Środki ochrony danych klientów firmy Accenture

Poniższe warunki opisują środki techniczne i organizacyjne, środki kontroli wewnętrznej oraz procedury bezpieczeństwa informacji, które firma Accenture utrzymuje w celu ochrony danych dostarczonych przez naszych klientów lub w ich imieniu w związku ze zleceniem obsługi klienta („Dane klienta”). Te środki bezpieczeństwa mają na celu ochronę Danych klienta w środowisku Accenture (np. w systemach, sieciach, obiektach) przed przypadkowym, nieupoważnionym lub bezprawnym dostępem, ujawnieniem, zmianą, utratą lub zniszczeniem. Gdy Dane klienta obejmują dane osobowe, wdrożenie i przestrzeganie przez nas tych środków (oraz wszelkich dodatkowych środków bezpieczeństwa określonych w obowiązującej umowie z klientem) ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa w odniesieniu do przetwarzania danych osobowych. Firma Accenture może okresowo zmieniać te środki, bez uprzedzenia, o ile takie zmiany nie spowodują istotnego zmniejszenia lub pogorszenia ochrony danych klienta.

STANDARDOWE ZABEZPIECZENIA DANYCH:

1. Zarządzanie bezpieczeństwem informacji w organizacji

a. Własność zabezpieczeń. Accenture wyznaczy jednego lub więcej specjalistów ds. bezpieczeństwa odpowiedzialnych za koordynację i monitorowanie zasad i procedur bezpieczeństwa.

b. Role i obowiązki w zakresie bezpieczeństwa.. Pracownicy firmy Accenture mający dostęp do Danych klienta podlegają obowiązkowi zachowania poufności.

c. Program zarządzania ryzykiem. Firma Accenture wdroży program zarządzania ryzykiem w celu identyfikacji, oceny i podjęcia odpowiednich działań w odniesieniu do ryzyka związanego z przetwarzaniem danych klienta w związku z obowiązującą umową między stronami.

2. Zarządzanie zasobami

a. Inwentaryzacja aktywów. Firma Accenture będzie prowadzić inwentaryzację zasobów swojej infrastruktury, sieci, aplikacji i środowisk chmurowych. Firma Accenture będzie również prowadzić inwentaryzację nośników, na których przechowywane są dane klientów. Dostęp do spisów takich nośników będzie ograniczony do pracowników upoważnionych na piśmie do uzyskania takiego dostępu.

b. Obsługa danych. Firma Accenture będzie:

1. Klasyfikować Dane klienta w celu ułatwienia identyfikacji takich danych i umożliwienia odpowiedniego ograniczenia dostępu do nich.
   
   
2. Ograniczać drukowania Danych klienta ze swoich systemów do minimum niezbędnego do świadczenia usług oraz posiadanie procedur utylizacji materiałów drukowanych zawierających Dane klienta.
   
   
3. Wymagać od swojego personelu uzyskania odpowiedniej autoryzacji przed przechowywaniem Danych klienta poza zatwierdzonymi w umowie lokalizacjami i systemami, zdalnym dostępem do Danych klienta lub przetwarzaniem Danych klienta poza obiektami Stron.

3. Bezpieczeństwo zasobów ludzkich

a. Szkolenie w zakresie bezpieczeństwa. Firma Accenture będzie:

1. Informować pracowników o odpowiednich procedurach bezpieczeństwa i ich rolach.
   
   
2. Informować personel o możliwych konsekwencjach naruszenia zasad i procedur bezpieczeństwa.
   
   
3. Wykorzystywać anonimowe dane wyłącznie w środowiskach szkoleniowych.

4. Bezpieczeństwo fizyczne i środowiskowe

a. Fizyczny dostęp do obiektów. Firma Accenture wdroży i będzie utrzymywać procedury ograniczające autoryzowany dostęp do swoich obiektów, w których znajdują się systemy informatyczne przetwarzające dane klientów.

b. Fizyczny dostęp do komponentów. Firma Accenture będzie prowadzić ewidencję przychodzących i wychodzących nośników zawierających Dane klienta, w tym rodzaj nośnika, autoryzowanego nadawcę/odbiorcę, datę i godzinę, liczbę nośników oraz rodzaje zawartych w nich Danych klienta.

c. Utylizacja komponentów. Firma Accenture będzie korzystać ze standardowych procesów branżowych (np. ISO 27001, CIS Sans 20 i/lub NIST Cyber-Security Framework, w zależności od przypadku) w celu usunięcia Danych klienta, gdy nie będą one już potrzebne.

