Adatbiztonsági szabályzat
1. Bevezetés
Ez a dokumentum ismerteti a Recent Car Kft. (a továbbiakban: "Társaság") valamennyi alkalmazottjának intézkedését, amelyet a Társaság számítógépes rendszereinek, eszközeinek, infrastruktúrájának, számítástechnikai környezetének és minden más (együttesen "IT-rendszerek") eszközök védelmére dolgoztak ki.
2. Alapelvek
1. Minden informatikai rendszert védeni kell az illetéktelen hozzáféréstől és sérüléstől.
2. Minden informatikai rendszert csak a vonatkozó társasági irányelvekkel
összhangban lehet alkalmazni.
3. A Társaság minden alkalmazottja és az informatikai rendszerek használatára
feljogosított valamennyi harmadik fél, ideértve az alvállalkozókat (együttesen
"Felhasználók") kötelesek elolvasni és betartani ezt a szabályzatot.
4. Az informatikai rendszereken tárolt valamennyi adatot biztonságosan kell kezelni az
EU 2016/679 általános rendeletének ("GDPR"), valamint az adatvédelmet
szabályozó minden más jogszabálynak megfelelően.
5. Az IT-rendszereken tárolt összes adatot megfelelő kategóriába kell sorolni (pl.:
személyes adatok, a különleges adatok és érzékeny adatok) a GDPR információs
és feldolgozási dokumentumra való hivatkozással. Az így kategorizált összes
adatot az osztályozásnak megfelelően kell kezelni.
6. Az informatikai rendszereken tárolt adatok csak azoknak a felhasználóknak áll
rendelkezésre, akik jogosultak a hozzáféréshez.
7. A weboldalt Tusnádi István fejlesztette, karbantartja, javíttatja, javíttatta és olyan harmadik felek, akiket az informatikai megbízott időről időre felhatalmazhat.
8. Az IT-rendszerek biztonsága és integritása, valamint az ezeken tárolt adatok
(beleértve, az adatok biztonságát, sértetlenségét és titkosságát) az informatikai
megbízott felelőssége, kivéve, ha a társaság kifejezetten másként nem rendelkezik.
9. Az IT-rendszerek vagy az azokon tárolt összes adatbiztonság sérülését vagy az
azokkal kapcsolatos aggályt az Informatikai felelősnek jelenteni kell, majd ezt
követően ki kell vizsgálni.
3. Az informatikai megbízott feladata:
Brózik Péter tulajdonos vagy felhatalmazottja felelős a következőkért:
3,.1 biztosítja, hogy az összes informatikai rendszer megfeleljen a társaság biztonsági követelményeinek;
3.2. biztosítja a társaságon belüli informatikai biztonsági szabványok hatékony
végrehajtását és rendszeres felülvizsgálatát;
3.3. biztosítja, hogy minden felhasználó tisztában legyen a jelen irányelvvel, minden
kapcsolódó jogszabállyal, rendelettel és egyéb vonatkozó szabályok
követelményeivel, ideértve többek között a GDPR-t és a számítógépes
visszaélésről szóló 1990. évi törvényt;
3.4. segítséget nyújt minden felhasználónak e szabályzat megértésében és
betartásában;
3.5. minden felhasználó számára megfelelő támogatást és képzést biztosít az
informatikai biztonsági kérdésekben és az informatikai rendszerek használatában;
3.6. biztosítja, hogy minden felhasználó hozzáférhessen az IT-rendszerhez, figyelembe véve munkájukat, felelősségüket és a különleges biztonsági követelményeket;
3.7. proaktív fellépést biztosít az informatikai biztonsági eljárások létrehozása és
végrehajtása, valamint a felhasználók tudatosságának növelése érdekében;
3.8. biztosítja, hogy az informatikai rendszereken belül tárolt összes személyes adatról rendszeres biztonsági másolat készül lehetőség és vagy szükség esetén napi
rendszerességgel. Minden mentést titkosítani kell.
