Politica privind controlul accesului
Întocmită de operatorii asociați | TEKNO FM S.R.L.
SOLEIL PROFESIONAL SERVICE S.R.L |
|
Data întocmirii | 25.01.2022 | |
Aprobată de | administratori Adina SOARE, Ștefan SOARE | |
Semnături | ||
Frecvența revizuirii | Anuală |
Data următoarei revizuiri | 25.01.2023 |
TOC HYPERLINK \l „__RefHeading__811_1957158162″1.Operatorii de date 2
HYPERLINK \l „__RefHeading__813_1957158162″2.Ce este Politica privind controlul accesului 3
HYPERLINK \l „__RefHeading__815_1957158162″3.Definiții 3
HYPERLINK \l „__RefHeading__817_1957158162″3.Conferirea, crearea și revizuirea permisiunilor de acces 4
HYPERLINK \l „__RefHeading__819_1957158162″4.Retragerea/ înlăturarea permisiunilor de acces 4
HYPERLINK \l „__RefHeading__821_1957158162″5.Parolele 5
HYPERLINK \l „__RefHeading__823_1957158162″6.Controlul accesului fizic și virtual 5
HYPERLINK \l „__RefHeading__825_1957158162″7.Evidența accesului 6
HYPERLINK \l „__RefHeading__827_1957158162″8.Revizuire 6
HYPERLINK \l „_Toc93671152”
Operatorii de date
Prezenta politică aparține companiilor TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L., care vor acționa în calitate de operatori asociați de date, conform Acordului de prelucrare a datelor cu caracter personal încheiat între aceștia.
Operatorii de date | ||
Denumire | TEKNO FM S.R.L. | SOLEIL PROFESIONAL SERVICE S.R.L. |
Reprezentant | Stefan SOARE | Adina SOARE |
Sediu | Dumbrăvița (Com. Dumbrăvița), str. Petőfi Sándor, nr. 41, spațiul nr. 7,
Jud. Timiș |
Dumbrăvița (Com. Dumbrăvița), str. Petőfi Sándor, nr. 41, spațiul nr. 10, Jud. Timiș |
Cod fiscal | RO19188011 | RO40441936 |
Nr. ORC | J35/751/2007 | J35/263/2019 |
Ce este Politica privind controlul accesului
Politica privind controlul accesului (în continuare ”Politica privind controlul accesului”) este o politică implementată în cadrul TEKNO FM S.R.L. și SOLEIL PROFESIONAL SERVICE S.R.L. care reglementează procedurile de control al accesului la sistemele, aplicațiile, rețelele deținute sau folosite de operatorii de date, la documentele, informațiile confidențiale sau la datele cu caracter personal deținute sau folosite de operatori (în continuare ”Resursele operatorilor”), având ca și scop protejarea securității, integrității și confidențialității Resurselor operatorilor.
Politica privind controlul accesului se aplică salariaților operatorilor precum și altor persoane autorizate care au acces la Resursele operatorilor.
Nerespectarea Politicii privind controlul accesului reprezintă abatere disciplinară gravă și atrage răspunderea disciplinară, patrimonială sau de altă natură a utilizatorului vinovat.
Definiții
„Date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă. O persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale.
”Informații confidențiale” înseamnă toate informațiile, deținute și folosite de operatori, indiferent dacă acestea sunt în formă scrisă sau verbală, identificate sau nu cu mențiunea “confidențial”, referitoare, în principal, dar fără a ne limita la datele tehnice si comerciale, know-how, date și informații financiare (prețuri, discount-uri, etc.), resurse umane (dosare de personal, salarii, bonusuri, prime etc.), informații privind furnizorii, colaboratorii și clienții operatorilor, tehnici de promovare și vânzare a produselor și serviciilor pe piață, planuri anuale și de perspectivă privind dezvoltarea operatorilor, campaniile de marketing, studiile și statisticile privind piața concurențială, procedurile și instrucțiunile interne ale operatorilor, intenția de lansare a unui produs sau serviciu nou, codurile de acces în clădiri și la sisteme, politicile de prelucrare a datelor cu caracter personal, locația unor echipamente, bunuri sau documente importante, orice informații care, dacă ar fi divulgate sau transmise către terțe persoane neautorizate, ar aduce prejudicii operatorilor, ar pune în pericol interesele sau prestigiul acestuia sau se pot constitui într-un avantaj pentru societățile concurente.
