Oświadczenie w sprawie Bezpieczeństwa Komercyjnego
Wprowadzenie
BauWatch traktuje bezpieczeństwo informacji z najwyższą powagą. Jako kluczowy podmiot w branży ochrony (monitoringu), bezpieczeństwo informacji jest integralną częścią naszych podstawowych procesów i produktów. Podejmujemy istotne działania w celu ochrony informacji przed naruszeniami danych, nieuprawnionym dostępem oraz zakłóceniami zagrażającymi bezpieczeństwu danych biznesowych, klientów i danych osobowych. Uważamy bezpieczeństwo informacji za czynnik odróżniający nas od konkurencji.
W BauWatch kierujemy się zasadą „Doskonal się każdego dnia”. Wierzymy, że człowiek nigdy nie powinien zaprzestać doskonalenia. Dzięki nauce i rozwojowi nasi użytkownicy oraz współpracownicy dążą do jak najlepszego wykonywania swoich obowiązków. Zasada ta dotyczy również naszych produktów, usług i procesów. W celu ochrony danych przyjęliśmy ramy normy ISO 27001. Kierując się postawą ciągłego doskonalenia, staramy się chronić Państwa dane w możliwie najlepszy sposób.
Posiadamy dedykowane procesy operacyjne w zakresie zarządzania bezpieczeństwem informacji, wyspecjalizowany personel ds. bezpieczeństwa oraz wewnętrzny mechanizm raportowania, ułatwiający podejmowanie właściwych decyzji w przypadku incydentów. Nasz System Zarządzania Bezpieczeństwem Informacji opiera się na zarządzaniu ryzykiem.
Zarządzanie bezpieczeństwem
Zobowiązujemy się do przestrzegania wszystkich właściwych przepisów prawa, takich jak NIS-2, Ogólne Rozporządzenie o Ochronie Danych (RODO), a także norm ISO 27001 i EN 50518. Kluczowym elementem jest nasza struktura nadzorcza z bezpośrednią linią raportowania do kadry zarządzającej, która jest w pełni zaangażowana w kwestie bezpieczeństwa. Utworzyliśmy również komitet sterujący ds. bezpieczeństwa, kierowany przez naszego CISO, którego zadaniem jest koordynacja działań w poszczególnych krajach. Komitet monitoruje procesy bezpieczeństwa, analizuje incydenty oraz zapewnia właściwe wdrożenie i realizację programu bezpieczeństwa zarówno na poziomie grupy, jak i w poszczególnych krajach.
Security by Design
Ochrona danych rozpoczyna się od samego początku. Dlatego nasze produkty i usługi opracowywane są zgodnie z zasadą „Security by Design”. W odniesieniu do oprogramowania stosujemy bezpieczny proces rozwoju oraz listę kontrolną dla bezpiecznego kodu. Te same zasady obowiązują w naszych procesach inżynieryjnych oraz w zarządzaniu projektami. Bezpieczeństwo jest obecne na wszystkich etapach cyklu rozwojowego.
W przypadku korzystania z komponentów dostarczanych przez podwykonawców, upewniamy się, że spełniają one nasze wymogi w zakresie bezpieczeństwa.
Ochrona danych
Podejmujemy istotne wysiłki w celu ochrony poufności danych osobowych, preferencji oraz innych informacji. W tym zakresie stosujemy zasadę „najmniejszych uprawnień” (least privilege) oraz zasadę „konieczności wiedzy” (need to know). Inwestujemy znaczące środki w technologie serwerowe, bazodanowe, kopii zapasowych oraz firewalli. Szczegółowe informacje dotyczące ochrony danych osobowych znajdują się w naszej Polityce Prywatności.
Transparentność
W BauWatch nie twierdzimy, że jesteśmy w stanie zapobiec wszystkim incydentom bezpieczeństwa. Incydenty mogą i będą się zdarzać. W takich przypadkach kierujemy się zasadą pełnej transparentności, uznając ją za najlepszy sposób utrzymania zaufania klientów. Dokładamy jednak wszelkich starań, aby zdarzały się one jak najrzadziej.
W celu minimalizacji skutków incydentów wdrożyliśmy plany odtwarzania po awarii (disaster recovery) oraz powołaliśmy zespół reagowania kryzysowego, który co roku przeprowadza ćwiczenia symulujące potencjalne sytuacje kryzysowe. W tym zakresie stosujemy także ciągłe zarządzanie ryzykiem.
Audyty i certyfikacje
Kilka razy w roku monitorujemy nasze procesy i środki bezpieczeństwa informacji. Raz w roku zlecamy również audyt zewnętrzny. Wynikiem tych działań jest uzyskanie certyfikatu ISO 27001:2022. Audyty (wewnętrzne i zewnętrzne) umożliwiają nam wdrażanie cyklu ciągłego doskonalenia w zakresie bezpieczeństwa informacji.