5. Komunikacja i zarządzanie operacyjne

a. Polityka operacyjna. Firma Accenture będzie przechowywać dokumenty bezpieczeństwa opisujące jej środki bezpieczeństwa oraz odpowiednie procedury i obowiązki personelu, który ma dostęp do Danych klienta.

b. Zarządzanie urządzeniami mobilnymi (MDM)/Zarządzanie aplikacjami mobilnymi (MAM). Firma Accenture będzie przestrzegać zasad dotyczących swoich urządzeń mobilnych, które:

1. Wymuszają szyfrowanie urządzeń.
2. Zakazują korzystania z aplikacji znajdujących się na czarnej liście.
3. Zabraniają rejestrowania urządzeń mobilnych, których zabezpieczenia zostały złamane.

c. Procedury odzyskiwania danych. Firma Accenture będzie:

1. Posiadać określone procedury odzyskiwania danych w odniesieniu do swoich systemów, zaprojektowane w celu umożliwienia odzyskania Danych klienta przechowywanych w jego systemach.
   
   
2. Przeglądać procedur odzyskiwania danych co najmniej raz w roku.
   
   
3. Rejestrować wysiłki związane z przywracaniem danych w odniesieniu do swoich systemów, w tym osoba odpowiedzialna, opis przywróconych danych i, w stosownych przypadkach, osoba odpowiedzialna oraz które dane (jeśli istnieją) musiały zostać wprowadzone ręcznie w procesie odzyskiwania danych.

d. Złośliwe oprogramowanie. Firma Accenture będzie dysponować mechanizmami ochrony przed złośliwym oprogramowaniem, aby uniknąć sytuacji, w której złośliwe oprogramowanie uzyskuje nieautoryzowany dostęp do Danych klienta, w tym złośliwe oprogramowanie pochodzące z sieci publicznych.

e. Data poza granicami. Firma Accenture będzie:

1. Szyfrować Dane klienta przesyłane przez sieci publiczne.
   
   
2. Chronić Dane klienta na nośnikach opuszczających jej obiekty (np. poprzez szyfrowanie).
   
   
3. Wdrażać zautomatyzowane narzędzia tam, gdzie jest to możliwe, aby zmniejszyć ryzyko błędnego przekierowania wiadomości e-mail, listów i/lub faksów z systemów.

f. Rejestrowanie zdarzeń.

1. W przypadku systemów zawierających dane klientów firma Accenture będzie rejestrować zdarzenia zgodnie z określonymi zasadami lub standardami.

6. Kontrola dostępu

a. Zasady dostępu. Firma Accenture będzie prowadzić rejestr uprawnień bezpieczeństwa osób mających dostęp do danych klienta za pośrednictwem swoich systemów.

b. Autoryzacja dostępu. Firma Accenture będzie:

1. Prowadzić i aktualizować rejestr pracowników upoważnionych do dostępu do Danych klienta za pośrednictwem swoich systemów.
   
   
2. W przypadku odpowiedzialności za udzielanie dostępu, niezwłocznie udzielać poświadczeń uwierzytelniających.
   
   
3. Dezaktywować poświadczenia uwierzytelniające w przypadku, gdy takie poświadczenia nie były używane przez pewien czas (taki okres nieużywania nie może przekraczać 90 dni).
   
   
4. Dezaktywować poświadczenia uwierzytelniające po powiadomieniu, że dostęp nie jest już potrzebny (np. rozwiązanie stosunku pracy, zmiana projektu itp.) w ciągu dwóch dni roboczych.
   
   
5. Identyfikować pracowników, którzy mogą przyznawać, zmieniać lub anulować autoryzowany dostęp do danych i zasobów.
   
   
6. Upewnić się, że w przypadku, gdy więcej niż jedna osoba ma dostęp do systemów zawierających Dane klienta, osoby te mają unikalne identyfikatory/loginy (tj. nie mają wspólnych identyfikatorów).

c. Najmniejsze uprawnienia. Firma Accenture będzie:

1. Zezwalać swojemu personelowi pomocy technicznej na dostęp do Danych klienta tylko wtedy, gdy jest to konieczne.
   
   
2. Utrzymywać kontrole umożliwiające awaryjny dostęp do systemów produkcyjnych za pośrednictwem identyfikatorów strażaków, identyfikatorów tymczasowych lub identyfikatorów zarządzanych przez rozwiązanie do zarządzania dostępem uprzywilejowanym (PAM).
   
   
3. Ograniczać dostęp do Danych klienta w swoich systemach wyłącznie do tych osób, które potrzebują takiego dostępu do wykonywania swojej pracy.
   
   
4. Ograniczać dostęp do Danych klienta w swoich systemach wyłącznie do danych minimalnie niezbędnych do świadczenia usług.
   