4. A felhasználók felelőssége:
4.1. Minden felhasználónak az Európai Unió törvényei szerint kell az informatikai
rendszereket használni. Az IT-rendszert semmilyen olyan célra vagy tevékenységre
nem szabad felhasználnia, amely ellentétes lehet az Unió jogával.
4.2. A felhasználóknak azonnal tájékoztatniuk kell az informatikai felelőst az
informatikai rendszerekhez kapcsolódó összes biztonsági aggályról.
4.3. A felhasználóknak azonnal értesíteniük kell az informatikai felelőst bármely más
technikai probléma esetén (beleértve, a hardver és a szoftver hibákat), amelyek az
informatikai rendszereken előfordulhatnak.
4.4. A jelen Felhasználási Szabályzat bármely szándékos vagy gondatlan megsértését a Társaság fegyelmi eljárásai szerint kell kezelni.
5. Szoftver biztonsági intézkedések
5.1. Minden informatikai rendszeren (beleértve, az operációs rendszereket, az egyedi
szoftveralkalmazásokat) használó szoftvereket naprakészen tartják, és minden
releváns szoftverfrissítést, javítást és egyéb köztes kiadványt az informatikai felelős
kizárólagos döntése alapján alkalmaznak. Ez a rendelkezés nem terjed ki a
szoftverek új "főbb kiadásokra" történő frissítésére, csak egy adott fő kiadáson
belüli frissítésekre. Hacsak egy szoftverfrissítés nem áll rendelkezésre
díjmentesen, az új szoftver beszerzésének hatálya alá eső és e rendelkezés
hatályán kívül eső fontos kiadásnak minősül.
5.2. Ha bármilyen szoftverhiba azonosításra kerül, a hibát azonnal rögzítik, vagy a
szoftver az IT-rendszerekből visszavonják addig, amíg a biztonsági hibát
hatékonyan orvosolni nem tudták.
5.3. A felhasználók semmilyen szoftvert nem telepíthetnek, sem fizikai adathordozón
sem pedig letöltéssel az IT megbízott jóváhagyása nélkül. Minden, a
Felhasználóhoz tartozó szoftvert az IT megbízottnak jóvá kell hagynia, és csak
akkor telepíthető, ha az adott telepítés nem jelent biztonsági kockázatot az IT
rendszerek számára, és ha a telepítés nem sért olyan licencszerződést, amely a
szoftverre vonatkozik.
5.4. Az IT rendszerekre telepítendő szoftvereket csak az informatikai megbízott
telepítheti, kivéve, ha az egyes felhasználók számára írásbeli engedélyt ad az IT
megbízott. Az ilyen írásbeli engedélynek világosan meg kell adnia, hogy melyik
szoftver telepíthető, és mely számítógépen vagy eszközön telepíthető.
6. Vírusvédelmi biztonsági intézkedések
6.1. A legtöbb IT-rendszert (beleértve az összes számítógépet és szervert) megfelelő
vírusvédelem, tűzfal és egyéb megfelelő internetes biztonsági szoftver védi. Minden
ilyen szoftver a legújabb naprakész szoftverfrissítésekkel biztosított.
6.2. Minden antivírus szoftver által védett IT rendszer legalább havonta teljes
rendszervizsgálatot igényel.
6.3. A fájlok átvitele során a felhasználók által használt minden fizikai adathordozót
(például USB-memóriakártyát vagy lemezeket) vírusvizsgálatnak kell alávetni,
mielőtt bármilyen fájl átmenthető. Az ilyen víruskereséseket automatikusan a média
csatlakoztatásával / beillesztésével, vagy a felhasználó vagy az informatikai
megbízott útján kell végrehajtani.
6.4. A felhasználók csak az IT megbízott jóváhagyásával tölthetnek fel fájlokat a felhő
tároló rendszerbe.