”Controlul accesului” înseamnă procesul care limitează și controlează accesul la Resursele operatorilor;
”Utilizatori” înseamnă salariații, administratorii, asociații și alți utilizatori autorizați care accesează Resursele operatorilor;
”Cont de utilizator” înseamnă un cont creat în sistemele IT, asociat cu drepturi specifice de acces;
”Cont de administrator” înseamnă un cont de utilizator care conferă permisiuni avansate asupra unui sistem IT, necesare pentru administrarea sistemului; cu titlu exemplificativ, un cont de administrator poate crea noi conturi de utilizator, modifica drepturile de acces/ setările de securitate (cum ar fi setările parolelor), șterge conturile de utilizator etc.;
”Permisiuni de acces” înseamnă permisiuni de sistem asociate cu un cont de utilizator / cont de administrator pentru accesarea Resurselor operatorilor;
”Administratorul de sistem” înseamnă utilizatorul cu drept de acces al unui cont de administrator;
”Acord de confidențialitate” înseamnă un contract (acord) semnat între operatori și o persoană (fizică sau juridică) având ca și obiect asumarea de către aceasta din urmă a unei obligații de confidențialitate cu privire la Resursele operatorilor;
Conferirea, crearea și revizuirea permisiunilor de acces
Conferirea permisiunilor de acces. Necesitatea conferirii unui drept de acces va fi temeinic documentată de operatori. Drepturile de acces la Resursele operatorilor se vor stabili de managementul operatorilor în mod diferențiat, pe baza nevoii de a cunoaște, respectiv doar dacă acestea sunt necesare pentru îndeplinirea atribuțiilor și responsabilităților utilizatorilor în cauză. Atunci când accesul la anumite Resurse ale operatorilor nu este în mod obișnuit necesar pentru îndeplinirea atribuțiilor și responsabilităților unei persoane, se vor acorda drepturi de acces temporare (bazate pe o situație specifică). Drepturile conferite de un acces limitat sau temporar se vor delimita în fiecare caz în parte, odată cu acordarea unui asemenea acces. Este interzisă utilizarea oricărui software cu scopul de a crea acces la funcționalități care nu sunt destinate utilizatorului în cauză.
Crearea permisiunilor de acces. Accesul la Resursele operatorilor se va face pe baza unui cont de utilizator și a unei parole unice. Nu se va folosi un cont de administrator pentru utilizarea de zi cu zi. Crearea contului de utilizator, a username-ului și stabilirea parolei pentru fiecare utilizator în parte va fi efectuată de către Administratorul de sistem. Este interzisă divulgarea parolelor de acces unor persoane neautorizate.
Revizuirea permisiunilor de acces. Permisiunile de acces vor fi revizuite periodic însă cel puțin o dată la 3 luni în scopul detectării conturilor inactive, a conturilor care conferă drepturi de acces excesive și a necesității înlăturării permisiunilor de acces.
Retragerea/ înlăturarea permisiunilor de acces
Retragerea/ înlăturarea permisiunilor de acces fizic și virtual la Resursele operatorilor se va face în următoarele situații:
a încetat contractul care justifica acordarea permisiunii de acces;
dispozitivul MD a fost furat sau pierdut;
operatorii constată o încălcare a oricărei politici emise în materia prelucrării datelor cu caracter personal (Politici GDPR);
operatorii constată existența unor viruși sau al altor forme de spyware sau malware sau a unor amenințări la adresa Resurselor operatorilor;
nu se mai justifică menținerea permisiunilor de acces;
conturile de utilizator au fost inactive mai mult de […] luni;
există alte motive temeinice;
Retragerea/ înlăturarea permisiunilor de acces virtual se va face de către departamentul IT la solicitarea managementului operatorilor iar retragerea/ înlăturarea permisiunilor de acces fizic se va face de către managementul operatorilor prin predarea cheilor/ cartelelor de acces.
Parolele
Parolele sunt utilizate cu scopul de a proteja accesul la Resursele operatorilor. Configurarea parolelor va fi adecvată circumstanțelor particulare, fiind efectuată astfel încât să se ofere protecție împotriva a cel puțin două tipuri de atacuri: în primul rând, trebuie să fie cât mai dificil pentru atacatori să acceseze parolele stocate într-o formă utilizabilă și, în al doilea rând, trebuie ca sistemul de parole să ofere protecție împotriva atacatorilor care încearcă să ghicească o combinație validă de parole și nume de utilizatori.