   
5. Wspierać podział obowiązków między środowiskami, tak aby żadna osoba nie miała dostępu do wykonywania zadań, które powodują konflikt interesów w zakresie bezpieczeństwa (np. deweloper / recenzent, deweloper / tester).

d. Uczciwość i poufność. Firma Accenture poinstruuje swoich pracowników, aby wyłączali sesje administracyjne, gdy opuszczają pomieszczenia lub gdy komputery są pozostawione bez nadzoru.

e. Uwierzytelnianie. Firma Accenture będzie:

1. Korzystać ze standardów branżowych (np. ISO 27001, CIS Sans 20 i/lub NIST Cyber-Security Framework, jeśli dotyczy), aby zidentyfikować i uwierzytelnić użytkowników, którzy próbują uzyskać dostęp do swoich systemów informatycznych.
   
   
2. Tam, gdzie mechanizmy uwierzytelniania są oparte na hasłach, będzie wymagać, aby hasła były regularnie odnawiane.
   
   
3. W przypadku mechanizmów uwierzytelniania opartych na hasłach, firma będzie wymagać, aby hasło zawierało co najmniej osiem znaków i trzy z następujących czterech typów znaków: numeryczne (0-9), małe litery (a-z), wielkie litery (A-Z), specjalne (np. !, *, & itp.).
   
   
4. Upewniać się, że dezaktywowane lub wygasłe identyfikatory nie są przyznawane innym osobom.
   
   
5. Monitorować powtarzające się próby uzyskania dostępu do systemów informatycznych przy użyciu nieprawidłowego hasła.
   
   
6. Utrzymywać standardowe procedury branżowe (np. ISO 27001, CIS Sans 20 i/lub NIST Cyber-Security Framework) w celu dezaktywacji haseł, które zostały uszkodzone lub nieumyślnie ujawnione.
   
   
7. Stosować praktyki ochrony haseł zgodne ze standardami branżowymi (np. ISO 27001, CIS Sans 20 i/lub NIST Cyber-Security Framework), w tym praktyki mające na celu zachowanie poufności i integralności haseł podczas ich przydzielania i dystrybucji, a także podczas przechowywania.

f. Uwierzytelnianie wieloelementowe Firma Accenture wdroży uwierzytelnianie wieloelementowe dla dostępu wewnętrznego i zdalnego przez wirtualną sieć prywatną (VPN) do swoich systemów.

7. Testy penetracyjne i skanowanie podatności systemów Accenture.

a. Co najmniej raz w roku firma Accenture przeprowadzi ocenę penetracji i podatności na zagrożenia w środowiskach informatycznych Accenture zgodnie z wewnętrznymi zasadami bezpieczeństwa i standardowymi praktykami firmy Accenture.

b. Firma Accenture zgadza się udostępnić Klientowi podsumowanie informacji związanych z takimi testami przeprowadzonymi przez firmę Accenture w zakresie mającym zastosowanie do Usług.

c. Dla jasności, w odniesieniu do takich testów penetracyjnych i testów podatności, Klient nie będzie uprawniony do (i) danych lub informacji innych klientów lub klientów firmy Accenture; (ii) testowania środowisk informatycznych stron trzecich, z wyjątkiem zakresu, w jakim firma Accenture ma prawo zezwolić na takie testy; (iii) jakiegokolwiek dostępu lub testowania infrastruktury lub środowisk usług wspólnych, lub (iv) jakichkolwiek innych Informacji poufnych Accenture, które nie są bezpośrednio związane z takimi testami i Usługami.

d. W przypadku systemów informatycznych firmy Accenture, które są fizycznie dedykowane Klientowi, Strony mogą uzgodnić oddzielne, pisemne plany testów, które nie będą przekraczać dwóch testów rocznie.

8. Projektowanie i zarządzanie sieciami i aplikacjami. Firma Accenture będzie:

a. Posiadać mechanizmy kontrolne zapobiegające uzyskiwaniu przez osoby nieupoważnione dostępu do Danych klienta w swoich systemach.

b. Korzystać z funkcji zapobiegania utracie danych opartej na wiadomościach e-mail w celu monitorowania lub ograniczania przepływu poufnych danych.

c. Korzystać z filtrowania sieciowego, aby zapobiec dostępowi do nieautoryzowanych witryn.

d. Używać identyfikatorów strażaków lub tymczasowych identyfikatorów użytkowników do dostępu produkcyjnego.

e. Używać wykrywania włamań do sieci i/lub zapobiegania im w swoich systemach.

f. Stosować bezpieczne standardy kodowania.

g. Skanować w poszukiwaniu i usuwanie luk OWASP w swoich systemach.

h. W zakresie, w jakim jest to technicznie możliwe, będzie oczekiwać, że strony będą współpracować w celu ograniczenia możliwości dostępu pracowników firmy Accenture z systemów klienta do środowisk innych niż klienta i firmy Accenture.

i. Utrzymywać aktualne standardy konfiguracji bezpieczeństwa serwerów, sieci, infrastruktury, aplikacji i chmury.

j. Skanować środowiska w celu upewnienia się, że zidentyfikowane luki w zabezpieczeniach konfiguracji zostały usunięte.

