Vispārīgie noteikumi
Zone misija ir nodrošināt vienkāršus, ātrus un uzticamus risinājumus informācijas pārraidei un apstrādei internetā.
Informācijas drošībai ir izšķiroša nozīme mūsu uzņēmuma misijas sasniegšanā, un Zone vadība un darbinieki ir apņēmušies uzturēt uzņēmuma un tā klientu informācijas aktīvu konfidencialitāti, integritāti un pieejamību.
Piemēram, apstrādājot personas datus, mums ir divas vienlīdz svarīgas lomas – atkarībā no konteksta mēs varam būt personas datu pārzinis vai apstrādātājs .
Vispārīgās datu aizsardzības regulas kontekstā mūsu galvenais uzdevums ir ieviest pietiekamus tehniskos un organizatoriskos drošības pasākumus mūsu pakalpojumiem un infrastruktūrai (hostinga vieta, serveri, tīkla iekārtas u. c.), lai nodrošinātu, ka klientu apstrādātie dati tiks aizsargāti pret nejaušu vai nelikumīgu dzēšanu, neatļautu piekļuvi vai izpaušanu.
Šī informatīvā lapa sniedz jums pārskatu par to, kas jādara, lai nodrošinātu mūsu infrastruktūrā apstrādāto datu (tostarp personas datu) drošību.
Ir ārkārtīgi svarīgi, lai jūs iepazītos ar šo lapu, jo Eiropas Parlamenta un Padomes Regula 2016/679 (Vispārīgā datu aizsardzības regula) nosaka sekojošo:
Ja personas datus apstrādā pārziņa vārdā, pārzinis izmanto tikai tādus apstrādātājus, kas sniedz pietiekamas garantijas, lai īstenotu tehniskos un organizatoriskos pasākumus tādā veidā, ka apstrāde atbilst Regulas prasībām un tiek nodrošināta datu subjekta tiesību aizsardzība.
Pārzinis – tas nozīmē jūs. Jums būs jāpārliecinās, ka mēs kā apstrādātājs aizsargājam mūsu organizāciju, pakalpojumus un infrastruktūru (hostinga vietu, aparatūru, programmatūru, datu sakaru tīklus un citus resursus) saskaņā ar tiesību aktu prasībām un nozares labāko praksi. Protams, jums arī jāzina, kādi ir jūsu pienākumi un atbildība personas datu apstrādes laikā.
Pakalpojumu būtība
Sāksim ar vispārīgu mūsu pakalpojumu aprakstu.
Lietojot mūsu pakalpojumus, jums jāatceras, ka būtisku daļu pakalpojumu mēs sniedzam klientiem kā universālus mākoņpakalpojumus. Tas nozīmē, ka šie pakalpojumi pēc noklusējuma nav individuāli pielāgoti jums, bet atbilst vispārējām tirgus prasībām. Tomēr ir iespējamas arī individuālas vienošanās un pielāgojumi.
Kā mākoņpakalpojumu sniedzējam mums nav kontroles pār datiem, ko jūs augšupielādējat mūsu infrastruktūrā vai tajā apstrādājat. Tas nozīmē, ka pēc noklusējuma mēs nezinām, vai mūsu pakalpojumi tiek izmantoti personas datu apstrādei, kādi personas dati tiek apstrādāti un vai šāda apstrāde ir likumīga. Ja nepieciešams, jums pašam būs jānovērtē datu apstrādes ietekme un tās atbilstība piemērojamajiem tiesību aktiem.
Pakalpojumu klases
Lielākā daļa Zone piedāvāto pakalpojumu tiek klasificēti kā mākoņpakalpojumi. Tie balstās uz šādiem galvenajiem mākoņpakalpojumu modeļiem:
- ‘Software as a Service’ (SaaS) nodrošina klientam gatavu lietojumprogrammu;
- ‘Platform as a Service’ (PaaS) nodrošina nosacījumus, kas nepieciešami lietojumprogrammas pārvaldībai;
- ‘Infrastructure as a Service’ (IaaS) piedāvā klientam virtuālos serverus savas platformas izveidei.
Zone un klienta pienākumu apjoms šo modeļu ietvaros atšķiras atkarībā no izvēlētā pakalpojuma. Mēs to esam aprakstījuši arī katra mūsu pakalpojuma informatīvajā lapā sadaļā “Atbildības sadalījums”.
Šis attēls sniedz vispārīgu pārskatu:
E-pasts, DNS un ZoneCloud, kas iekļauti virtuālā servera pakalpojumā, ir SaaS pakalpojumi, un Zone atbildība attiecas arī uz lietojumprogrammu slāni.
Ir svarīgi atcerēties, ka piekļuves datu, lietojumprogrammu un datu pārsūtīšanas drošība gandrīz vienmēr pēc noklusējuma ir klienta atbildības jomā.