6.5. A Társaság, harmadik fél felé - akár e-mailben, fizikai adathordozón vagy más
eszközökkel (például megosztott felhő tárolás) - küldött fájlokon vírus szkennelést
kell végezni a küldés előtt vagy a küldő folyamat részeként.
6.6. A Felhasználó bármely vírus észlelést haladéktalanul jelentsen az informatikai
megbízottnak (ez a szabály akkor is érvényes, ha a víruskereső szoftver
automatikusan megoldja a problémát). Az informatikai megbízott haladéktalanul
megtesz minden szükséges intézkedést a probléma orvoslására. Korlátozott
körülmények között ez magába foglalhatja az érintett számítógép vagy eszköz
ideiglenes eltávolítását. Ahol lehetséges, 2 héten belül megfelelő csere
számítógépet vagy eszközt biztosítanak a felhasználó részére.
6.7. Ha bármelyik felhasználó szándékosan használ esetleges rosszindulatú szoftvert
vagy vírust az informatikai rendszerbe, ez az 1990-es Számítógép-visszaéléstörvény
alapján bűncselekménynek minősül, és a Társaság fegyelmi eljárásának
megfelelően kezelhető.
7. Hardver biztonsági intézkedések
7.1. Ahol csak lehetséges, az informatikai rendszerek olyan helyiségben helyezkednek el, amelyek biztonságosan lezárhatók. A társaság minimalizálja az illetéktelen hozzáférések lehetőségét.
7.2. Minden olyan informatikai rendszert, amelyet a felhasználók nem használnak (pl.: a szervereket és hálózati eszközöket) - ahol lehetséges és praktikus - biztonságos, helyiségekben és / vagy zárt szekrényekben kell elhelyezni, ahol csak az informatikai megbízott férhet hozzá.
7.3. Az IT megbízott kifejezett engedélye nélkül, a felhasználóknak semmi esetben nem lehet hozzáférése olyan IT-rendszerekhez, amelyeket nem a Felhasználók
használatára szántak. Normál körülmények között, amikor az ilyen informatikai
rendszerekkel kapcsolatos problémákat a Felhasználó azonosítja, ezt a problémát
jelenteni kell az informatikai megbízottnak. A Felhasználó semmilyen körülmények
között ne próbálhatja meg orvosolni az ilyen problémát az IT megbízott kifejezett
engedélye, utasítás és / vagy felügyelete nélkül.
7.4. Minden mobil eszközt (pl.: laptopok, tábalgépek és okostelefonok) mindig
biztonságosan kell szállítani és gondosan kell kezelni. A felhasználóknak minden
ésszerű erőfeszítést meg kell tenniük annak elkerülése érdekében, hogy az ilyen
mobil eszközöket ne hagyják felügyelet nélkül sehol sem, kivéve saját otthonukban
vagy a vállalat telephelyén. Ha a mobil eszközt járműben kell hagyni, mindenképpen
nem látható helyre kell rejteni.
8. Hozzáférés
8.1.Az összes informatikai rendszerhez való hozzáférési jogokat a Társaságon belüli
felhasználói jogosultsági szintek és munkaköri feladataik alapján kell meghatározni.
Az alkalmazottak nem kaphatnak hozzáférést semmilyen informatikai rendszerhez
vagy olyan elektronikus adathoz, amely nem kapcsolódik a munkaköri feladatok
teljesítéséhez.
8.2. Minden informatikai rendszert (ideértve a mobil eszközöket, laptopokat,
táblagépeket és okostelefonokat) jelszóval, pinkóddal vagy a biztonságos
bejelentkezési rendszer más formájával kell védeni. A biometrikus bejelentkezés
nem minden formája tekinthető biztonságosnak. Csak az informatikai szakember
által jóváhagyott módszereket lehet alkalmazni.
