Povoliť súbory cookie?

Tento web využíva cookies pre niektoré jeho funkcie, vyhodnocovanie návštevnosti a personalizáciu reklám. Pomocou cookies nie sú zhromažďované žiadne citlivé dáta. Používaním webu súhlasíte s ich ukladaním. viac informácií

Prijať
gdpr icon

Ochrana osobných údajov v spoločnosti IceWarp

Dlho pred tým, než dňa 25. mája 2018 začalo platiť Všeobecné nariadenie EU o ochrane osobných údajov a súkromia používateľov, sa spoločnosť IceWarp pripravovala z technického a právneho hľadiska na príchod tejto prelomovej normy v oblasti digitálnej bezpečnosti. A úspešne. Spoločnosť IceWarp teraz v plnom rozsahu plní nariadenie GDPR. Ukážeme vám, ako sa naň môže pripraviť aj vaša spoločnosť.
check icon
V skratke: Spoločnosť IceWarp už dodržiava požiadavky nariadení GDPR. V súčasnosti nie je splnenie základných požiadaviek tohoto nariadenie nijak náročné. Odporúčame vám si však prejsť naše odporúčania nižšie.

Účel nariadenia GDPR

Všeobecné nariadenie o ochrane osobných údajov (GDPR) je historicky najrozsiahlejším a najkomplexnejším nariadením EÚ, ktoré sa týka ukladania a spracovania osobných údajov. Nariadenie GDPR bolo prijaté 14. apríla 2016 a nadobudlo účinnosť po dvojročnom prechodnom období. Toto nové nariadenie dáva používateľom rozsiahlejšie práva na prístup k ich osobným údajom a ich kontrolu a ukladá organizáciám povinnosti s cieľom zvýšiť ich zodpovednosť za ochranu osobných údajov.
Cieľom nariadenia GDPR nie je nič iného než poskytnúť všetkým občanom EÚ väčšiu kontrolu nad ich osobnými údajmi a zjednodušiť regulačné prostredie medzinárodného obchodu. Čo sú však tie osobné údaje? Slovami úradníkov EÚ: „Osobné údaje sú všetky informácie o jednotlivcovi (…) Medzi také údaje patria čokoľvek, od mena, fotografie, e-mailovej adresy, bankových údajov, profilov na sociálnych sieťach až po zdravotné informácie alebo adresu IP osobného počítača.“ *
* Nariadenie GDPR stanovuje väčšinu zákonných povinností. Nad jeho rámec môžu členské štáty prostredníctvom vnútroštátnych právnych predpisov o ochrane osobných údajov stanoviť, akým spôsobom sa nariadenie v danej krajine uplatní.
Nariadenie GDPR sa však netýka iba digitálneho zabezpečenia. Tento nový právny rámec má dopad predovšetkým na vnútorné procesy spoločnosti – určuje spôsob ukladania údajov, riadenia úrovní prístupových oprávnení a aktualizácie zásad nakladania s údajmi. V skratke to znamená veľa bezsenných nocí pre firemných právnikov a veľa papierovania pre ostatných zamestnancov. V prípade porušenia nariadenia by totiž hrozil vážny postih.