9. Zarządzanie poprawkami

a. Firma Accenture będzie posiadać procedurę zarządzania poprawkami, która obejmuje wdrażanie poprawek bezpieczeństwa dla systemów wykorzystywanych do przetwarzania danych klientów:

1. Określony czas na wdrożenie poprawek (nieprzekraczający 90 dni w przypadku poprawek o wysokim lub średnim poziomie, zgodnie ze standardem Accenture); oraz
   
   
2. Ustanowiony proces obsługi poprawek awaryjnych lub krytycznych tak szybko, jak to możliwe.

10. Stacje robocze

a. Firma Accenture wdroży mechanizmy kontrolne dla dostarczanych przez siebie stacji roboczych, które są używane w związku z dostarczaniem/odbiorem usług, obejmujące następujące elementy:

1. Agent oprogramowania, który zarządza ogólną zgodnością stacji roboczej i raportuje co najmniej raz w tygodniu do centralnego serwera.
   
   
2. Szyfrowany dysk twardy
   
   
3. Proces łatania, tak aby stacje robocze były łatane zgodnie z udokumentowanym harmonogramem łatania.
   
   
4. Możliwość zapobiegania instalacji oprogramowania z czarnej listy
   
   
5. Program antywirusowy z co najmniej cotygodniowym skanowaniem
   
   
6. Zainstalowane zapory sieciowe

11. Zarządzanie naruszeniami bezpieczeństwa informacji

a. Proces reagowania na naruszenie bezpieczeństwa. Firma Accenture będzie prowadzić rejestr własnych naruszeń bezpieczeństwa w swoich systemach z opisem naruszenia, okresem, konsekwencjami naruszenia, nazwiskiem osoby zgłaszającej i osoby, której zgłoszono naruszenie, oraz procesem odzyskiwania danych.

b. Monitorowanie usług. Personel ds. bezpieczeństwa firmy Accenture dokona przeglądu własnych dzienników w ramach procesu reagowania na naruszenia bezpieczeństwa, aby w razie potrzeby zaproponować działania naprawcze.

12. Zarządzanie ciągłością działania

a. Firma Accenture będzie dysponować procesami i programami zgodnymi z normą ISO 22301 w celu umożliwienia naprawy po zdarzeniach, które wpływają na jej zdolność do działania zgodnie z Umową.

ŚRODKI UZUPEŁNIAJĄCE Ponadto, zgodnie z wytycznymi regulacyjnymi wynikającymi z decyzji Europejskiego Trybunału Sprawiedliwości „Schrems II”, firma Accenture zobowiązuje się do utrzymania następujących dodatkowych środków technicznych, organizacyjnych i prawnych/umownych w odniesieniu do danych klienta, w tym danych osobowych.

Techniczne środki uzupełniające:

1. Dane klienta przesyłane między podmiotami Accenture będą silnie szyfrowane za pomocą szyfrowania, które:

a. są najnowocześniejsze,

b. zapewniają poufność przez wymagany okres czasu,

c. są realizowane przez odpowiednio utrzymywane oprogramowanie,

d. są solidne i zapewniają ochronę przed aktywnymi i pasywnymi atakami organów publicznych, w tym analizą kryptograficzną, oraz

e. nie zawierają tylnych drzwi w sprzęcie lub oprogramowaniu, chyba że uzgodniono inaczej z odpowiednim Klientem.

2. Dane klienta w stanie spoczynku i przechowywane przez dowolne podmioty Accenture będą silnie szyfrowane za pomocą szyfrowania, które:

a. są najnowocześniejsze,

b. zapewniają poufność przez wymagany okres czasu,

c. są realizowane przez odpowiednio utrzymywane oprogramowanie,

d. są solidne i zapewniają ochronę przed aktywnymi i pasywnymi atakami organów publicznych, w tym analizą kryptograficzną, oraz

e. nie zawierają tylnych drzwi w sprzęcie lub oprogramowaniu, chyba że uzgodniono inaczej z odpowiednim Klientem.