8.3. Minden jelszó, ahol a szoftver, a számítógép vagy az eszköz lehetővé teszi:
a) legalább 15 karakter hosszú legyen;
b) tartalmazzon kis- és nagybetűket, számokat és szimbólumokat;
c) véletlenszerűen legyen generálva egy jelszó szoftver segítségével, például
Keepass;
d) különbözzön az előző jelszótól;
e) ne legyen nyilvánvaló vagy könnyen kitalálható (például születésnapok vagy más
emlékezetes dátumok, emlékezetes nevek, események vagy helyek stb.); és
f) minden felhasználónak külön felhasználó kódja legyen
8.4. A jelszót minden felhasználónak titokban kell tartania. A felhasználó semmilyen
körülmények között ne ossza meg jelszavát senkivel. Senki nem kérheti el a
felhasználó jelszavát, és minden ilyen nemű kérést el kell utasítani. Ha a
felhasználónak oka van feltételezni, hogy egy másik személy megszerezte a
jelszavát, haladéktalanul módosítania kell a jelszót és jelentenie kell az incidenst az
informatikai megbízottnak.
8.5. Ha a felhasználó elfelejti jelszavát, ezt jelentenie kell az informatikai megbízottnak.
Az informatikai megbízott megteszi a szükséges lépéseket annak érdekében, hogy
visszaállítsa a felhasználó hozzáférését az informatikai rendszerhez ez magában
foglalhatja az ideiglenes jelszó kiadását, amely teljes mértékben vagy részben
megismerhető a probléma megoldására illetékes informatikai személyzet tagjával.
A felhasználónak azonnal új jelszót kell létrehoznia az IT-rendszerekhez való
hozzáférés visszaállítása után.
8.6. Ha a felhasználó meg tudja jegyezni a jelszót, akkor ne írja azt le sehova. Ha a
felhasználó nem tudja memorizálni a jelszót akkor, azt biztonságosan kell tárolni
valahol (pl. zárolt fiókban vagy biztonságos jelszó-adatbázisban), és semmilyen
körülmények között sem szabad a jelszót mások részére megjeleníteni.
8.7. Minden kijelzővel és felhasználói beviteli eszközzel (pl. egér, billentyűzet,
érintőképernyő stb.) rendelkező IT-rendszert védeni kell, ahol lehetséges, egy
jelszóval védett képernyővédővel, amely 10 perc inaktivitás után aktiválódik. Ez az
időzóna nem módosítható a felhasználók által, és a felhasználók nem tilthatják le a
képernyővédőt. A képernyővédő aktiválása nem szakítja vagy zavarja meg a
számítógépen végrehajtott egyéb tevékenységeket (pl. Adatfeldolgozás).
8.8. A Társaság által biztosított összes mobileszköz (pl.: laptopok, táblagépek és
okostelefonok) 10 perc inaktivitás után “sleep” módra van állítva, ez után jelszó
vagy pikkód bevitelt igényel a feloldáshoz. A felhasználók nem módosíthatják ezt a
beállítást.
8.9. A felhasználók nem használhatnak semmilyen olyan szoftvert, amely külső
személy számára lehetővé teheti az informatikai rendszerek elérését az IT felelős
kifejezett hozzájárulása nélkül.
8.10. A felhasználók csatlakoztathatják saját eszközeiket (pl.: laptop, táblagép és okostelefon) a vállalati hálózathoz az IT megbízott jóváhagyásától függően. Mindenkor be kell tartani minden olyan utasítást és követelményt, amelyet az IT megbízott biztosít a Felhasználók saját eszközeinek használatához a Társasági hálózathoz való csatlakozáskor. A felhasználók saját eszközeinek használatára az összes releváns vállalati irányelv szabályzata vonatkozik mialatt ezek az eszközök a Társaság hálózatához vagy az informatikai rendszerek bármely más részéhez kapcsolódnak. Az informatikai megbízott fenntartja magának a jogot arra, hogy bármely ilyen eszköz azonnali lekapcsolását kérje.
