Zasady ochrony danych i prywatności Usługi Przetwarzania w Chmurze IBM

Podobne dokumenty
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Załącznik dotyczący Opcji Serwisowych nabywanych od Partnera Handlowego IBM - Doradca Techniczny ds. Pamięci Masowej

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

CSA STAR czy można ufać dostawcy

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Certified IT Manager Training (CITM ) Dni: 3. Opis:

POLITYKA BEZPIECZEŃSTWA

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Umowa powierzenia danych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Zakres Prac dotyczący świadczenia Usług - Wsparcie w zakresie rozszerzonego serwisu i5/os V5R4

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Oferta IBM Kenexa Talent Framework

Opis Usługi Przetwarzania w Chmurze IBM IBM Intelligent Operations Center on IBM SmartCloud

Marcin Soczko. Agenda

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Szczegółowe informacje o kursach

Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Dla celów niniejszej Umowy powierzenia, CENOBITZ.COM działa jako Podmiot przetwarzający a Klient jako Administrator.

POLITYKA E-BEZPIECZEŃSTWA

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Wersja z dnia

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Bezpieczeństwo systemów i lokalnej sieci komputerowej

PRELEGENT Przemek Frańczak Członek SIODO

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Rozdział I Zagadnienia ogólne

Szkolenie otwarte 2016 r.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Umowa powierzenia przetwarzania danych osobowych nr...

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

SPIS TREŚCI 1.0 Systemy i dokumentacja 2.0 Środowisko pracy 3.0 Szkolenia 4.0 Zagrożenia dla zdrowia i wypadki przy pracy

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Ochrona danych osobowych w biurach rachunkowych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Wsparcie Klienta w zakresie Pamięci Masowej

PISMO OKÓLNE. Nr 8/2013. Rektora Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. z dnia 30 sierpnia 2013 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Opis Usługi Przetwarzania w Chmurze IBM IBM PureApplication Service Infrastructure

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Załącznik nr 4 Warunki przetwarzania danych osobowych. I. Niniejszy dokument ( Warunki przetwarzania danych osobowych ):

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Rozwiązania biznesowe na żądanie. IBM Workplace Services Express

WARUNKI ŚWIADCZENIA USŁUG POMOCY TECHNICZNEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

UMOWA POWIERZENIA PRZETWARZANIA DANYCH (zwana dalej Umową )

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Polityka Bezpieczeństwa ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Kompleksowe Przygotowanie do Egzaminu CISMP

POLITYKA OCHRONY DANYCH OSOBOWYCH W ASPEKT LABORATORIUM SP. Z O.O. Z DNIA 25 MAJA 2018 R.

POLITYKA BEZPIECZEŃSTWA DANYCH

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Załacznik do Opcji Serwisowej nabywanej od Partnera Handlowego IBM Rozszerzenie serwisu produktu AIX 5.3

Informatyka w kontroli i audycie

Prelegent : Krzysztof Struk Stanowisko: Analityk

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Ochrona biznesu w cyfrowej transformacji

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Maciej Byczkowski ENSI 2017 ENSI 2017

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

PARTNER.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

Transkrypt:

Zasady ochrony danych i prywatności Usługi Przetwarzania w Chmurze IBM

2 Zasady ochrony danych i prywatności: usługi przetwarzania w chmurze IBM Spis treści 2 Przegląd 3 Nadzór nad realizacją 3 Strategie bezpieczeństwa 3 Mechanizmy kontroli przesyłania i separacji danych, uzyskiwania do nich dostępu i wprowadzania w nich zmian 4 Mechanizmy kontroli integralności i dostępności usługi 4 Rejestrowanie działań oraz mechanizmy kontroli danych wejściowych 5 Bezpieczeństwo fizyczne, kontrola fizycznego dostępu 5 Mechanizmy kontroli przetwarzania danych 5 Zachowanie zgodności 5 Zewnętrzne podmioty przetwarzające dane Przegląd Usługi przetwarzania w chmurze IBM obejmują oferty w zakresie infrastruktury, platform i oprogramowania. W przypadku każdej usługi przetwarzania w chmurze są stosowane techniczne i organizacyjne mechanizmy ochrony danych i prywatności zgodnie ze strategią IBM dotyczącą architektury oraz przeznaczenia i typu świadczonej usługi. Rysunek 1 przedstawia ogólny podział obowiązków w odniesieniu do każdego typu usługi. Usługi Przetwarzania w Chmurze IBM IaaS Infrastruktura Legenda Aplikacje Platforma Zarządzane przez Klienta PaaS Aplikacje Platforma Infrastruktura Rysunek 1. Typy ofert usług przetwarzania w chmurze IBM Oferty w zakresie infrastruktury jako usługi (IaaS) zapewniają zasoby obliczeniowe, na których klienci mogą wdrażać wybrane przez siebie oprogramowanie, takie jak systemy operacyjne, środowiska wykonawcze, oprogramowanie pośrednie i aplikacje, oraz używać go. Klienci korzystający z infrastruktury jako usługi SaaS Aplikacje Platforma Infrastruktura Zarządzane przez IBM odpowiadają za aplikacje, treści, środowiska wykonawcze, oprogramowanie pośrednie i systemy operacyjne, które wdrażają w rozwiązaniu IaaS, w tym za wdrożenie innych niż fizyczne mechanizmów ochrony danych i prywatności oraz zarządzanie nimi. Oferty IBM w zakresie platformy jako usługi (PaaS) umożliwiają klientom tworzenie i wdrażanie aplikacji działających w chmurze wykorzystujących systemy, sieci, pamięć masową, struktury środowisk wykonawczych, biblioteki oraz narzędzia do integracji i zarządzania, które mogą stanowić część usługi, oraz zarządzanie takimi aplikacjami. Klienci korzystający z platformy jako usługi mogą zarządzać aplikacjami i treściami wdrożonymi w rozwiązaniu PaaS, co obejmuje również wdrożenie mechanizmów ochrony danych i prywatności dla aplikacji i danych oraz zarządzanie takimi mechanizmami. Oferty IBM w zakresie oprogramowania jako usługi (SaaS) zapewniają dostęp do standardowych aplikacji działających w środowiskach przetwarzania w chmurze, których wdrożeniem, administrowaniem, eksploatacją, konserwacją i zabezpieczaniem zarządza IBM. Usługi obejmują bazowe oprogramowanie pośrednie, platformy i infrastrukturę. Klienci korzystający z oprogramowania jako usługi pozostają odpowiedzialni za zarządzanie kontami swoich użytkowników końcowych, odpowiednie używanie oferty usług IBM SaaS oraz przetwarzane przez siebie dane, zgodnie z warunkami umowy o świadczenie usług przetwarzania w chmurze. Biorąc pod uwagę własne wymagania, klienci korzystający z oprogramowania jako usługi są odpowiedzialni za ocenę przydatności standardowych mechanizmów ochrony danych i prywatności wdrażanych przez IBM. W przypadku każdej usługi przetwarzania w chmurze, niezależnie od jej typu, konkretne obowiązki IBM w zakresie zarządzania są określone w stosownej umowie dotyczącej danej oferty usług. Mechanizmy ochrony danych i prywatności zaprojektowane między innymi z myślą o obronie usług przetwarzania w chmurze IBM przed