Cerințe de complexitate (la nivel intern):
alegerea unei parole de minim 10 caractere;
folosirea a (minim) trei cuvinte aleatorii;
numerele, simbolurile (caracterele speciale) și combinațiile de majuscule și minuscule pot fi utilizate dacă este necesar să se creeze o parolă mai puternică sau dacă contul pentru care se creează o parolă necesită o protecție sporită;
se va evita folosirea parolelor implicite; acestea vor fi schimbate imediat;
se va evita folosirea numelui/ prenumelui propriu sau aparținând membrilor familiei, a datei nașterii, a secvențelor numerice (cum ar fi 12345), a cuvântului ”parolă” sau ”password”, folosirea unor cuvinte relevante pentru utilizator, cunoscute altor persoane, folosirea cifrelor dublate (cum ar fi 1111) sau a modelelor ușor de tastat (cum ar fi 14789 sau 2580);
se va evita folosirea acelorași parole (sau a unor parole similare) pentru mai multe sisteme;
se va evita folosirea parolelor pentru sisteme din afara operatorilor;
se va evita folosirea parolelor ”reciclate” (cum ar fi parolă 1, parolă2, parolă3);
se va evita utilizarea funcțiilor de tip ”show password”/ ”arată parola”;
se va evita transmiterea parolelor prin e-mail;
se va evita comunicarea parolelor către terțe persoane;
se va evita introducerea parolelor în preajma altor persoane, când au posibilitatea să le vadă;
se va evita notarea parolelor în simplu text;
Păstrarea parolelor. Parolele nu vor fi stocate într-un simplu text.
Resetarea parolelor. Operatorii nu vor impune schimbări periodice ale parolelor întrucât acest lucru îngreunează memorarea parolelor și determină utilizatorii să stabilească parole mai slabe, cu scopul de a și le aminti. Resetarea parolei trebuie efectuată atunci când are loc o încălcare a securității sau când există bănuieli cu privire la spargerea/ divulgarea neautorizată a unei parole.
Controlul accesului fizic și virtual
Pentru a preveni încălcări ale securității, toți utilizatorii sunt obligați să respecte permisiunile de acces acordate și măsurile stabilite prin prezenta politică, să nu noteze parolele, să nu manifeste o conduită neglijentă care să conducă la pierderea cheilor, cartelelor sau a parolelor de acces și să păstreze confidențialitatea parolelor de acces.
Pentru a preveni încălcări ale securității fizice, pierderea cheilor sau a cartelelor de acces trebuie raportată imediat administratorilor operatorilor. În caz de pierdere a cheilor sau a cartelelor de acces, se va proceda imediat la schimbarea elementelor mecano-fizice compromise.
Pentru a preveni încălcări ale securității virtuale, numărul de încercări de logare la Resursele operatorilor va fi limitat iar permisiunea de acces va fi blocată în cazul depășirii unui număr de […] logări incorecte.
Evidența accesului
Operatorii vor tine în permanență o evidență actualizată a tuturor permisiunilor de acces acordate la Resursele operatorilor și a tipului de acces, cu indicarea limitelor în cazul accesului limitat.
Revizuire
Prezenta politică va fi revizuită periodic, ori ce câte ori situația o impune, dar cel puțin o dată pe an.
Nume/ Prenume | Funcție | Data | Semnătura | |
APROBAT | Adina SOARE | Administrator |
Nume/ Prenume | Funcție | Data | Semnătura | |
APROBAT | Ștefan SOARE | Administrator |
PAGE 6
Veți include orice alte informații pe care dvs. le apreciați ca fiind confidențiale.
Ar trebui stabilite responsabilități clare în acest sens.
Încercările de conectare ar trebui limitate.
Se vor descrie măsurile implementate, care vă permit să detectați orice logări eșuate și să corectați erorile intervenite.
Numărul precis de încercări de logare și consecința depășirii acestor limite le decideți dvs., pe baza circumstanțelor specifice ale Companiei; cu toate acestea, există recomandări de limitare la un anumit număr pe oră, zi sau lună.
Se recomandă de asemenea analiza oportunității implementării și a altor metode de prevenire a atacurilor, cum ar fi, spre exemplu::
utilizarea „CAPTCHA”;
whitelisting IP addresses;
limite de timp după autentificarea eșuată.
Mai multe recomandări în materie regăsiți aici:
https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-(UE) 2016/679/security/passwords-in-online-services/