Informacje dodatkowe
BauWatch zachęca do kierowania pytań lub uwag dotyczących bezpieczeństwa oraz niniejszego Oświadczenia. Wszelkie zapytania lub prośby o raport zgodności na potrzeby audytowe prosimy kierować na adres: info-PL@bauwatch.com
Szczegółowe informacje dotyczące wdrożonych środków bezpieczeństwa informacji
Bezpieczeństwo Produktów
Kontrola
Rejestry audytowe (Audit logs)
W odniesieniu do naszych produktów i usług prowadzimy rejestry czynności realizowanych w plikach dzienników. Nowe rozwiązania podlegają naszej polityce logowania. Przykładowe działania, które rejestrujemy:
logi użytkowników,
logi zdarzeń,
logi błędów.
Uwierzytelnianie wieloskładnikowe – Single Sign On (MFA – SSO)
Tam, gdzie jest to możliwe, wymagamy stosowania uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do naszych aplikacji i produktów. Przy wyborze nowych produktów jest to jedno z wymagań obligatoryjnych. Jeśli istnieje taka możliwość, dostęp realizowany jest za pośrednictwem logowania jednokrotnego (Single Sign On).
Kontrola dostępu oparta na rolach (RBAC)
W naszych procesach i produktach stosujemy zasady „najmniejszych uprawnień” (least privilege) oraz „konieczności wiedzy” (need to know), tak aby osoby miały dostęp wyłącznie do tych danych i funkcji, które są bezpośrednio związane z ich rolą oraz zakresem czynności.
Testy penetracyjne
Nasze produkty są regularnie poddawane testom penetracyjnym, a stwierdzone nieprawidłowości są analizowane i eliminowane.
Bezpieczeństwo Informacji
Kontrola
Inspektor ds. Bezpieczeństwa Informacji
W sprawach dotyczących bezpieczeństwa informacji można kontaktować się z nami pod adresem: security@bauwatch.com.
Szyfrowanie danych w spoczynku (Data Encrypted At-Rest)
BauWatch stosuje różne technologie w celu zapewnienia szyfrowania przechowywanych danych zgodnie z algorytmem AES-256.
Szyfrowanie danych w tranzycie (Data Encrypted In-Transit)
BauWatch szyfruje dane wrażliwe podczas transmisji z wykorzystaniem protokołów TLS 1.2 lub TLS 1.3.
Hasła
BauWatch stosuje ochronę haseł, szyfrowanie oraz inne środki bezpieczeństwa w celu zapobiegania nieuprawnionemu dostępowi do danych poufnych. Hasła są zgodne z wymogami NIST.
Przeglądy i monitorowanie dostępu
Dostęp do systemów BauWatch podlega ścisłej kontroli. Uprawnienia do systemów wewnętrznych i aplikacji są okresowo przeglądane i zatwierdzane w celu zapewnienia stosowania zasady najmniejszych uprawnień. BauWatch posiada formalne polityki i procedury w zakresie dostępu, które podlegają corocznemu przeglądowi i zatwierdzeniu.
Kopie zapasowe
Systemy BauWatch są regularnie zabezpieczane kopiami zapasowymi zgodnie z ustalonym harmonogramem. Kopie są monitorowane, a w przypadku wystąpienia nieprawidłowości generowane są powiadomienia. Awaria jest dokumentowana, analizowana i rozwiązywana. Wszystkie kopie zapasowe są szyfrowane.
Ewidencja zasobów (Asset Inventory)
Prowadzona jest ewidencja systemów, obejmująca urządzenia fizyczne, systemy, urządzenia wirtualne oraz oprogramowanie.
Klasyfikacja danych (Data Classification)
BauWatch posiada formalnie udokumentowaną politykę klasyfikacji danych, identyfikującą informacje niezbędne do funkcjonowania kontroli wewnętrznych, osiągania celów oraz związane z tym wymagania w zakresie ochrony, praw dostępu i przechowywania.
Bezpieczeństwo Organizacyjne
Kontrola
Weryfikacja pracowników (Background Checks)
Pracownicy BauWatch poddawani są weryfikacji przed złożeniem formalnej oferty zatrudnienia. Zakres weryfikacji może się różnić w zależności od kraju i stanowiska, zgodnie z obowiązującymi przepisami prawa. Po zatrudnieniu każdy pracownik jest zobowiązany do zapoznania się i potwierdzenia znajomości:
Kodeksu Postępowania w Zakresie Bezpieczeństwa,
Podręcznika Pracownika.
Szkolenia z bezpieczeństwa pracowników
BauWatch wymaga, aby wszyscy pracownicy ukończyli szkolenie z zakresu bezpieczeństwa i świadomości zagrożeń w ramach procesu wdrożeniowego oraz cyklicznie – co najmniej raz w roku.
Zarządzanie zasobami (Asset Management)
BauWatch wdrożył narzędzia umożliwiające monitorowanie kluczowych zasobów infrastruktury.
Zarządzanie zmianami (Change Management)
BauWatch utrzymuje proces zarządzania zmianami w ramach struktury cyberbezpieczeństwa, systematycznie oceniając i kontrolując modyfikacje w środowisku IT w celu ich bezpiecznej implementacji, minimalizacji ryzyka i utrzymania wysokiego poziomu bezpieczeństwa.
