PhotoRobot Tehnični in organizacijski ukrepi (TOMs)
Ta dokument opredeljuje tehnične in organizacijske ukrepe (TOM) podjetja PhotoRobot v skladu s členom 32 GDPR: različica 1.0 – PhotoRobot Edition, uni-Robot Ltd., Češka republika. Dokument je bil nazadnje posodobljen do 31. decembra 2025 in podpira skladnost s pogodbenimi obveznostmi PhotoRobot po DPA in SLA.
1. Uvod - PhotoRobot TOM-i
Ta dokument opisuje tehnične in organizacijske ukrepe (TOM), ki jih izvaja uni-Robot Ltd. (PhotoRobot) za zagotavljanje ustrezne ravni varnosti pri obdelavi osebnih podatkov v skladu s 32. členom Splošne uredbe o varstvu podatkov (GDPR).
Ti ukrepi veljajo za delovanje storitev PhotoRobot, vključno, a ne omejeno na:
- PhotoRobot nadzoruje oblak
- PhotoRobot Cloud 2.0
- PhotoRobot upravlja lokalno (ko je povezan s storitvami v oblaku)
- API-ji in sorodne spletne storitve
- Podporna infrastruktura in notranji sistemi
Ta dokument služi kot avtoritativni opis PhotoRobot-ovih TOM-ov in se lahko sklicuje v sporazumih o obdelavi podatkov (DPA), revizijah in varnostnih pregledih podjetij.
2. Obseg in uporabnost
TOM-i, opisani tukaj, veljajo za:
- Osebni podatki, obdelani v imenu strank kot del storitev PhotoRobot
- Notranji operativni podatki, potrebni za zagotavljanje, vzdrževanje in varovanje storitev
Ukrepi so zasnovani z upoštevanjem:
- Stanje umetnosti
- Stroški izvedbe
- narava, obseg, kontekst in namen obdelave
- tveganja za pravice in svoboščine fizičnih oseb
3. Organizacijski varnostni ukrepi
3.1. Upravljanje informacijske varnosti
PhotoRobot vzdržuje notranje politike in postopke, ki urejajo informacijsko varnost, varstvo podatkov in sprejemljivo uporabo sistemov.
Odgovornosti za varnost in varstvo podatkov so jasno opredeljene znotraj organizacije, vključno z določenimi kontakti za zasebnost in pravne zadeve.
3.2. Zaupnost in ozaveščanje zaposlenih
- Zaposleni in pogodbeniki so zavezani obveznostim zaupnosti
- Dostop do sistemov je dovoljen na podlagi potrebe po informaciji
- Ozaveščenost o varnosti in varstvu podatkov se spodbuja kot del uvajanja in tekočih operacij
4. Nadzor dostopa in avtorizacija
4.1. Nadzor dostopa na podlagi vlog (RBAC)
Dostop do sistemov in podatkov strank se nadzoruje z uporabo načel nadzora dostopa na osnovi vlog (RBAC).
- Uporabnikom so dodeljene minimalne privilegije, potrebne za opravljanje njihovih nalog
- Administrativni dostop je omejen na pooblaščeno osebje
4.2. Avtentikacija
- Močni mehanizmi avtentikacije se uporabljajo za notranje in zunanje sisteme
- Politike gesel in dostopne poverilnice so varno upravljane
- Dostopnih poverilnic ni dovoljeno deliti
5. Infrastruktura in omrežna varnost
5.1. Gostovanje in oblačna infrastruktura
Storitve PhotoRobot so gostovane pri profesionalnih ponudnikih oblačne infrastrukture (npr. Google Cloud Platform), ki izvajajo industrijske standarde za fizično in okoljsko varnostno kontrolo.
