Medidas técnicas e organizativas (MTO) da Arthrex
1. Controlo de admissão a instalações
O termo "controlo de admissão" refere-se ao acesso físico por parte de indivíduos a edifícios e instalações em que os sistemas TI utilizados para tratamento de dados pessoais são operados e utilizados. Estes podem ser, por exemplo, centros de dados onde servidores web, servidores de aplicações, bases de dados, mainframes e sistemas de armazenamento são operados, e salas de escritórios onde os funcionários utilizam computadores de secretária.
|
Technical Measures
|
Organizational Measures
|
| • Suitable technical measures (eg intrusion detection systems, singleperson security entry systems, and locking systems) are taken to safeguard security areas and their admittance points |
• The protection requirement of a building or a room is determined based on the data processing systems located in it
• A group of persons with general admittance authorization is defined and the authorizations for admittance to security-relevant areas limited to absolute necessity (“principle of minimal authorization”); admittance is denied to anyone without authorization
• A process has been established for requesting, approving, issuing, managing, and accepting the return of means of admittance, or for withdrawing admittance rights (including management of keys, visual IDs, transponders, chip cards, etc.); all keys are registered
• A process has been established for governing the admittance of people external to the company, such as guests and suppliers; external visitors are registered; if there is a need for enhanced protection, non-company personnel shall be accompanied and supervised during the performance of their work |
2. Controlo de acesso ao hardware
Medidas para prevenir que pessoas não autorizadas acedam ou utilizem hardware utilizado para tratar dados pessoais:
|
Technical Measures
|
Organizational Measures
|
|
• Access to data processing systems on which data is processed is possible only after the authorized person has been identified and successfully authenticated (eg with a username and password or chip card / PIN), using state-of-the-art security measures
• Strong authentication is always based on multiple (at least 2) factors, such as something owned, something known, or based on a one-time factor that is specific to the user (usually biometric processes); examples include:
• Chip card with certificates and PIN
• One-time passwords (OTP generator, SMS TAN, chip TAN) and user password
• Security questions
• All successful and rejected access attempts are logged (user ID, computer, IP address used) and archived in an audit compliance form for 1 year; to detect improper use, regular evaluations through sampling is carried out
• The authentication credentials (such as user ID and password) must never be transmitted unprotected over the network
• Access is blocked after repeated incorrect authentication attempts; a process has been established for resetting or unlocking blocked access IDs; user IDs that are not used for a long period of time
• (a maximum of 180 days) are automatically blocked or set to inactive
|
• The group of people authorized to access IT systems must be limited to the absolute minimum necessary in order to perform the person’s specific duties or functions within the ongoing operational organization
• Passwords must obey appropriate minimum rules (eg a minimum password length and complexity); passwords have to be changed at regular intervals; initial passwords must be changed immediately; the implementation of the requirements for password length, password complexity, and validity are ensured by technical settings |
3. Controlo de acesso a dados (acesso limitado)
3.1. Direitos de acesso limitados
Medidas para assegurar que o acesso a sistemas e dados é limitado a pessoal autorizado que atua no âmbito da sua autorização.
|
Medidas técnicas
|
Medidas organizativas
|
• A pessoa autorizada para aceder aos dados também tem de se identificar e autenticar perante o sistema de tratamento de dados com base em fatores únicos verificáveis como ID e palavra-passe.
• Todos os ecrãs de computador e de dispositivos estão definidos para modo de proteção do ecrã protegido por palavra-passe automático.
• Na medida em que os dados de várias partes são armazenados na mesma base de dados ou são tratados com o mesmo sistema de tratamento de dados, são fornecidas restrições de acesso lógico destinadas exclusivamente ao tratamento de dados para a parte em causa (multi-tenancy)
• Medidas adicionais de acordo com as secções acima. |
• Um conceito de autorização (direitos de utilizador e de administração) garante que o acesso aos dados no sistema só é permitido na medida do necessário para que o utilizador conclua a tarefa relevante de acordo com a distribuição de tarefas internas do utilizador e a separação de funções; são definidas regras e procedimentos para criar, alterar e eliminar perfis de autorização e funções de utilizador em conformidade com as regras de proteção de dados; as responsabilidades são reguladas.
• Os direitos de acesso são restritos em vários níveis numa base de necessidade de saber de acordo com uma política escrita de direitos de acesso.
• Independentemente das restrições técnicas, os funcionários estão instruídos para não acederem a quaisquer dados não necessários para a sua função.
• As palavras-passe devem obedecer a regras mínimas (por exemplo, um comprimento mínimo e complexidade para a palavra-passe); as palavras-passe têm de ser alteradas a intervalos regulares; as palavras-passe iniciais devem ser alteradas imediatamente, a implementação dos requisitos para comprimento de palavras-passe, complexidade da palavra-passe e a validade são assegurados por definições técnicas.