Zarządzanie incydentami (Incident Management)
BauWatch posiada formalny proces zarządzania incydentami, określający procedury reagowania na zdarzenia (bezpieczeństwa). Każdy pracownik jest informowany o sposobie zgłaszania incydentów.
Prywatność
Kontrola
Inspektor Ochrony Danych
W sprawach związanych z ochroną danych osobowych można zapoznać się z naszą Polityką Prywatności lub skontaktować się z nami pod adresem: privacy@bauwatch.com.
Umowa powierzenia przetwarzania danych (DPA)
BauWatch zawarł kompleksową umowę powierzenia przetwarzania danych, określającą warunki i zasady dotyczące przetwarzania danych osobowych.
RODO
BauWatch jest zgodny z RODO i przestrzega obowiązujących zasad dotyczących zgłaszania naruszeń ochrony danych.
Kamery
Wieże BauWatch i kamery monitorują wyłącznie obszary wskazane przez klientów. Obszary, które nie powinny być monitorowane, nie są widoczne w naszych centrach monitoringu. Jednocześnie obrazy nie są monitorowane w sposób ciągły, lecz wyłącznie w przypadku wykrycia zdarzeń w określonych strefach detekcji, zgodnie z ustaleniami z klientem. W przypadku rzeczywistego zdarzenia uruchamiana jest transmisja na żywo.
Centra Odbioru Alarmów (ARC)
Kontrola
Monitoring alarmów
BauWatch monitoruje alarmy w Centrach Odbioru Alarmów. W Niemczech i Holandii posiadamy własne centra.
EN 50518
Własne centra BauWatch posiadają certyfikację EN 50518. W innych krajach korzystamy z certyfikowanych centrów partnerskich.
Dostępność
Na podstawie normy EN 50518 gwarantujemy dostępność procesu alarmowego na poziomie 99,9% rocznie.
Bezpieczeństwo fizyczne
Nasze centra monitoringu są silnie zabezpieczonymi i odseparowanymi środowiskami o najwyższym poziomie ochrony fizycznej. Dostęp mają wyłącznie osoby uprawnione.
Ciągłość działania i odtwarzanie po awarii
Kontrola
Plany ciągłości działania i odtwarzania po awarii
BauWatch posiada udokumentowany plan ciągłości działania i plan odtwarzania po awarii, nadzorowany i realizowany przez dedykowany zespół. Plany te podlegają corocznym testom.
RTO / RPO
Plany są oparte na wskaźnikach RTO i RPO, gwarantujących dostępność procesu monitoringu na poziomie 99,9%.
Zarządzanie zagrożeniami
Kontrola
Zarządzanie podatnościami
BauWatch utrzymuje system zarządzania podatnościami, identyfikując i minimalizując ryzyka w środowisku IT i OT. Raz w roku przeprowadzane są skanowanie podatności i testy penetracyjne przez niezależny podmiot zewnętrzny.
Polityka ujawniania podatności
Jeśli jako klient lub potencjalny klient BauWatch uważają Państwo, że wykryto podatność w produktach lub usługach, prosimy o kontakt: security@bauwatch.com.
Testy penetracyjne
Raz w roku BauWatch poddawany jest testom penetracyjnym oraz skanowaniu podatności przez niezależnego dostawcę.
Zarządzanie ryzykiem
BauWatch wdrożył kompleksowy proces zarządzania ryzykiem, systematycznie identyfikując, analizując i ograniczając zagrożenia cybernetyczne. Corocznie przeprowadzana jest ocena ryzyka, w ramach której systemy i zasoby BauWatch są analizowane pod kątem podatności i stosowane są odpowiednie środki zaradcze.
Antywirus i ochrona przed złośliwym oprogramowaniem
BauWatch stosuje politykę antywirusową i ochrony przed złośliwym oprogramowaniem obejmującą stacje robocze pracowników oraz serwery. Wykorzystujemy uznane rozwiązania w zakresie ochrony punktów końcowych, regularnie aktualizując systemy w celu przeciwdziałania najnowszym zagrożeniom.
Podmioty trzecie i podwykonawcy
Kontrola
Podmioty przetwarzające / Podwykonawcy
BauWatch może angażować (i) podmioty zewnętrzne przetwarzające dane oraz/lub (ii) spółki powiązane BauWatch (łącznie „Podwykonawcy”) w celu świadczenia usług klientom. Podwykonawcy mogą uzyskać dostęp do danych osobowych udostępnionych przez klienta wyłącznie w zakresie niezbędnym do realizacji usług.
Zarządzanie ryzykiem stron trzecich (TPRM)
BauWatch wdrożył ramy zarządzania ryzykiem stron trzecich (TPRM), obejmujące systematyczną identyfikację, ocenę i ograniczanie ryzyk związanych z partnerstwami zewnętrznymi, w celu zapewnienia bezpieczeństwa i integralności działalności.