Pakalpojumu piegādes modeļi
Tiek izmantoti trīs pakalpojumu piegādes modeļi:
- Koplietošana;
- Individuāla lietošana;
- Hibrīda lietošana.
Koplietošana nozīmē, ka vairākas organizācijas izmanto vienus un tos pašus serverus. Tādi pakalpojumi kā Virtual Server, Cloud Server VPS, Cloud Server Pro un Smart Cloud Server ir balstīti uz koplietošanu. Šie pakalpojumi maksā mazāk, taču tie ietver arī lielākus riskus nekā individuāla lietošana – papildu riski galvenokārt ir saistīti ar citiem pakalpojuma lietotājiem.
Piemēram, koplietošanas gadījumā pastāv iespēja, ka kāds klients, pārmērīgi izmantojot resursus, var negatīvi ietekmēt citu klientu vietņu pieejamību. Zone ir ilga pieredze koplietošanas pakalpojumu sniegšanā, un līdzekļi šāda riska mazināšanai jau ir iekļauti mūsu programmatūras platformā, taču koplietojamā vidē nav iespējams 100% novērst riskus, kas saistīti ar resursu pieejamību.
Individuālas lietošanas gadījumā serveri ir tikai viena klienta rīcībā. Individuāla lietošana tiek piemērota Private Server un daļēji arī Smart Private Server pakalpojumiem, kuros klients saņem garantētus privātā servera resursus savam lietojumam. Individuālas lietošanas gadījumā klients nedala servera resursus ar citiem klientiem, kas būtiski mazina riskus, kas saistīti ar pakalpojuma pieejamību un datu konfidencialitāti. Turklāt individuāla lietošana ļauj pēc nepieciešamības ieviest klientam pielāgotus informācijas drošības pasākumus serverī(-os).
Individuālas lietošanas galvenā priekšrocība ir tā, ka potenciāla incidenta gadījumā pakalpojuma atjaunošana konkrētajam klientam būs prioritāte. Koplietošanas gadījumā galvenā nozīme būs vairākuma klientu interesēm. Neliels individuālas lietošanas trūkums ir augstāka cena.
Hibrīdas lietošanas gadījumā dažādiem pakalpojuma komponentiem var tikt izmantoti atšķirīgi modeļi. Hibrīda modelis pēc noklusējuma tiek piemērots Smart Private Server pakalpojumam, kur serveris, kas apkalpo tīmekļa lietojumprogrammas un datubāzi, ir paredzēts tikai vienam klientam, bet e-pasta un DNS pakalpojumi koplieto resursus ar citiem klientiem. Īpašu risinājumu gadījumā šis sadalījums, protams, var atšķirties – pēc pieprasījuma mēs varam piedāvāt arī privātus e-pasta serverus u. c.
Informācijas drošība Zone
Informācijas drošības process un organizācija
Primāri svarīgi ir, lai organizācija būtu veltīta informācijas drošībai. Šim nolūkam mūsu vadība ir izstrādājusi Informācijas drošības politiku, kas tiek īstenota visā uzņēmumā – noteikto principu ievērošana tiek sagaidīta no Zone vadītājiem, darbiniekiem un arī līgumslēdzējiem, jo viņi piedalās mūsu uzņēmuma darbībā. Politikas aktualitāte tiek izvērtēta vismaz reizi gadā.
Par Informācijas drošības politikas sagatavošanu, papildināšanu un ieviešanu atbild Informācijas drošības speciālists.
Informācijas drošības speciālistu viņa darbā atbalsta plaša informācijas drošības komanda un Datu aizsardzības speciālists. Informācijas drošības procesā, protams, ir iesaistītas visas struktūrvienības un darbinieki.
Mēs esam izstrādājuši savu Informācijas drošības politiku saskaņā ar standartu ISO/IEC 27001:2014 un mūsu nākotnes mērķis ir stiprināt atbilstību standartam, iziet arī oficiālo sertifikācijas procesu.
Zone pārvaldīs informācijas drošības riskus balstoties uz standarta ISO/IEC 27005:2014 ieteikumiem un izmantos kvalitatīvas, aktīvos balstītas riska svēršanas metodes.
Klienta informācijas aktīvu drošības līmenis
Klients ir atbildīgais īpašnieks klienta informācijas aktīviem (failiem, datubāzēm, e-pastiem u. c.), kas tiek glabāti un apstrādāti Zone IT sistēmās.
Klienta informācijas aktīvu drošības līmenis mūsu iekšējās sistēmās ir ‘konfidenciāls’, kas definēts šādi: informācijas izmantošana ir atļauta tikai noteiktām konkrētām lietotāju grupām, piekļuve informācijai ir atļauta leģitīmas intereses gadījumā personai, kas pieprasa piekļuvi (piem., ja tas ir nepieciešams darba pienākumu izpildei).