• Os dados e ficheiros são destruídos ou eliminados regularmente de acordo com uma política de conservação e eliminação de dados de forma a que a reconstrução seja impossível ou não possível sem esforços desproporcionados; a destruição e eliminação são protocoladas; esses protocolos não contêm dados pessoais, mas apenas referências a registos ou ficheiros.
• Medidas adicionais de acordo com as secções acima. |
3.2. Controlo do suporte de dados
Medidas para prevenir o acesso não autorizado a suportes de dados:
|
Technical Measures
|
Organizational Measures
|
• Data are encrypted or password protected in transport, sensitive data are also encrypted or password protected in use
• Additional measures according to the foregoing sections |
• There are records of all data media
• Data media are stored in locked cabinets outside of business hours
• Data media are transported securely
• Data media and documents are disposed of in accordance with DIN 66399 internally or by a certified service provider
• Additional measures according to the foregoing sections |
3.3. Controlo de alterações
Medidas para prevenir o acesso não autorizado a ou o tratamento de dados:
|
Technical Measures
|
Organizational Measures
|
• Data access is logged; sample log files are reviewed regularly
• Additional measures according to the foregoing sections |
The following is recorded:
• Changes of passwords / access rights / roles • Writing access with the following details: user, data, file, and software
• For sensitive data, also reading access
• There is a written policy on the scope and nature of logging, and the retention and review of logs • Additional measures according to the foregoing sections
|
3.4. Controlo de exportação
Medidas para prevenir a exportação não autorizada de dados para fora dos sistemas de TI:
|
Technical Measures
|
Organizational Measures
|
• The internal network is secured by implementation of security gateways at the network transfer points (eg a firewall,
and Intrusion Detection (IDS))
• Data are only transmitted by email or encrypted (VPN, SSL)
• Emails are protocolled in a secure manner
• Additional measures according to the foregoing sections |
• Use of clouds or other processing services requires that a processing agreement has been concluded and the processor audited
• Additional measures according to the foregoing sections |
4. Controlo de transmissão e transporte
Garantir que os dados pessoais não podem ser lidos, copiados, alterados, ou removidos sem autorização durante a transferência eletrónica ou transporte ou quando estão a ser registados em suportes de armazenamento de dados. Da mesma forma, tornar possível apurar e verificar para quais organismos devem ser transferidos dados pessoas utilizando instalações de transmissão de dados.
4.1. Controlo de transmissão
Medidas para assegurar que os destinatários de todas as exportações de dados são registados:
|
Technical Measures
|
Organizational Measures
|
| • Measures according to the foregoing sections |
• All access rights and transmissions are documented in records of processing activities
• Additional measures according to the foregoing sections |
4.2. Controlo de transporte
Medidas para assegurar que os dados são protegidos durante a transmissão e transporte:
|
Technical Measures
|
Organizational Measures
|
• If personal data is transmitted to external systems, encryption is absolutely necessary
• Measures according to the foregoing sections |
• Measures according to the foregoing sections |
5. Protocolos de tratamento
Medidas para assegurar que qualquer registo ou alteração de dados pessoais é protocolada:
|
Technical Measures
|
Organizational Measures
|
| • Measures according to the foregoing sections |
• Measures according to the foregoing sections |
6. Controlo de conformidade do subcontratante
Medidas para assegurar que os subcontratantes ou subcontratantes adicionais tratam os dados apenas de acordo com as instruções do responsável pelo tratamento dos dados:
|
Technical Measures
|
Organizational Measures
|
• Physical or logical separation of data
• Additional measures according to the foregoing sections |
• Training of employees, employees are required to sign formal undertakings
• Written documentation of instructions
• Selection of (sub-) processors and drafting of (sub-) contracts with due diligence; initial and regular auditing of technical and organizational measures
• External service providers must be subject to ongoing supervision when working on IT systems
