Zabezpečení cloudu

Popis

V článku naleznete přehled zabezpečení, zpracování a ochrany dat v eWay-CRM včetně souladu s GDPR.

V článku je konkrétně popsáno:

  1. Soulad s platnými předpisy o ochraně osobních údajů (GDPR)
  2. Dostupnost smlouvy o zpracování osobních údajů (DPA)
  3. Přehled technických a organizačních opatření (TOMs) pro ochranu dat
  4. Informace o šifrování dat
  5. Umístění hostingu / zpracování dat
  6. Mechanismy řízení přístupu a autorizace
  7. Postupy zálohování a obnovy po havárii
  8. Relevantní certifikace (např. ISO 27001 nebo srovnatelné standardy)

1. Soulad s platnými předpisy o ochraně osobních údajů (GDPR)

eWay-CRM je plně v souladu s GDPR. Jak obchodní podmínky, tak pravidla ochrany osobních údajů výslovně odkazují na dodržování GDPR a související legislativy. Poskytovatel i klient musí dodržovat pravidla GDPR týkající se osobních údajů, včetně získání potřebných souhlasů a zajištění zákonného zpracování.

2. Dostupnost smlouvy o zpracování osobních údajů (DPA)

Smlouva o zpracování osobních údajů (DPA) je k dispozici. Zpracování osobních údajů se řídí obchodními podmínkami a pravidly ochrany osobních údajů a vzor DPA je udržován a může být klientům poskytnut na vyžádání.

3. Přehled technických a organizačních opatření (TOMs) pro ochranu dat

Technická a organizační opatření zahrnují:

  • Využívání zabezpečených datových center (Cloud4com v EU, OVH US v USA)
  • Pravidelné zálohování a ukládání záloh mimo hlavní lokalitu
  • Využití Cloudflare pro dodatečné zabezpečení sítě a ochranu proti DDoS útokům
  • Řízení přístupů na základě rolí a princip minimálních oprávnění
  • Používání ochrany proti malwaru a EDR
  • Aktivní monitoring logů (podobný SIEM)
  • Šifrování koncových zařízení
  • Pravidelné revize procesů
  • Certifikace ISO 27001

4. Informace o šifrování dat

  • Data jsou při přenosu šifrována pomocí HTTPS (TLS)
  • Data na serverech nejsou uložena v šifrované podobě

5. Umístění hostingu / zpracování dat

Umístění dat závisí na lokalitě klienta:

  • USA / Kanada: data jsou hostována ve Virginii, USA (OVH US)
  • EU a ostatní: data jsou hostována v Praze, Česká republika (Cloud4com)

6. Mechanismy řízení přístupu a autorizace

Přístup je přísně řízen:

  • Implementován je přístup na základě rolí, princip minimálních oprávnění, autentizace a auditní logování
  • K produkčním systémům mají přístup pouze oprávněné osoby

7. Postupy zálohování a obnovy po havárii

  • Zálohy jsou vytvářeny pravidelně
  • Zálohy jsou uchovávány po dobu 2–3 týdnů a zároveň ukládány mimo hlavní lokalitu
  • Obnova systému je možná ze záloh
  • eWay-CRM Desktop podporuje offline režim, který umožňuje obnovu z lokální databáze

8. Relevantní certifikace (např. ISO 27001 nebo srovnatelné standardy)

  • eWay-CRM je držitelem certifikace ISO 27001. Certifikát je k dispozici zde.
  • Naši hostingoví partneři (OVH, Cloud4com) rovněž disponují certifikací ISO 27001 a dalšími.