινητές συσκευές δεν θα πρέπει να εγκαθίστόνται άλλο λογισμικά από αυτά που έχει ήδη χωρίς την έγκριση της διοίκησης. Άμα χαθεί κάποια συσκευή θα πρέπει να ενημώνεται άμεσα ο υπύθυνος ασφάλειας πληροφοριών.

Μεταφοράς Πληροφοριών & Δεδομένων

Η εταιρεία μεταφέρει δεδομένα πελατών της σε ψηφιαφκή και έντυπη μορφή. Η αξιοπιστία της εταιρείας εξαρτάται από την ασφαλή μεταφορά αυτών των δεδομένων. Κατα τη μεταφορά δεδομένων πρέπει να διασφαλίζεται σε κάθε περίπτωση η διαθεσιμότητα , η ακεραιότητα και η εμπιστευτηκότητα των δεδομένων. Το άτομο που παραλαμβάνει και παραδίδει τις πληροφορίες και τα δεδομένα είναι υπεύθυνο για τυχόν απώλεια των παραπάνω εφόσον δεν τηρηθούν όλα τα απαραίτητα μέτρα. Κατά κύριο λόγο τα δεδομένα μεταφορτώνονται στην πλατφόρμα Captoria και φυλλάσονται εκεί. Σε διαφορετική περίπτωση εφόσον θέλει ο πελάτης αυτά μεταφόρνται είτε με δικό του μέσο αποθήκευσης είτε της εταιρείας. Αν είναι της εταιρείας τότε τηρείται αρχείο πότε διεγράφηκαν τα δεδομένα. Εφόσον το ζητάει ο πελάτης τα δεδομένα μπορεί να κρυπτογραφηθούν.

Ελέγχου Πρόσβασης

Ο κάθε εργαζόμενος της εταιρείας θα έχει πρόσβαση σε δεδομένα τα οποία αφορούν αποκλειστικά την εργασία για την οποία είναι υπεύθυνος. Οι κωδικοί πρόσβασης που έχει ο χρήστης είναι προσωπικοί και δεν πρέπει να τους αποκαλύψει σε κανέναν. Όταν διακοπεί η συνεργασία με έναν υπάλληλο τότε αν είχε επαφή με πελάτες δεν διαγράφεται ο λογαριασμός του αλλά δεν έχει πρόσβαση σε αυτόν. Αν δεν έχει σχέση με πελάτες τότε διαγράφεται και το email του και ο λογαριασμός του. Στο λογισμικό του ISO δεν διαγράφονται οι χρήστες που έχουν εγκρίνει διαδικασίες και ακολουθούνται από την εταιρεία. Πολιτική κωδικών πρόσβασης: Οι κωδικοί πρόσβασης για το domain έχουν τα εξής χαρακτηριστικά:7 χαρακτήρες, Κλείδωμα λογαριασμού μετά από 5 ανεπιτυχείς προσπάθειες. Ανώτατη ηλικία password: 180 ημέρες. Ελάχιστη ηλικία password: 0 ημέρες.Ιστορικό passwords: 24 τελευταία. Υπάρχουν 2 είδη χρηστών αναλόγως των δικαιωμάτων πρόσβασης : User, Administrator. Όταν ένας χρήστης αποχωρεί τότε αλλάζει ο κωδικός του και δεν είναι πια ενεργός . Μέσα από το οργανόγραμμα που υπάρχει στο σύστημα του ISO τηρείται αρχείο για τους χρήστες του active directory. Κάθε 6 μήνες ή αν υπάρξει κάποια αλλαγή ανασκοπούνται τα δικαιώματα των χρηστών. Οι χρήστες που γίνονται πια "Not Active" δεν παρακολουθούνται.

Υγείας & Ασφάλειας Εργαζομένων

Η διοίκηση της εταιρείας δεσμεύεται: α) στην τήρηση όλων των κανονιστικών απαιτήσεων της ισχύουσας νομοθεσίας που σχετίζεται με την υγεία και ασφάλεια στην εργασία. β) στην προσπάεια για διαρκή βελτίωση των συνθηκών υγείας και ασφάλειας των εργαζομένων , συνεργατών και επισκεπτών. γ) για την συνεχή διαβούλευση με τους εργαζομένους και την ενεργή συμμετοχή τους για την βελτίωση των συνθηκών. Στόχος είναι ο μηδενιμσός ατυχημάτων και η ελαχιστοποίηση των κινδύνων νόσησης από ασθένεια που σχετίζεται με το εργασιακό περιβάλλον.