Zone iekšēji piemērotais drošības līmenis automātiski netiek pārnests ārpus uzņēmuma. Klientam ir jāglabā, jāapstrādā un jāpārsūta sava informācija Zone IT sistēmās saskaņā ar drošības līmeņiem, ko Klients ir noteicis saviem informācijas aktīviem, kā arī ar svērtiem riskiem, un attiecīgi jāorganizē drošības pasākumu ieviešana.
Mēs nekad nepārdodam nevienam datus, kas augšupielādēti Zone infrastruktūrā, ko augšupielādējuši klienta lietotāji vai kas izveidoti serverī klientam izmantojot pakalpojumu, un mēs neizmantosim šādus datus bez klienta atļaujas savās tiešajās ekonomiskajās interesēs. Zone apstrādās šādus datus tikai tādā apjomā, kāds nepieciešams pakalpojumu sniegšanai vai ar to saistītam lietotāju atbalstam.
Personas datu aizsardzība Zone
Lai veiktu personas datu aizsardzības uzraudzību, mēs esam izveidojuši Datu aizsardzības speciālista amatu, un persona, kas ieņem šo amatu, ir izgājusi arī Datu valsts inspekcijas atzītu apmācību programmu.
Mēs uzturam uzskaiti par apstrādātajiem personas datiem, kā arī par apstrādes ietekmi uz šiem datiem.
Papildu informācija par personas datu apstrādi ir pieejama Zone Media OÜ Privātuma politikā.
Datu atrašanās vieta
Mēs sniedzam savus pakalpojumus fiziski drošos apstākļos. Zone izmantotie datu centri atrodas Eiropas Savienības teritorijā.
Lai mazinātu informācijas drošības, noturības un biznesa riskus un piedāvātu klientiem unikālas iespējas, mūsu infrastruktūra ir sadalīta starp 5 datu centriem, no kuriem 4 atrodas Tallinā, Igaunijā, un 1 atrodas Amsterdamā, Nīderlandē. Infrastruktūras hostinga jomā Zone sadarbojas ar atzītiem partneriem, piemēram, Equinix, Linxtelecom, Telia un Elisa.
Zone izmantotie datu centri atrodas ēkās, kas būvētas vai pielāgotas īpaši informācijas un sakaru tehnoloģiju iekārtu izvietošanai, un ir nodalītas no publiskās telpas. Iekārtas atrodas telpās, kas norobežotas ar drošības žogu, vai slēdzamos iekārtu skapjos. Piekļuve ir ierobežota personām, kurām piekļuve nepieciešama darba pienākumu dēļ.
Datu centri ir aprīkoti ar drošības kamerām un signalizācijas sistēmām, un tiek uzturēts žurnāls par iekļūšanu centros. Centros tiek izmantota automatizēta ugunsgrēka trauksmes sistēma un automatizēta gāzes ugunsdzēšanas sistēma.
Lai uzturētu temperatūru un relatīvo gaisa mitrumu serveriem un datu sakaru iekārtām piemērotā līmenī, visos datu centros ir dzesēšanas iekārtas un sistēmas.
Lai nodrošinātu uzticamāku elektroapgādi, visas Zone iekārtas ir pieslēgtas nepārtrauktās barošanas avotam (UPS), un ēkās ir elektroģeneratori.
Lai nodrošinātu pieejamību, visos datu centros ir iekārtu un tehnisko sistēmu rezerves.
Teritorijas, kur atrodas Zone izmantotās ēkas, nav pakļautas būtiskiem riskiem, kas saistīti ar laikapstākļiem vai vietējo ģeoloģiju, un iepriekš šādu apstākļu dēļ datu centriem nav nodarīti bojājumi.
Datu sakari
Lai mazinātu informācijas drošības, noturības un biznesa riskus un nodrošinātu klientiem unikālas iespējas, Zone sadarbojas ar vairākiem uzticamiem telekomunikāciju uzņēmumiem. Zone datu sakaru partneri ir Cogent Communications, Level3 Communications, Linxtelecom, Telia un Elisa.
Igaunijā Zone paralēli izmanto trīs, bet Nīderlandē – divus interneta tranzīta savienojumus; savienojumu dublēšana nodrošina, ka klientiem ir savienojamība pat viena savienojuma atteices vai apkopes darbu laikā.
Zone ir izveidojis unikālu privātu reģionālo tīklu starp Igaunijas hostinga centriem, lai papildus pārvaldītu riskus pakalpojumu pieejamībai, kas izriet no ārējiem apstākļiem. Datu centri, kas nodrošina serveru pakalpojumus, vienlaikus ir savienoti ar diviem citiem centriem – izveidotā tīkla konfigurācija ļauj saglabāt savienojamību centrā pat viena savienojuma atteices vai apkopes laikā.