Zasady ochrony danych i prywatności: usługi przetwarzania w chmurze IBM 3 czynnikami ryzyka, takimi jak przypadkowa utrata danych, dostęp bez uprawnień i używanie danych klienta bez zezwolenia, są określone w opisie danej usługi, który zawiera również ewentualne dostępne konfigurowalne opcje i usługi dodatkowe. Niniejszy dokument pt. Zasady ochrony danych i prywatności opisuje nadrzędne strategie i procedury IBM, które są włączone do każdego opisu usługi przez przywołanie. Nadzór nad realizacją Za opracowywanie strategii bezpieczeństwa informatycznego IBM, opartych na konkretnych instrukcjach korporacyjnych, oraz za zarządzanie nimi odpowiada zespół dyrektora ds. informatyki. Strategie te stanowią integralny element działalności IBM. Zachowanie zgodności z wewnętrznymi strategiami informatycznymi jest obowiązkowe i podlega kontroli. Strategie bezpieczeństwa Strategie bezpieczeństwa informacji IBM są przeglądane i udoskonalane co najmniej raz na rok, tak aby nie pozostać w tyle za najnowszymi zagrożeniami i być na bieżąco z aktualizacjami powszechnie uznawanych standardów międzynarodowych, takich jak ISO/IEC 27001 i 27002. W przypadku wszystkich nowo zatrudnionych pracowników, w tym pracowników tymczasowych, IBM przestrzega wszelkich wymagań w zakresie weryfikacji zatrudnienia. Wymagania te mają również zastosowanie do w pełni kontrolowanych przedsiębiorstw podporządkowanych i spółek typu joint venture. Wymagania te mogą podlegać zmianom i obejmują w szczególności sprawdzenie niekaralności, weryfikację tożsamości i inne kroki, jeśli kandydat wcześniej pracował dla instytucji rządowej. Każda spółka IBM odpowiada za spełnienie tych wymagań w procesie zatrudnienia, zgodnie z obowiązującym prawem krajowym. Pracownicy IBM są zobowiązani do corocznego uczestnictwa w kursach dotyczących ochrony danych i prywatności oraz do uzyskania certyfikatu potwierdzającego spełnianie obowiązujących w IBM wymagań w zakresie etyki biznesowej, poufności i bezpieczeństwa, zgodnie z postanowieniami dokumentu Zasady prowadzenia działalności handlowej przez IBM. Incydenty związane z bezpieczeństwem są obsługiwane zgodnie ze strategiami zarządzania incydentami i reagowania na nie, z uwzględnieniem wymagań dotyczących powiadomień o naruszeniu danych według obowiązującego prawa. Główne funkcje w zakresie globalnego zarządzania incydentami związanymi z cyberbezpieczeństwem są wykonywane przez zespół IBM CSIRT (Computer Security Incident Response Team). Zespół CSIRT składa się z menedżerów ds. incydentów z całego świata oraz z analityków sądowych. Kieruje nim dyrektor IBM ds. bezpieczeństwa informacji. Podstawę globalnych procesów IBM w zakresie zarządzania incydentami związanymi z bezpieczeństwem stanowią Wytyczne Narodowego Instytutu Standaryzacji i Technologii (National Institute of Standards and Technology, NIST), podległego Departamentowi Handlu Stanów Zjednoczonych, dotyczące obsługi incydentów związanych z bezpieczeństwem komputerów. Zespół CSIRT współpracuje z innymi działami IBM w celu analizowania incydentów i w razie potrzeby opracowywania oraz wdrażania odpowiednich planów reagowania na nie. W przypadku stwierdzenia wystąpienia incydentu związanego z bezpieczeństwem IBM niezwłocznie powiadomi o tym fakcie klientów korzystających z usług przetwarzania w chmurze, których dotyczy incydent. Mechanizmy kontroli przesyłania i separacji danych, uzyskiwania do nich dostępu i wprowadzania w nich zmian Architektura usług przetwarzania w chmurze IBM utrzymuje logiczną separację danych swoich klientów. Zgodnie z celem umowy zasady i mechanizmy wewnętrzne odseparowują przetwarzanie danych, tzn. wstawianie,