5.2. Zaščita omrežja
- Omrežni promet je zaščiten z požarnimi zidovi in nadzorom dostopa
- Javne storitve so izolirane od notranjih sistemov
- Infrastrukturne komponente se spremljajo glede razpoložljivosti in varnostnih dogodkov
6. Šifriranje in varstvo podatkov
6.1. Podatki v tranzitu
- Podatki, ki se prenašajo med odjemalci in storitvami PhotoRobot, so šifrirani z uporabo TLS/HTTPS
- Varni komunikacijski kanali so zagotovljeni za API-je in oblačne vmesnike
6.2. Podatki v mirovanju
- Podatki, shranjeni v oblačni infrastrukturi, so zaščiteni z uporabo šifrirnih mehanizmov, ki jih zagotavlja ponudnik gostovanja
- Dostop do shranjenih podatkov je omejen na pooblaščene sisteme in osebje
7. Beleženje, spremljanje in zaznavanje incidentov
7.1. Beleženje
- Sistemski dnevniki se generirajo za operativne in varnostno pomembne dogodke
- Dnevniki se uporabljajo za odpravljanje težav, spremljanje in analizo incidentov
7.2. Spremljanje
- Storitve se spremljajo glede razpoložljivosti, zmogljivosti in anomalij
- Opozorila se sprožijo v primeru nenavadnega vedenja ali motenj v storitvah
8. Odziv na incidente in upravljanje kršitev
PhotoRobot vzdržuje postopke za obravnavo varnostnih incidentov, vključno z vdori v osebne podatke.
Ti postopki vključujejo:
- Prepoznavanje in ocena incidentov
- Ukrepi za omilitev in zadrževanje
- Notranja eskalacija
- komunikacija s strankami, kjer je bilo potrebno
- skladnost z obveznostmi obveščanja o kršitvah po GDPR (33. in 34. člen GDPR)
9. Varnostna kopija, razpoložljivost in neprekinjenost poslovanja
9.1. Varnostne kopije
- Varnostne kopije podatkov se izvajajo kot del standardnih oblačnih operacij
- Rezervne kopije se uporabljajo za obnovo po nesrečah in za neprekinjeno storitev
9.2. Razpoložljivost
- Za ohranjanje visoke razpoložljivosti storitev se vlagajo razumni napori
- Načrtovana vzdrževalna dela lahko povzročijo začasne prekinitve v obratovanju
Podrobnosti glede ciljev razpoložljivosti in odzivnih časov so posebej opisane v ustreznih sporazumih o ravni storitev (SLA).
10. Varen razvoj in upravljanje sprememb
10.1. Varne razvojne prakse
PhotoRobot sledi strukturiranim procesom razvoja in uvajanja, vključno z:
- Ločevanje razvojnega, testnega in produkcijskega okolja, kjer je to primerno
- Nadzorovani postopki razporejanja
- Nadzor različic in sledenje spremembam
10.2. Posodobitve in popravki
- Programske komponente so posodobljene za odpravo varnostnih ranljivosti
- Kritične posodobitve so prednostno določene na podlagi ocene tveganja
11. Podprocesorji in tretje osebe
PhotoRobot lahko angažuje podprocesorje za podporo pri izvajanju storitev (npr. gostovanje, e-poštne storitve).
- Podprocesorji so izbrani glede na svoje varnostne in varstvene prakse
- Trenutni seznam podprocesorjev se vzdržuje ločeno in je javno dostopen
12. Fizična varnost
Fizični dostop do strežnikov in podatkovnih centrov upravlja ponudnik oblačne infrastrukture in vključuje:
- Nadzori dostopa
- nadzor in spremljanje
- Okoljska zaščita
PhotoRobot ne upravlja lastnih podatkovnih centrov.
13. Minimizacija in shranjevanje podatkov
- Obdelajo se le podatki, potrebni za zagotavljanje storitev
- Osebni podatki se hranijo le toliko časa, kolikor je to potrebno za pogodbene, pravne ali operativne namene
- Obdobja brisanja in hranjenja podatkov so določena v ustreznih politikah in sporazumih
14. Pregled in posodobitve
Ti tehnični in organizacijski ukrepi se periodično pregledujejo in po potrebi posodabljajo, da odražajo:
- Spremembe v tehnologiji
- Spremembe v storitvah
- Razvijajoče se varnostne in regulativne zahteve
Pomembne spremembe se lahko strankam sporočijo po primeru.
15. Kontaktni podatki
Za vprašanja glede teh tehničnih in organizacijskih ukrepov:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
Češka
E-pošta: legal@photorobot.com
Zadnja opomba
Ti TOM-i opisujejo trenutne tehnične in organizacijske ukrepe PhotoRobot ter so namenjeni zagotavljanju preglednosti in zagotovila strankam. Ne zagotavljajo neprekinjene storitve ali absolutne varnosti, temveč odražajo pristop k varstvu podatkov in informacijski varnosti, ki temelji na tveganju, in je sorazmeren.