Dodatkowe środki organizacyjne:

1. Przekazywanie Danych klienta między podmiotami Accenture i ich przetwarzanie przez dowolne podmioty Accenture będzie zgodne z:

a. Wewnętrznymi zasadami i procedurami firmy Accenture dotyczącymi zarządzania wnioskami organów publicznych o dostęp do danych osobowych,

b. Wewnętrznymi zasadami i procedurami firmy Accenture dotyczącymi dostępu do danych i poufności,

c. Wewnętrznymi zasadami i procedurami firmy Accenture dotyczącymi minimalizacji danych oraz

d. Wewnętrznymi zasadami i procedurami firmy Accenture dotyczącymi bezpieczeństwa danych i prywatności danych.

2. Firma Accenture będzie prowadzić udokumentowany rejestr wniosków o dostęp do danych osobowych otrzymanych od organów publicznych oraz udzielonych odpowiedzi, wraz z uzasadnieniem prawnym i zaangażowanymi stronami.

3. Firma Accenture będzie regularnie przekazywać dyrektorowi ds. zgodności z przepisami firmy Accenture raporty dotyczące ewentualnych wniosków organów publicznych o udostępnienie danych osobowych.

Prawne/umowne środki uzupełniające:

1. Firma Accenture będzie regularnie aktualizować raporty z oceny w odniesieniu do przepisów dotyczących nadzoru i praktyk w zakresie prywatności w krajach, w których firma Accenture przetwarza Dane klientów, jeśli taki kraj nie jest formalnie uznany za zapewniający poziom ochrony zasadniczo podobny do krajów UE, i na żądanie dostarczy klientom kopie odpowiednich raportów.
   
   
2. Podmiot(-y) Accenture przetwarzający(-e) dane klienta zaświadcza(-ją), że — o ile nie uzgodniono inaczej z odpowiednim klientem — (a) nie stworzył(-y) celowo backdoorów (tylnych drzwi) ani podobnych rozwiązań programistycznych, które mogłyby zostać wykorzystane do uzyskania dostępu do systemu i/lub danych osobowych (b) nie stworzył(-y) celowo ani nie zmienił(-y) swoich procesów biznesowych w sposób ułatwiający dostęp do danych osobowych lub systemów, (c) zgodnie z najlepszą wiedzą firmy Accenture, obowiązujące prawo krajowe lub polityka rządowa nie wymagają od podmiotu Accenture tworzenia lub utrzymywania tylnych drzwi lub ułatwiania dostępu do danych osobowych lub systemów ani posiadania lub przekazywania klucza szyfrowania bez prawomocnego nakazu i po przeprowadzeniu odpowiedniej kontroli prawnej.
   
   
3. W zakresie dozwolonym przez obowiązujące prawo, jednostka/jednostki firmy Accenture przetwarzające Dane klienta poinformują klienta o żądaniach władz dotyczących danych osobowych przetwarzanych przez firmę Accenture w imieniu klienta. Jeśli zgodnie z obowiązującym prawem firma Accenture nie może poinformować klienta o żądaniu rządowym, podejmie uzasadnione kroki w celu (i) uzyskania administracyjnego lub sądowego zezwolenia na poinformowanie klienta w najwcześniejszym możliwym terminie lub (ii) zwrócenia się do odpowiedniego organu rządowego o bezpośrednie poinformowanie klienta. W każdym przypadku firma Accenture podejmie uzasadnione kroki przed sądem lub w postępowaniu administracyjnym, aby zakwestionować żądania rządowe, które uzna za niezgodne z prawem.
   
   
4. Firma Accenture poinformuje odpowiedniego klienta o wszelkich zmianach w obowiązującym prawie, które mogłyby wpłynąć na zdolność firmy Accenture do przestrzegania mechanizmu przekazywania danych.
   
   
5. Podmioty Accenture przetwarzające Dane klienta umożliwią klientowi sprawdzenie, czy jego dane osobowe zostały ujawnione organom publicznym za pomocą uzgodnionych procedur audytu określonych w obowiązującej umowie z klientem.
   
   
6. Podmioty Accenture przetwarzające Dane klienta nie będą angażować się w dalsze przekazywanie Danych klienta ani zawieszać bieżących transferów bez zgody klienta wymaganej w odpowiedniej umowie z klientem lub w inny sposób wymagany przez prawo.
   
   
7. Żadne z postanowień niniejszego dokumentu nie narusza praw osoby, której dane dotyczą, do dochodzenia odszkodowania od firmy Accenture w zakresie dozwolonym przez obowiązujące prawo w przypadku ujawnienia przez firmę Accenture danych klienta przekazanych z naruszeniem jej zobowiązań zawartych w wybranym narzędziu transferu.