4 Zasady ochrony danych i prywatności: usługi przetwarzania w chmurze IBM modyfikowanie, usuwanie i przesyłanie danych. Dostęp do danych klienta, w tym do jakichkolwiek danych osobowych, ma tylko upoważniony personel, zgodnie z zasadami rozdziału obowiązków, podlegającemu ścisłej kontroli zgodnie ze strategią dotyczącą identyfikacji i zarządzania dostępem. Dostęp ten jest monitorowany zgodnie z wytycznymi programu IBM dotyczącego monitorowania i kontrolowania wewnętrznych użytkowników uprzywilejowanych. Upoważnienie do uzyskiwania dostępu do danych poufnych jest przyznawane przez IBM indywidualnie, w oparciu o role, i jest ono okresowo kontrolowane. Dostęp do danych klienta jest ograniczony do poziomu wymaganego do świadczenia usług i wsparcia dla klienta (tzn. najniższe wymagane uprawnienie). Przesyłanie danych w obrębie sieci IBM jest realizowane za pośrednictwem infrastruktury przewodowej (bez połączeń bezprzewodowych) i jest zabezpieczone firewallami. Na życzenie lub w momencie zakończenia świadczenia usługi, zgodnie z warunkami umowy o świadczenie usług przetwarzania w chmurze, dane klienta zostaną uznane za niemożliwe do odzyskania, zgodnie z wytycznymi NIST odnośnie do sanityzacji nośników. Mechanizmy kontroli integralności i dostępności usługi Przed udostępnieniem wersji produkcyjnej usługi przetwarzania w chmurze IBM są poddawane testom penetracji i skanowaniu pod kątem słabych punktów zabezpieczeń. Ponadto testowanie penetracji, skanowanie pod kątem słabych punktów zabezpieczeń i etyczne hakerstwo są wykonywane regularnie przez IBM i upoważnione, niezależne inne firmy. Modyfikacje zasobów systemu operacyjnego i oprogramowania aplikacji muszą przebiegać zgodnie ze strategiami zarządzania zmianami IBM. Zmiany reguł firewalla i urządzeń sieciowych również podlegają tym strategiom, a przed wdrożeniem są odrębnie przeglądane przez pracowników działu bezpieczeństwa. Usługi centrum przetwarzania danych IBM obsługują wiele protokołów przesyłania danych w sieciach publicznych, takich jak HTTPS, SFTP oraz FTPS. IBM systematycznie monitoruje zasoby centrum przetwarzania danych produkcyjnych w trybie 24x7. Upoważnieni administratorzy regularnie skanują systemy wewnętrzne i zewnętrzne pod kątem słabych punktów zabezpieczeń, co pomaga w wykrywaniu i usuwaniu potencjalnych zagrożeń. Każda usługa przetwarzania w chmurze IBM jest objęta planami utrzymania ciągłości biznesowej i usuwania skutków katastrofy, które są opracowywane, utrzymywane, weryfikowane i sprawdzane zgodnie z normą ISO 27002 (Praktyczne zasady zarządzania bezpieczeństwem informacji). Dla każdej usługi przetwarzania w chmurze są określane wskaźniki RPO (Recovery Point Objective) i RTO (Recovery Time Objective) zgodnie z architekturą usługi i jej zastosowaniem. Wskaźniki te są zawarte w opisie usługi lub innym dokumencie transakcyjnym. Kopie zapasowe danych, które mają być przechowywane poza siedzibą przedsiębiorstwa, są szyfrowane przed transportem. Ponadto są prowadzone i kontrolowane czynności związane z zarządzaniem konfiguracją i poprawkami. Infrastruktura IBM jest objęta scenariuszami planowania awaryjnego, takimi jak usuwanie skutków awarii i zapis lustrzany w przypadku dysków SSD. Plany ciągłości biznesowej w odniesieniu do infrastruktury IBM są dokumentowane i regularnie odnawiane. Rejestrowanie działań oraz mechanizmy kontroli danych wejściowych Strategia IBM wymaga rejestrowania i monitorowania czynności i uzyskiwania dostępu administracyjnego w środowiskach usług przetwarzania w chmurze. Dzienniki muszą być archiwizowane i przechowywane zgodnie z ogólnoświatowym planem IBM dotyczącym zarządzania rekordami. Zmiany w produkcyjnych usługach przetwarzania w chmurze są rejestrowane i