• Additional measures according to the foregoing sections |
7. Controlo de danos.
7.1. Controlo de disponibilidade.
Medidas para assegurar que os dados estão protegidos contra destruição ou perda:
|
Technical Measures
|
Organizational Measures
|
• All server rooms have climate control, smoke detection, and fire extinguishers; temperature and humidity are regularly checked
• All servers have an uninterruptible power supply (UPS) and are protected against electric overcharge; all servers are configured to automatically shut down in the event of an extended power blackout
• Additional measures according to the foregoing sections |
• Backup and recovery protection, users, log files, and virus scan of servers are reviewed on a daily basis
• The following is regularly reviewed:
uninterruptible power supply (UPS), server room locks
• There is a disaster recovery and business continuity plan in place to continue business in the event of a foreseeable (electricity, fire, water, etc) adverse event
• Additional measures according to the foregoing sections
|
7.2. Recuperação do sistema
Medidas para assegurar que os sistemas são rapidamente restaurados após um evento adverso:
|
Technical Measures
|
Organizational Measures
|
• All data are subject to regular backup
• Important backups are stored off-site
• Additional measures according to the foregoing sections |
• There is a written backup policy specifying scope, intervals, and methods of backing up, number of generations, data media, trans- port, and storage as well as internal responsibilities with respect to backup procedures
• Backups are regularly reviewed
• Additional measures according to the foregoing sections |
7.3. Fiabilidade
Medidas para assegurar que todos os sistemas funcionam corretamente e os erros são detetados:
|
Technical Measures
|
Organizational Measures
|
• The systems conduct automatic plausibility and integrity checks (eg check sum procedures) to detect errors
• The systems protocol errors and overloads of applications (eg storage problems or aborted processes)
• Additional measures according to the foregoing sections |
• All software is checked and approved by the IT department prior to installation
• There is a regular manual review process of systems, data attributes, and process information as well as other material configurations in order to detect errors
• There is a policy in place that requires all errors of the IT or communication systems to be reported and documented (except for errors detected and corrected automatically by the systems)
• There is a policy in place providing that errors may only be corrected by IT personnel and that major changes are tested in a sandbox prior to implementation
• Additional measures according to the foregoing sections |
7.4. Integridade dos dados
Medidas para assegurar que os dados não são corrompidos por avarias do sistema:
|
Medidas técnicas
|
Medidas organizativas
|
• As verificações de integridade dos dados estão incluídas e ativadas por defeito por uma estratégia de cópia de segurança e por um conjunto de ferramentas.
• Teste de penetração e auditorias de segurança executados.
• Medidas de acordo com as secções acima. |
• Estão implementadas políticas e procedimentos de segurança.
• Formação para funcionários sobre regras para introdução e manutenção de dados.
• Medidas de acordo com as secções acima. |
8. Controlo de separação
Medidas para assegurar que os dados recolhidos para diferentes finalidades são claramente separados:
|
Medidas técnica
|
Medidas organizativas
|
• Separação física ou lógica de dados.
• Os ficheiros da empresa são baseados numa localização de armazenamento dedicada, tanto nas instalações como na nuvem.
• As localizações de armazenamento são apenas visíveis e/ou acessíveis por indivíduos com uma autorização de acesso aos respetivos dados.
• Medidas adicionais de acordo com as secções acima. |
• Estão implementadas políticas e procedimentos de segurança.
• Medidas adicionais de acordo com as secções acima. |
9. Organização geral
- Foi nomeado um Encarregado da Proteção de Dados na medida do exigido pela lei. Uma ou mais pessoas na estrutura de gestão ou que reportam diretamente à estrutura de gestão assumiram a responsabilidade pela proteção de dados e pela conformidade da segurança de dados. Uma ou mais pessoas do departamento de TI assumiram a responsabilidade pela implementação de todas as medidas técnicas e organizativas, incluindo a manutenção contínua das respetivas políticas. Existem regulamentos claros sobre as respetivas responsabilidades no departamento de TI.
- Existe uma avaliação de risco escrita e documentada e uma determinação das medidas apropriadas relativamente à proteção de dados (incluindo o conceito de Privacidade desde a conceção, Privacy by Design) e segurança de dados para todos os sistemas e processos.
- Além dos requisitos acima, existem políticas escritas documentadas e regulamentos que asseguram que todo o tratamento cumpre os princípios da legitimidade, justiça e transparência, limitação da finalidade, minimização de dados, exatidão, limitação de armazenamento e integridade e confidencialidade do tratamento. O Subcontratante cumpre com todos os requisitos de responsabilização estatutária e/ou documentação.
- Todos os funcionários foram instruídos e receberam formação sobre os requisitos básicos da proteção de dados e segurança de dados e comprometeram-se com o seu cumprimento.
- Existem procedimentos escritos documentados para assegurar que (a) os titulares de dados podem exercer os seus direitos estatutários relativamente aos seus dados; e (b) os incidentes ou violações são prontamente reportados..
- O departamento TI, em cooperação com o Gabinetede Proteção de Dados conduz regularmente (pelo menos, uma vez por ano) uma análise completa de risco e segurança de todas as medidas técnicas e organizativas e submete um relatório escrito à gestão. A gestão pode ordenar auditorias adicionais, se necessário. Quando se deteta um incumprimento, documentam-se igualmente medidas para resolver tal incumprimento.