Technické opatrenia

Dobrou správou je, že pokiaľ používate najnovšiu verziu IceWarp Servera, požiadavky GDPR už spĺňate. Na IceWarp Serveri a pri všetkých súvisiacich nástrojoch a klientskych aplikáciách pravidelne uskutočňujeme testovanie zraniteľnosti a penetračné testy. Dbáme tiež na to, aby sme vždy mali všetky kritické súčasti systému vrátane openSSL, certifikátov apod. plne aktualizované na najnovšej verzii. Pre zachovanie ochrany pred najnovšími bezpečnostnými hrozbami je preto, podobne ako pri iných IT systémoch, nutné IceWarp Server vždy aktualizovať na poslednú dostupnú verziu.
Čo sa týka IT infraštruktúry, uistite sa, že dodržiavate všeobecne osvedčené postupy IT zabezpečenia, teda vrátane zabezpečenia vzdialeného prístupu, firewallu, vynucovania zložitých hesiel a ochrany proti malware. Tím IceWarp vám pomôže s revíziou vášho súčasného nastavenia.
Pre splnenie niektorých požiadaviek nariadenia GDPR však možno budete musieť uskutočniť niekoľko zmien v konfigurácii IceWarp Servera. Ak chcete napríklad získať prístup ku všetkým údajom a vyhľadávať v nich, môžete si jednoducho zriadiť globálny archivačný účet. Taký účet sa vám bude hodiť, keď od vás vaši zákazníci alebo bývalí zamestnanci budú žiadať uskutočnenie auditu ich osobných údajov podľa GDPR.
Existuje aj niekoľko ďalších jednoduchých krokov, ktoré vám pomôžu dosiahnuť ešte väčší súlad s nariadením GDPR:
  • Ochrana proti strate údajov. Uistite sa, že používate funkcie SmartAttach a Archive.
  • Prístup k serveru udeľujte len v nevyhnutne nutných prípadoch. Znížte počet osôb so širokým prístupom k serveru na základe stupňa ich preverenia.
  • Povoľte dvojfaktorové overovanie. Správcovia serverov môžu využívať IceWarp Autheticator, ktorý funguje bez problémov pre takmer každého správcu IT, alebo môžete nastaviť ďalší spôsob overovania, napríklad SMS.
  • Kľúče S/MIME. Začnite digitálne podpisovať a šifrovať svoje správy pomocou S/MIME, počítajte však so značným nárastom potrebného výpočtového výkonu.
  • Úrovne preverenia. Uskutočnite audit oprávnení, odoprite prístup pracovníkom, ktorí ho nepotrebujú, a nastavte odlišné heslá do adresárov s najvyšším stupňom zabezpečenia.
  • Používajte len používateľské účty. Neodporúčame spúšťať IW pod superpoužívateľským (root) účtom. Využívajte radšej vyhradené používateľské účty.
  • Vyhľadávanie údajov. Určite oprávnené osoby, ktorým bude pridelené oprávnenie vyhľadávať v archíve e-mailov (Email Archive) a používať fulltextové vyhľadávanie (Full-text search).
  • Osobné vymazanie. Uistite sa, že výmaz uskutočňuje osoba, ktorá údaje vlastní.
  • Používajte systémové protokoly. Povoľte na serveri protokoly údržby systému, ktoré vám umožnia sledovať všetky činnosti na serveri spolu s overovaním a aktivitou používateľov.

Žiadosti subjektov údajov

S nami máte istotu, že IceWarp On-premise aj Cloud sú už teraz v plnom rozsahu v súlade s nariadením GDPR. Pokiaľ ide o plnenie požiadaviek používateľov na prístup k údajom, je však situácia o niečo zložitejšia. Správca údajov musí vyhľadať údaje používateľa, kategorizovať ich a vytvoriť správu podľa GDPR. To je situácia, kedy sa môže hodiť vstavané fulltextové vyhľadávanie. Fulltextové vyhľadávanie s pokročilými možnosťami filtrovania vám umožní na niekoľko kliknutí spracovať žiadosti subjektov o prístup k údajom z rôznych zdrojov na vašom serveri.
Môžete vyhľadávať osobné údaje obsiahnuté v e-mailoch, správach a všetkých súboroch hostovaných na IceWarp Cloud. Môžete tiež archivovať a odstrániť všetky osobné údaje, ktoré sú v týchto e-mailoch, správach a hostovaných súboroch obsiahnuté.
To vám pomôže pri uplatňovaní týchto práv subjektov údajov:
tool icon
Právo na prístup
tool icon
Právo na opravu
tool icon
Právo na výmaz
tool icon
Právo na obmedzenie spracovania
tool icon
Právo na prenositeľnosť údajov
tool icon
Právo na vznesenie námietky
check icon
Vykonajte audit
Potrebujete ďalšiu pomoc s prípravou na GDPR? Kontaktujte nás na adrese gdpr@icewarp.com. S prípravami Vám radi pomôžeme.
check icon
Kontaktná osoba
Prípadné otázky týkajúce sa GDPR môžete smerovať na poverencov pre ochranu osobných údajov spoločnosti IceWarp na adrese dpo@icewarp.com

Cloudové služby a ochrana súkromia

Bez ohľadu na to, či sa rozhodnete ukladať svoje údaje v Nemecku či v USA, spoločnosť IceWarp bude dodržiavať európske nariadenie GDPR. GDPR sa totiž vzťahuje na osobné údaje akéhokoľvek koncového používateľa alebo obchodného kontaktu akéhokoľvek občana Európskej únie, takže je jednoduchšie ho implementovať vo všetkých našich clusteroch. Spoločnosť IceWarp naviac pracuje na tom, aby aj ostatným firmám umožnila zisťovanie údajov (data discovery) a dodržovanie predpisov, jednoduché vyhľadávanie osobných údajov vo všetkých interne používaných systémoch pomocou fulltextového vyhľadávania a ich bezpečnú archiváciu či mazanie. Pre potreby ochrany osobných údajov v amerických organizáciách, ktoré pracujú s citlivými informáciami o zdravotnom stave pacientov, môžeme pomôcť zaistiť súlad s národným štandardom HIPAA.
Viacúrovňové aplikácie IceWarp Cloud používajú samostatné virtuálne počítače (VM) vrátane nezdieľaného úložiska, takže narušenie bezpečnosti v jednej lokalite nemá vplyv na ostatné. Jednotlivé firewally fungujú ako ochranná schránka pre vaše údaje. Inteligentná automatizácia cloudu vyvinutá spoločnosťou IceWarp zaisťuje najvyššiu úroveň bezpečnosti informácií. Tým sa odlišujeme od bežne dostupných virtualizačných platforiem, ktoré sa vyznačujú množstvom zraniteľností. Pripojenia sú zabezpečené a obmedzené na oprávnených pracovníkov, ktorí sa pripájajú prostredníctvom virtuálnej privátnej siete (L2TP/IPSec) a brány SSH s využitím osobných tokenov. Pre väčšinu služieb sú otvorené len nevyhnutne nutné porty, čím sa toto riziko ešte ďalej znižuje. Vo všetkých našich dátových centrách je tiež zaistená vysoká bezpečnosť fyzického prístupu, ktorá clustery chráni pred poškodením, neoprávneným vniknutím, krádežou, požiarom apod. Preventívne monitorovanie všetkých služieb a sieťovej prevádzky naviac odhalí akúkoľvek škodlivú aktivitu a umožní nášmu bezpečnostnému tímu včas reagovať.
Všetky údaje a aplikácie na cloude sú fyzicky uložené na serveri umiestnenom v dátovom centre alebo serverovej farme. Umiestnenie dátového centra je najdôležitejším faktorom pri výbere poskytovateľov cloudových služieb. Zverejňujú vôbec túto informáciu? Môžu zaručiť, že vaše údaje budú uchovávane v rámci jurisdikcie jedného štátu, napríklad aby sa zabránilo poskytovaniu osobných údajov?
Pomocou služby IceWarp Cloud si môžete vybrať zo zoznamu niekoľkých dátových centier, kde budú vaše údaje uchovávané. Vzdialenosť a miestne pripojenie k najbližšiemu dátovému centru umožní nielen rýchlejšiu odozvu služby, ale tiež zaistí, že údaje budú chránené právnymi predpismi vášho státu o ochrane osobných údajov. Zaručujeme, že vaše údaje nebudú presunuté do zahraničia. Viac informácií o našich certifikovaných dátových centrách nájdete na adrese www.icewarp.com/cloud-order/datacenters.
gdpr icon

Certifikácia ISO/IEC 27701

V spoločnosti IceWarp prísne dodržiavame právne predpisy o ochrane osobných údajov. Pre riešenie prevádzkových problémov spojených so spracovaním rastúceho množstva osobných údajov sme zaviedli interný systém riadenia bezpečnosti osobných údajov s procesmi certifikovanými podľa uznávanej medzinárodnej normy ISO/IEC 27001. Jedná sa o jednu z najpoužívanejších noriem ISO na svete, ktorá sa uplatňuje v rade organizácií (zahrňujúce ako spracovateľov, tak aj správcov údajov). To znamená, že organizácie s certifikáciou ISO 27001 sa môžu spoľahnúť na IceWarp ako na dodávateľa, u ktorého je vykonávaný nezávislý audit a ktorý je interoperabilný v rámci rovnakých noriem a štandardov. Pre firmy, ktoré doposiaľ o certifikáciu nepožiadali, je toto kľúčovým predpokladom, aby boli naše služby poskytované v súlade s GDPR. Stručne povedané, ochrana osobných údajov (bez ohľadu na to, či na základe GDPR, či iného nariadenia) spočíva v zavedených štandardoch bezpečnosti informácií.