Turklāt Zone ir savienots ar daudziem telekomunikāciju uzņēmumiem un interneta pakalpojumu sniedzējiem Igaunijā, izmantojot divus galvenos Igaunijas interneta apmaiņas punktus – TLLIX un RTIX.
Zone nodrošinās, ka normālos apstākļos pārraides savienojumi būs nepietiekami noslogoti un nepieciešamības gadījumā būs viegli pieejami papildu resursi.
Lai pārvaldītu specifiskus riskus, kas izriet no pakalpojuma atteices (DoS) uzbrukumiem, Zone ir aprīkojis savus interneta savienojumus ar speciālu aprīkojumu, kas mazina uzbrukumu negatīvo ietekmi.
Datu rezerves kopēšana
Zone veiks rezerves kopijas serveriem, kas saistīti ar Zone administrētajiem pakalpojumiem, balstoties uz šādiem noteikumiem:
- tīmekļa serverī esošo failu, SQL datubāzu un pastkastīšu rezerves kopija jāizveido vismaz reizi dienā;
- rezerves kopijai jābūt izmantojamai jebkuru rezerves kopijā iekļauto datu atjaunošanai vismaz 14 dienas pēc brīža, kad rezerves kopija tika izveidota;
- rezerves kopijas pēc nepieciešamības jāizveido pirms būtiskiem programmatūras atjauninājumiem vai izmaiņām, kas var apdraudēt datu integritāti.
Mēs glabājam rezerves kopijas serveriem, kas tiek izmantoti Zone administrēto pakalpojumu nodrošināšanai, atsevišķi no ražošanas vides.
Individuālas lietošanas pakalpojumu gadījumā ir iespējams pielāgot rezerves kopēšanas politiku klienta vajadzībām.
Kā klientam jums jāņem vērā, ka datu atjaunošanas laiks ir tieši atkarīgs no datu rakstura un apjoma, un koplietošanas gadījumā to ietekmē arī citi klienti, kas izmanto to pašu resursu.
Uzraudzība
Zone uzraudzīs serveru, kas nodrošina pakalpojumus, darbību 24 stundas diennaktī un 7 dienas nedēļā.
Cita starpā Zone uzrauga jebkādas norādes uz platformas vai klienta pakalpojumu kompromitēšanu, tostarp nezināmu procesu palaišanu, negaidītu tīkla portu atvēršanu, lietotāju aktivitāti, surogātpasta sūtīšanu u. c.
Aktīvā uzraudzība notiek darba dienās no 08.30-17.30. Aktīvās uzraudzības laikā Zone Media darbinieki reāllaikā seko uzraudzības sistēmas izvadei, un papildus uzraudzības sistēma informē Zone tehniķus, izmantojot mobilo sakaru tīklu. Uz incidentiem tiek reaģēts bez kavēšanās.
Pasīvā uzraudzība notiek darba dienās no 17.30-08.30 un brīvdienās 24 stundas. Pasīvās uzraudzības laikā uzraudzības sistēma informē Zone dežūrtehniķi par jebkādām problēmām, izmantojot mobilo sakaru tīklu. Dežūrtehniķis uz incidentiem reaģē bez kavēšanās.
Klientu atbalsts
Zone tālruņa atbalsta un e-pasta atbalsta darba laiks ir no 09.00 – 17.00 darba dienās (laika josla EET/EEST).
Klientu atbalsta e-pasta adrese ir: info@www.zone.lv
Ja jums ir jautājumi par personas datu apstrādi, jūs varat tieši sazināties ar Zone Datu aizsardzības speciālistu, rakstot uz adresi dataprotection@www.zone.lv.
Zone pakalpojumu platformas aktuālais statuss ir pieejams vietnē http://status.www.zone.lv.
E-pasti, kas nosūtīti ārpus darba laika, tiek apstrādāti dežūrkomandas ietvaros, kas organizē reaģēšanu uz jebkādiem kritiskiem incidentiem.
24/7 palīdzības tālrunis pēc nepieciešamības ir pieejams individuālas lietošanas pakalpojumu klientiem, un tas ir paredzēts kritisku incidentu paziņošanai.
Zone piesaistītie apstrādātāji
Mēs varam piesaistīt apstrādātājus klienta datu apstrādei.
Mēs to darām tikai tad, ja esam pietiekami pārliecināti, ka tie īsteno atbilstošus tehniskos un organizatoriskos pasākumus tādā veidā, lai datu apstrāde atbilstu tiesību aktos noteiktajām prasībām.
Mēs publicējam būtisko apstrādātāju sarakstu, kas iesaistīti klientu datu apstrādē, mūsu vietnē.