9. Adattárolási biztonság
9.1. Minden adatot, különösen a személyes adatokat biztonságosan kell tárolni
jelszavak és adat titkosítás útján.
9.2. A fizikai adathordozón, elektronikusan elmentett összes személyes adatot biztonságosan kell tárolni zárt dobozban, fiókban, szekrényben vagy más hasonló helyen.
10. Adatvédelem
10.1. A Társaság által összegyűjtött, tárolt és feldolgozott összes személyes adatot (a GDPR-ben meghatározottak szerint) a GDPR elveivel, a GDPR rendelkezéseivel
és a Társaság adatvédelmi politikájával összhangban gyűjtik, tárolják és dolgozzák
fel.
10.2. Minden olyan felhasználó és adatkezelő aki a Társaság részére és nevében adatokat kezel, mindenkor meg kell felelnie a Társaság adatvédelmi szabályainak.
Különös figyelemmel a következőkre:
a) A személyes adatokat tartalmazó e-maileket lehetőség szerint titkosítani kell.
b) A személyes adatok csak biztonságos hálózatokon keresztül továbbíthatók;
semmilyen körülmények között nem engedélyezett a nem biztonságos hálózatokon
történő átvitel;
c) Vezeték nélküli hálózaton keresztül nem továbbítunk személyes adatokat, ha van
észszerűen megvalósítható vezetékes alternatíva;
d) Minden fizikailag szállítandó személyes adatot biztonságosan és gondosan kell
szállítani.
e) Ha bizalmas vagy személyes adatokat jelenítenek meg a számítógép képernyőjén, és a kérdéses számítógépet bármely időtartamra felügyelet nélkül kell hagyni, a felhasználónak le kell zárnia a számítógép képernyőt, mielőtt elhagyná azt.
10.3. Az adatvédelemre vonatkozó kérdéseket Brózik Péter tulajdonosnak kell címezni.
11. Internet és e-mail használat
11.1.Minden felhasználó köteles a Társaság kommunikációs, e-mail és internetes
szabályzatának rendelkezéseit betartani, amikor az informatikai rendszereket
használja.
12. IT incidensek kezelése
12.1. Minden aggályt és esetleges szabálysértést vagy incidenst azonnal jelenteni kell
az informatikai megbízottnak.
12.2. Kérdés vagy értesítés kézhezvétele után az informatikai megbízott 2 napon belül
értékeli a kérdést, beleértve, de nem kizárólagosan az ezzel járó kockázati szintet,
és minden olyan lépést megtesz, amelyet az informatikai részleg szükségesnek tart
hogy válaszoljon a kérdésre.
12.3. A felhasználó semmilyen körülmények között sem próbálhatja meg megoldani az informatikai incidenseket anélkül, hogy először konzultálna az informatikai
megbízottal. A felhasználók csak az informatikai részleg utasításával és kifejezett
engedélyével oldhatják meg az informatikai incidenseket.
12.4. Minden informatikai incidenst teljes mértékben dokumentálni kell.
13. Az IT Adatbiztonsági szabályzat ellenőrzése
A társaságnál kezelt informatikai adatok ellenőrzését a tulajdonos és az esetlegesen általa megbízott informatikus évente egyszer ellenőrzi.
Utolsó frissítés időpontja: 2018. december 17.
Következő ellenőrzés időpontja: 2019. december 17.
14. Záró rendelkezések
E szabályzat tartalmát meg kell ismertetni a Társaság valamennyi munkavállalójával és a munkavégzésre irányuló szerződésekben elő kell írni, hogy betartása és érvényesítése minden munkavállaó munkaköri kötelessége.
A társaság adatai:
Recent Car Autókölcsönző ker. és szolg. Kft.
H-2045 Törökbálint
Villányi út 1.
Asz:12767818-2-13
Az Adatbiztonsági Szabályzatot jóváhagyta:
Brózik Péter
Cégvezető, Tulajdonos