Zasady ochrony danych i prywatności: usługi przetwarzania w chmurze IBM 5 zarządzane zgodnie ze strategią IBM w zakresie zarządzania zmianami. Bezpieczeństwo fizyczne, kontrola fizycznego dostępu IBM przestrzega standardów bezpieczeństwa fizycznego, których celem jest ograniczenie fizycznego dostępu do zasobów centrum przetwarzania danych bez odpowiedniego zezwolenia. Liczba punktów wejścia do centrów przetwarzania danych IBM jest ograniczona. Wszystkie takie punkty są wyposażone w czytniki kart dostępu i nadzorowane przez kamery. Dostęp ma jedynie upoważniony personel. Obszary dostaw, rampy załadowcze i inne miejsca, na teren których mogą wejść osoby nieupoważnione, są ściśle kontrolowane. Terminy dostaw są ustalane z wyprzedzeniem i wymagają zatwierdzenia przez upoważniony personel. Pracownicy inni niż pracownicy obsługi, w tym obsługi pomieszczeń, i ochrony są rejestrowani przy wejściu na teren centrum i mogą w nim przebywać tylko w towarzystwie upoważnionego pracownika IBM. zgodności ze standardami bezpieczeństwa informacji. Ponadto we wszystkich produkcyjnych centrach przetwarzania danych IBM raz na rok niezależne firmy zewnętrzne przeprowadzają kontrole zachowania zgodności ze standardami branżowymi. Zewnętrzne podmioty przetwarzające dane Usługi przetwarzania w chmurze IBM mogą wymagać zapewnienia dostępu do danych klienta zewnętrznym podmiotom przetwarzającym dane w celu umożliwienia im wykonywania ich obowiązków. Jeśli taki zewnętrzny podmiot przetwarzający dane jest zaangażowany w świadczenie usługi przetwarzania w chmurze, informacje o nim i jego roli zostaną udostępnione na życzenie. IBM wymaga od wszystkich zewnętrznych podmiotów przetwarzających dane stosowania się do norm, procedur i strategii pozwalających utrzymać ogólny poziom ochrony danych i prywatności zapewniany przez IBM. Pracownicy, z którymi rozwiązano stosunek pracy, są usuwani z listy dostępu i są zobowiązani do zwrotu posiadanych kart identyfikacyjnych. Każde użycie kart identyfikacyjnych jest rejestrowane. Mechanizmy kontroli przetwarzania danych Przetwarzanie danych jest realizowane zgodnie z umową dotyczącą oferty usług, w której IBM określa warunki, funkcjonalność, obsługę i konserwację oferowanej usługi przetwarzania w chmurze oraz zabezpieczeń koniecznych do zapewnienia poufności, integralności i dostępności danych klienta. Zachowanie zgodności Standardy bezpieczeństwa informacji oraz procedury zarządzania IBM dla usług przetwarzania w chmurze są zgodne z normą ISO/IEC 27001 w zakresie zarządzania bezpieczeństwem informacji oraz z normą ISO/IEC 27002 (Praktyczne zasady zarządzania bezpieczeństwem informacji). IBM regularnie przeprowadza oceny i audyty dotyczące

6 Zasady ochrony danych i prywatności: usługi przetwarzania w chmurze IBM Copyright IBM Corporation 2016 IBM Corporation Route 100 Somers, NY 10589, Stany Zjednoczone Wyprodukowano w Stanach Zjednoczonych Kwiecień 2016 IBM, logo IBM oraz ibm.com są znakami towarowymi lub zastrzeżonymi znakami towarowymi International Business Machines Corp., zarejestrowanymi w wielu systemach prawnych na całym świecie. Nazwy innych produktów lub usług mogą być znakami towarowymi IBM lub innych podmiotów. Aktualna lista znaków towarowych IBM dostępna jest w serwisie WWW IBM, w sekcji Copyright and trademark information (Informacje o prawach autorskich i znakach towarowych), pod adresem ibm.com/legal/copytrade.shtml. Niniejszy dokument jest aktualny w dniu jego publikacji, a jego treść może zostać zmieniona przez IBM w dowolnym czasie. Produkty IBM są objęte gwarancją zgodnie z warunkami umowy, na mocy której są one dostarczane. Do powtórnego przetworzenia

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres