Isikuandmete töötlemise Kokkulepe
Isikuandmete töötlemise Kokkulepe
Isikuandmete Töötlemise Kokkuleppe on sõlminud Zone Media OÜ (“Teenusepakkuja”), kes on Volitatud Töötlejaks ja allkirjastanud kliendi osapool (“Klient”) Vastutava Töötlejana ning see on Zone Media OÜ keskkasutajalepingu ja teenuste üldtingimuste (“Leping”) juurde kuuluv Kokkulepe („Kokkulepe”). Kokkuleppe ja Xxxxxxx vaheliste vastuolude või vasturääkivuste korral kohaldatakse käesoleva Kokkuleppe sätteid.
Teenusepakkuja
Zone Media OÜ Reg. nr. 10577829
Xxxxxx 0, Xxxxxxx 00000, Xxxxx Vabariik
Klient
Xxxx Xxxxxxx juhatuse liige
Kliendi Isikuandmete Teenusepakkujale kättesaadavaks tegemisest lähtuvalt nõstub Teenusepakkuja käesolevaga töötlema Kliendi Isikuandmeid kooskõlas käesoleva Eraelu puutumatust ja Isikuandmete töötlemist käsitleva Kokkuleppe (“Kokkulepe”) tingimustega, sealjuures kinnitavad Klient ning Teenusepakkuja, et Teenusepakkuja ei ole teadlik, kas ja milliseid Isikuandmeid Klient Teenusepakkuja pakutavates Teenustes töötleb.
1. Mõisted
1.1. „Teenusepakkuja infrastruktuur“ on Teenusepakkuja ruumid, võrk, võrguseadmed, serverid ja tarkvara, mis on Teenusepakkuja kontrolli all ja Teenuse tingimuste või kirjelduse kohaselt kasutusel Teenuse osutamiseks;
1.2. “Asjakohased tehnilised ja korralduslikud meetmed” on protsessid ja protseduurid, millega tehnoloogia arengu taset ja rakendamise kulusid arvesse võttes tagatakse Teenusepakkuja infrastruktuuri asjakohane konfidentsiaalsus, terviklus ja käideldavus. Sellised meetmed hõlmavad vähemalt käesoleva Kokkuleppe Liites 1 Zone Media OÜ infoturbe põhimõtted sätestatud meetmeid xx xxxx täiendavaid poolte vahel kokku lepitud meetmeid;
1.3. “Xxxxxxx Xxxxxxxx töötleja“ ja „Andmete Volitatud töötleja” on andmete töötleja vastavates Andmekaitsealastes õigusaktides toodud tähenduses;
1.4. “Andmekaitsealased õigusaktid” on
(a) EL riikides isikuandmete kaitse üldmäärus (määrus (EL) 2016/679) või muud asjakohased EL või liikmesriikide õigusaktid.
(b) väljaspool EL asuvates riikides – sarnased või samaväärsed Isikuandmetega seotud seadused, määrused või eeskirjad;
(c) täitmisele pööratavad suunised ja tegevusjuhised, mille on välja andnud kohalik reguleeriv asutus, mis vastutab Andmekaitsealaste õigusaktide haldamise eest; ja/või
(d) eeltoodud punktides (a) kuni (c) kirjeldatud dokumentides aeg-ajalt tehtavad muudatused, parandused või täiendused;
1.5. “Isikuandmetega seotud Rikkumine” on vastavalt isikuandmete kaitse üldmääruses sätestatud määratlusele turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu;
1.6. “ISO 27001” on infoturbe standard ISO 27001:2014 (xx xxxxxx aeg-ajalt tehtavad uuendused) või mistahes muu ISO 27001:2014 nõuetega samaväärne infoturbestandard;
1.7. “Isikuandmed” on samatähenduslik Andmekaitsealastes õigusaktides toodule;
1.8. “Kliendi Isikuandmed” on Isikuandmed, mis on Kliendi poolt laaditud Teenusepakkuja serveritesse, tekivad Teenusepakkuja serverites Teenuse tarbimisel või on serverisse laetud Kliendi rakendus(t)e kasutajate poolt ning mille töötlust teostab läbi Teenusepakkuja teenuste Klient, Kliendi määratud kolmas isik või teine volitatud töötleja;
1.9. “Andmekaitse tingimusi mittetäitev riik” on riik, mis ei taga Isikuandmete adekvaatset kaitsetaset Andmekaitsealaste õigusaktide tähenduses; ja
1.10. “Teenused” on Teenusepakkuja poolt Kliendi Isikuandmete töötlemisega seoses osutatud Lepingus (xx xxxxxx aeg-ajalt tehtavatele muudatustes) kirjeldatud teenused.
1.11. Käesolevas Kokkuleppes kasutatud mõistetel on sama tähendus nagu Lepingus kasutatud mõistetel, kui pole sätestatud teisiti.
2. Üldist
2.1. Pooled avaldavad, et arvestades asjaolu, et Teenusepakkuja võimaldab Kliendile xxxx Teenusepakkuja infrastruktuuri kasutamist andmete hoidmiseks ja rakenduste käitamiseks, ei ole Teenusepakkujal ülevaadet seal töödeldavatest Isikuandmetest ja nende liikidest.
2.2. Xxxxxx kinnitavad, et käesolev Kokkulepe on täielikuks ja lõplikuks dokumenteeritud juhiseks Kliendi Isikuandmete töötlemisel. Mistahes muude juhiste täitmine eeldab vastavat kirjalikku kokkulepet poolte vahel ja sellega võivad kaasneda täiendavad tasud.
2.3. Xxxxxx kinnitavad, et Klient on Xxxxxxx Xxxxxxxx töötleja ning Teenusepakkuja on Andmete Volitatud töötleja. Teenusepakkujal ei ole õigusi Teenusepakkuja poolt Kliendi nimel töödeldavatele Isikuandmetele.
2.4. Kui Teenusepakkuja või tema Alltöövõtja, kellega ta on sõlminud Lepingu Isikuandmete töötlemiseks tema nimel, töötleb Xxxxxxxxxxxx, mille Vastutav töötleja on Klient, siis Teenusepakkuja:
(a) töötleb Kliendi Isikuandmeid kooskõlas Andmekaitsealaste õigusaktidega;
(b) ei tee ega jäta tegemata midagi, mis võiks põhjustada Kliendi poolt Andmekaitsealastest õigusaktidest tulenevate kohustuste rikkumise;
(c) töötleb Kliendi Isikuandmeid ainult selles ulatuses ja sellisel viisil, mis on vajalik käesolevas Kokkuleppes sätestatud Teenuste osutamiseks ning vastavalt Kliendi aeg- ajalt antavatele juhistele. Juhul kui Teenusepakkuja ei ole Kliendi antud juhiste parameetrites xxxxxx, siis pöördub Teenusepakkuja kahtluse vältimiseks esimesel võimalusel Kliendi xxxxx selgituse või edasiste juhiste saamiseks;
(d) hoiab Kliendi Isikuandmed rangelt konfidentsiaalsena ning ei kasuta ega xxxxxx xxxx mingil muul otstarbel kui käesolevas Kokkuleppes lubatud konkreetsel otstarbel;
(e) rakendab Asjakohaseid tehnilisi ja korralduslikke meetmeid Kliendi Isikuandmete kaitsmiseks loata või ebaseadusliku töötlemise, juhusliku kaotsimineku või hävitamise või kahjustamise eest;
(f) Kliendi vastava taotluse korral tagastab kiiresti Kliendile kõik tema võimuses, valduses või kontrolli all olevad Kliendi Isikuandmed koos kõigi nendest tehtud mistahes kandjal koopiatega kui koopia säilitamiseks ei kohusta seadus ega lepingust tulenev kohustus; ja
(g) tagab, et kõik Kliendi Isikuandmed on Teenusepakkuja valduses või kontrolli all xxxxx xxxxx asjakohasel viisil kaitstud;
3. Olukorra ja seadusandluse muudatused
3.1. Kui Teenusepakkuja:
(a) teeb kindlaks, et ta ei suuda mingil põhjusel täita käesolevast Kokkuleppest tulenevaid kohustusi ning Teenusepakkuja ei saa seda mittetäitmist heastada; või
(b) saab teadlikuks mistahes asjaolust või muudatusest Andmekaitsealastes õigusaktides, mis tõenäoliselt kahjustab oluliselt Teenusepakkuja suutlikkust täita käesolevast Kokkuleppest tulenevaid kohustusi;
siis teavitab Teenusepakkuja sellest Klienti, misjärel Kliendil on õigus töötlemine ajutiselt peatada kuni töötlemise ümberkorraldamiseni viisil, mis lubab mittevastavuse kõrvaldada. Xxx xxxxxxx ümberkorraldamine pole võimalik, siis on Kliendil õigus lõpetada vastava osa töötlemine Teenusepakkuja poolt.
4. Alltöövõtjad
4.1. Klient lubab alltöövõtjaid kasutada tingimusel, et Teenusepakkuja vastutab Kliendi ees täielikult alltöövõtjate tegevuse eest ning Isikuandmete töötlemisega seotud alltöövõtjate tegevuse või tegematajätmise eest. Nõudmisel esitab Teenusepakkuja Alltöövõtjate nimekirja.
4.2. Teenusepakkuja jääb Kliendi ainsaks kontaktisikuks kõigis käesoleva Kokkuleppe reguleerimisalasse jäävates küsimustes ja hoolitseb selle eest, et tema alltöövõtja järgib käesoleva Kokkuleppe siduvaid nõudeid nii, xxxx xxxx kohaldatakse Teenusepakkujale.
4.3. Teenusepakkuja hoolitseb selle eest, et kõik tema poolt Teenuste osutamisel aeg-ajalt käesoleva Kokkuleppe raames kasutatud alltöövõtjad täidavad konfidentsiaalsuskohustust
sisuliselt samadel (xx xxxxx vähem piiravatel) tingimustel kui käesolevas Kokkuleppes sätestatud tingimused.
5. Juurdepääsu tingimused
5.1. Teenusepakkuja tagab, et juurdepääsu Isikuandmetele võimaldatakse ainult:
(a) nõuetekohaselt volitatud ametnikele, töötajatele, agentidele ja töövõtjatele (“Teenusepakkuja töötajad”), kes vajavad Isikuandmetele juurdepääsu Teenusepakkuja Lepingust ja käesolevast Kokkuleppest tulenevate kohustuste täitmiseks; ja
(b) Isikuandmete osale või osadele, mis on rangelt vajalikud Teenusepakkuja töötaja kohustuste täitmiseks.
5.2. Teenusepakkuja tagab, et kõik Teenusepakkuja töötajad:
(a) on teadlikud Isikuandmete konfidentsiaalsest laadist;
(b) on läbinud Isikuandmete hoidmist, kaitset ja käsitsemist puudutava väljaõppe; ja
(c) on teadlikud Andmekaitsealastest õigusaktidest ja käesolevast Kokkuleppest tulenevatest Teenusepakkuja ja enda kohustustest ja ülesannetest.
5.3. Teenusepakkuja astub mõistlikke samme Isikuandmetele juurdepääsu omavate Teenusepakkuja töötajate ja alltöövõtjate usaldusväärsuse tagamiseks.
6. Edastamine
6.1. Teenusepakkuja ei edasta Isikuandmeid ühelegi Andmekaitse tingimusi mittetäitvale riigile väljaspool Euroopa Majanduspiirkonda ega tee kättesaadavaks Isikuandmeid ühestki Andmekaitse tingimusi mittetäitvast riigist xxxx Kliendi eelneva kirjaliku heakskiiduta.
6.2. Isikuandmete edastamist või neile juurdepääsu andmist väljaspool Euroopa Majanduspiirkonda asuvale kolmandale isikule (sealhulgas Teenusepakkuja sidusettevõtjad), kes ei asu Andmekaitse tingimusi mittetäitvas riigis, reguleerib Teenusepakkuja ja Kliendi vaheline andmeedastusleping, mis sisaldab Andmete Vastutava ja Volitatud töötleja standardtingimusi, mis on avaldatud Euroopa Komisjoni 5. veebruari 2010 otsuses (otsus 2010/87/EL) või muid sarnaseid lepingutingimusi, mida Euroopa Komisjon võib aeg-ajalt vastu xxxxx (‘EL Näidistingimused’).
7. Teated ja intsidendid ja isikuandmetega seotud rikkumine
7.1. Teenusepakkuja teavitab Kliendi viivitamata xx xxxx juhul kahekümne nelja (24) tunni jooksul kui Teenusepakkuja:
(a) saab Isikuandmete töötlemisega seotud ametiasutuselt uurimise või auditi teostamiseks vajaliku päringu või taotluse, välja arvatud juhul kui see avaldus on Teenusepakkuja jaoks seadusega keelatud;
(b) kavatseb avaldada Isikuandmeid mistahes ametiasutusele;
(c) saab kolmanda isiku või Kliendi töötaja, Kliendi või lepingupartneri taotluse Kliendi Isikuandmete või Kliendi Isikuandmete töötlemisega seotud teabe avaldamiseks; või
(d) tuvastab või põhjendatult kahtlustab, et on toimunud Isikuandmetega seotud Rikkumine.
7.2. Vajaduse korral annab Teenusepakkuja Kliendile mõistlikku abi seoses Kliendi töötaja, Kliendi, töövõtja või asjakohase ametiasutuse poolt algatatud nõude ja/või päringu, uurimise või töötlemisele antud hinnanguga.
7.3. Isikuandmetega seotud Rikkumise korral rakendab Teenusepakkuja esimesel võimalusel adekvaatseid heastamismeetmeid, sealhulgas Kliendi teavitamine rikkumise põhjusest, uurimise läbiviimine ja Kliendile aruande ja parandusmeetmete ettepanekute esitamine.
7.4. Teenusepakkuja ja Klient teevad täiemahulist koostööd Isikuandmetega seotud Rikkumise korral kohaldatava vastutegevusplaani väljatöötamiseks ja rakendamiseks.
7.5. Teenusepakkuja annab Isikuandmetega seotud Rikkumise kohta alljärgnevat teavet (ja uuendab seda Kliendi põhjendatud taotluse korral):
(a) Isikuandmetega seotud Rikkumise arvatav kuupäev ja kellaaeg ning Teenusepakkuja poolt Isikuandmetega seotud Rikkumisest teada saamise kuupäev ja kellaaeg;
(b) Isikuandmetega seotud Rikkumist ümbritsevad asjaolud ja mistahes asjakohased faktid Isikuandmetega seotud Rikkumise laadi ja ulatuse kohta;
(c) Teenusepakkuja andmekaitsespetsialisti või muu asjakohase täiendavat teavet andva kontaktisiku nimi ja kontaktandmed;
(d) Isikuandmetega seotud Rikkumise tõenäoliste tagajärgede kirjeldus;
(e) Isikuandmetega seotud Rikkumise kõrvaldamiseks rakendatud meetmete või ettepanekute kirjeldus;
(f) Isikuandmetega seotud Rikkumisega seoses algatatud uurimise kõik üksikasjad (kas Teenusepakkuja ettevõtte sisene või väline (nt. reguleeriv asutus));
(g) Isikuandmetega seotud Rikkumisega seoses üksikisikutelt saadud kaebuste maht ja üksikasjad.
7.6. Teenusepakkuja teavitab Isikuandmetega seotud Rikkumisest Kliendi enne mistahes reguleeriva asutuse teavitamist ning annab Kliendile mõistliku võimaluse teade läbi vaadata xx xxxx täiendada. Klient ja Teenusepakkuja teevad kõik endast sõltuva Isikuandmetega seotud Rikkumise mõju leevendamiseks.
7.7. Teenusepakkuja teeb Kliendi nõudmisel koostööd mõjutatud töötajate või Klientide adekvaatseks teavitamiseks.
8. Teisene töötlemine
8.1. Teenusepakkuja kinnitab, et ta:
(a) ei teosta täiendavat uurimist, analüüsi, profileerimist ega muud töötlemise toimingut, mis hõlmab Isikuandmete mistahes elemendi kasutamist (sealhulgas koondandmeid) või teavet, mis on saadud selliste Isikuandmete töötlemisest väljaspool teenuste kohaldamisala; ja
(b) ei edasta Xxxxxxxxxxxx sisaldavaid xxxxx edasiseks töötlemiseks kolmandatele isikutele ega nende agentidele xxxx Kliendi eelneva kirjaliku nõusolekuta.
9. Turvanõuded
9.1. Teenusepakkuja ei tee ega jäta tegemata midagi, mis kahjustab või võib mõistlikult eeldades kahjustada Kliendi süsteeme või Isikuandmeid.
9.2. Turbe korraldamine
(a) Teenusepakkuja määrab infoturbe töötaja, kes vastutab infoturbe hea tava tagamise eest kogu Teenusepakkuja organisatsioonis ning seoses Teenuste osutamisega, sealhulgas infoturbe poliitika avaldamine.
(b) Teenusepakkuja infoturbejuht vastutab infoturbe toimimise eest kogu Teenusepakkuja organisatsioonis.
(c) Teenusepakkuja tagab Teenuste osutamise vastavuses Teenusepakkuja infoturbepoliitikale.
9.3. Juurdepääsu haldus
(a) Teenusepakkuja valideerib kõigi Kliendi süsteemile juurde pääsevate Teenusepakkuja töötajate isikusamasuse. Põhjendatud vajadusel peab Teenusepakkuja teatama Kliendile Teenusepakkuja töötajate nimed ning nende vajaliku ja tegeliku juurdepääsutaseme Kliendi teabele.
(b) Teenusepakkuja tagab, et eeltoodud punktis sätestatud kohustusi toetavad siseauditi andmed ja häireseire, mis võimaldavad rikkumiste aktiivset tuvastamist ja uurimist.
9.4. Füüsiline turvalisus
(a) Teenusepakkuja kohustub kaitsma Kliendi Isikuandmeid lubamatust füüsilisest juurdepääsust ja/või kahjustamisest tingitud kahju eest. See hõlmab füüsilist juurdepääsu kontrolli nagu hoonete kaitsmine lubamatu juurdepääsu eest (nt. lukkude, riivide või samaväärsete meetmete kasutamine kergesti avatavatel xxxxx xx akendel), kriitilistele aladele füüsilise juurdepääsu piiramine üksnes lubatud töötajatele, vastava juurdepääsuõiguse saanud välistele järelevalvet teostavatele isikutele ja sideühenduste ja andmekandjate kaitsmine.
9.5. Turbekontroll
(a) Teenusepakkuja lubab Kliendi töötajatel, volitatud esindajatel ja teistel isikutel, kellele Klient on seadusjärgselt kohustatud andma juurdepääsu- või kontrolliõigusi, kontrollida ja hinnata Teenusepakkuja vastavust käesolevas Kokkuleppes sätestatud kohustustele. Kontrolli sisuks võib olla ka viimase sertifitseerimise- või auditeerimiseauditi tulemuste edastamine, nt ISO 27001 sertifitseerimisauditi tulemuste ja kohaldatavuse tõend.
(b) Nimetatud kontrolli teostajatel on õigus uurida Teenuspakkuja IT-süsteemide turberiski kontrollmeetmeid ja –protseduure ning küsitleda Teenusepakkuja töötajaid selleks, et hinnata eeltoodu vastavust käesolevas Kokkuleppes sätestatud kohustustele.
(c) Teenusepakkujal on õigus küsida Kliendi turbekontrollis osalemise eest mõistlikku tasu, kui turbekontroll ei piirdu olemasoleva dokumentatsiooni väljastamisega või on Teenusepakkuja hinnangul ülemäärane.
10. Hüvitised
10.1. Teenusepakkuja vastutab kõigi kulude ja kahju eest, mis tulenevad käesoleva Kokkuleppe Liites 1 antud kinnituste tõele mitte vastavuse eest.
11. Lõpetamine
11.1. Lepingu lõpetamise korral:
(a) Teenusepakkuja nõustub viivitamata lõpetama Kliendi Isikuandmete töötlemise ja vajadusel saatma kõik Kliendi Isikuandmed (k.a nende koopiad) Kliendile Kliendi poolt näidatud asukohta;
(b) Teenusepakkuja kustutab/hävitab kõik tema valduses olevad Kliendi Isikuandmed viisil, mis ei võimalda Kliendi Isikuandmete taastamist väljaspool kehtivat varunduspoliitikat või seadusest tulenevat kohustust ning edastab vajadusel Kliendile Teenusepakkuja kinnituse selle teostamise kohta; ja
(c) juhul kui Kliendi Isikuandmete kustutamine/hävitamine Teenusepakkuja poolt on seadusega keelatud, siis teavitab Teenusepakkuja Kliendi ja pooled lepivad kokku kavas, millal ja kuidas Teenusepakkuja valduses olevad Kliendi Isikuandmed kustutatakse või hävitatakse.
Liide 1
Zone Media OÜ infoturbe põhimõtted
1. Xxxxxx
Zone missioon on pakkuda lihtsaid, kiireid ja töökindlaid lahendusi informatsiooni edastamiseks ning töötlemiseks internetis.
Infoturbel on meie ettevõtte missiooni täitmisel täita kriitiline osa ning Zone juhatus ja töötajad on pühendunud ettevõtte ning selle klientide infovarade konfidentsiaalsuse, tervikluse ja käideldavuse säilitamisele.
Näiteks isikuandmete töötlemisel on meil täita kaks ühtmoodi tähtsat xxxxx - sõltuvalt kontekstist võime olla nii isikuandmete vastutava töötleja kui ka volitatud töötleja.
Isikuandmete kaitse üldmääruse kontekstis on meie peamine ülesanne rakendada oma teenustele ja taristule (majutuspinnad, serverid, võrguseadmed jne) piisavalt tehnilisi ja organisatsioonilisi turvameetmeid, et klientide poolt töötletavad andmed oleksid kaitstud juhusliku või seadusevastase kustutamise, autoriseerimata ligipääsu või avaldamise eest.
Käesoleval infolehel anname sulle ülevaate sellest, mida teeme enda taristus töötletavate andmete (sh isikuandmete) turvamiseks.
On äärmiselt oluline, et xx xxxxx lehega tutvuksid, sest Euroopa parlamendi ja nõukogu regulatsioon 2016/679 ehk isikuandmete kaitse üldmäärus sedastab järgmist:
Kui isikuandmeid töödeldakse vastutava töötleja nimel, kasutab vastutav töötleja ainult selliseid volitatud töötlejaid, kes annavad piisava tagatise, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et töötlemine vastab käesoleva määruse nõuetele ja sealjuures tagatakse andmesubjekti õiguste kaitse.
Vastutav töötleja - see oled sina. Xxxx xxxx veenduma, et meie volitatud töötlejana kaitseme oma organisatsiooni, teenuseid ja taristut (majutuspindu, riistvara, tarkvara, andmesidevõrke xx xxxx ressursse) vastavalt seadustes nõutule ja valdkonnas levinud parimatele praktikatele. Ühtlasi pead loomulikult teadma millised on sinu ülesanded ja vastutus isikuandmete töötlemisel.
2. Teenuste iseloom
Alustame oma teenuste üldisest kirjeldusest.
Meie teenuseid kasutades tasub sul meeles pidada, et valdavat osa oma teenustest pakume klientidele universaalse pilveteenusena. See tähendab, et need ei ole vaikimisi kohaldatud individuaalselt sulle, xxxx vastavad turu üldistele nõudmistele. Individuaalsed kokkulepped ja kohaldused on siiski võimalikud.
Pilveteenusepakkujana puudub xxxx xx kontroll selle üle milliseid andmeid meie taristusse laadid või selles protsessid. See tähendab, et me ei tea vaikimisi kas meie teenuseid kasutatakse isikuandmete töötlemiseks, milliseid isikuandmeid töödeldakse ja kas selline töötlemine on
seaduslik. Vajadusel pead ise hindama andmete töötlemise mõju xx xxxxx vastavust kehtiva seadusandlusega.
3. Teenuste klassid
Enamus Zone poolt pakutavaid teenuseid klassifitseeruvad pilveteenusteks. Need põhinevad peamistel pilveteenuste mudelitel:
• rakendus teenusena ehk ‘Software as a Service’ (SaaS), toimetab kliendini juba kasutamisvalmis rakenduse;
• platvorm teenusena ehk ‘Platform as a Service’ (PaaS), pakub rakenduse juurutamiseks vajalikke tingimusi;
• infrastruktuur teenusena ehk ‘Infrastructure as a Service’ (IaaS), pakub kliendile oma platvormi loomiseks virtuaalseid servereid.
Zone ja kliendi ülesannete ulatus varieerub nende mudelite raames vastavalt valitud teenusele. Muuhulgas oleme seda kirjeldatud iga meie teenuse infolehel sektsioonis "Vastutuse jaotus".
Üldise pildi annab allolev joonis:
Virtuaalserveri teenuses sisalduva e-posti, DNS ja ZoneCloud’i puhul on tegemist SaaS teenusega ja Zone vastutus laieneb ka rakenduskihile.
Oluline on meeles pidada, et ligipääsuandmete, rakenduste ja andmete transpordi turvalisus on pea alati vaikimisi kliendi vastutusalas.
4. Teenuste realisatsioonimudelid
Teenuste realisatsioonimudeleid on kasutusel xxxx:
• ühiskasutus;
• üksikkasutus;
• hübriidkasutus.
Ühiskasutus tähendab, et mitu organisatsiooni jagavad samu servereid. Ühiskasutusel baseeruvad teenused nagu Virtuaalserver, Pilveserver VPS, Pilveserver Pro ja Nutikas Pilveserver. Need teenused on soodsamad, kuid nendega on seotud suuremad riskid kui üksikkasutusega – täiendavad riskid on eelkõige seotud teenuse teiste kasutajatega.
Näiteks eksisteerib ühiskasutuse puhul võimalus, et üks klient võib ressursside liigse tarbimise korral negatiivselt mõjutada teiste klientide veebilehekülgede käideldavust. Zonel on ühiskasutusel põhinevate teenuste pakkumisel väga pikaaegne kogemuste pagas xx xxxx tarkvaraplatvormi on sellist riski kahandavad vahendid juba sisse ehitatud, kuid sajaprotsendiliselt pole ressursside kättesaadavusega seotud xxxxx ühiskasutatavas keskkonnas võimalik maandada.
Üksikkasutuses on serverid xxxx xxx kliendi käsutuses. Üksikkasutust rakendatakse Privaatserveri ja osaliselt ka Xxxxxx Privaatserveri teenuste puhul, mille raames eraldatakse kliendile garanteeritult privaatsed serveriressursid. Üksikkasutuse puhul ei jaga klient serveri ressursse teiste klientidega, mis maandab oluliselt pakutava teenuse käideldavusega ja andmete konfidentsiaalsusega seotud xxxxx. Lisaks võimaldab üksikkasutus vajaduse korral rakendada serveri(te)le kliendipõhiseid infoturbemeetmeid.
Üksikkasutuse suurimaks eeliseks on, et võimalike intsidentide korral on prioriteediks konkreetsele kliendi teenuse taastamine. Ühiskasutuse puhul lähtutakse klientide enamuse huvidest. Väikseks puuduseks on üksikkasutuse kallim hind.
Hübriidkasutuse puhul võidakse teenuse komponentide juures kasutada erinevaid mudeleid. Vaikimisi rakendatakse hübriidmudelit Xxxxxx Privaatserveri puhul, mille veebirakendusi ja andmebaasi teenindav server on pühendatud xxxx ühele kliendile, aga e-xxxxx xx DNS teenus jagab ressursse teiste klientidega. Erilahenduste puhul võib see jaotus loomulikult varieeruda – soovi korral saame pakkuda ka privaatseid e-posti servereid jms.
5. Infoturve Zones
5.1. Infoturbe protsess ja organisatsioon
Esmatähtis on organisatsiooni pühendumine infoturbele. Selleks on meie juhatus ettevõttes kehtestanud infoturbepoliitika, mida rakendatakse kogu ettevõtte ulatuses – kehtestatud printsiipide järgimist oodatakse nii Zone juhtidelt, töötajatelt kui ka töövõtjatelt, kes meie ettevõtte töös osalevad. Poliitika ajakohasust hinnatakse vähemalt korra aastas.
Infoturbepoliitika koostamise, täiendamise ja rakendamise eest vastutab Zones infoturbejuht.
Infoturbejuhti toetavad tema töös laiapõhjaline infoturbe töörühm ning isikuandmete kaitse spetsialist. Infoturbe protsessi on loomulikult kaasatud kõik ettevõtte struktuuriüksused ja töötajad.
Oleme oma infoturbepoliitika joondanud standardi ISO/IEC 27001:2014 järgi xx xxxx eesmärk on tulevikus kinnitada ühilduvust standardiga läbides ka ametlik sertifitseerimine.
Infoturberiskide haldamisel lähtub Zone standardi ISO/IEC 27005:2014 soovitustest ja kasutab varadel põhinevat kvalitatiivset riskide kaalutlemise metoodikat.
5.2. Kliendi infovarade turvatase
Zone IT-süsteemides säilitavate ja töödeldavate kliendi infovarade (failid, andmebaasid, e-kirjad jne) vastutav omanik on klient.
Kliendi infovarade turvatase on meil siseselt ‘konfidentsiaalne’, mis on defineeritud järgmiselt: info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral (näiteks kui see on vajalik tööülesannete täitmiseks).
Zone siseselt kehtiv turvatase ei kandu automaatselt edasi ettevõttest väljapoole. Klient peab oma teavet Zone IT-süsteemides säilitama, töötlema ja edastama vastavalt xxxx xxxxx oma infovarale määratud turvatasemetele, kaalutletud riskidele ning korraldama neile vastavate turvameetmete rakendamise.
Me ei müü kunagi Zone taristusse laaditud, kliendi kasutajate poolt üles laetud või kliendi poolt teenuse kasutamise käigus serverisse loodud andmeid kellelegi, ega kasuta selliseid andmeid kliendi loata enda otsestes majanduslikes huvides. Zone töötleb selliseid andmeid ainult oma teenuste või nendega seotud kasutajatoe pakkumiseks vajalikus ulatuses.
5.3. Isikuandmete kaitse Zones
Xxxxxxxxxxxx kaitse üle järelevalve teostamiseks oleme loonud andmekaitsespetsialisti xxxxx, mille täitja on läbinud ka Andmekaitse Inspektsiooni poolt tunnustatud koolitusprogrammi.
Peame arvestust nii töödeldavate isikuandmete üle kui ka töötlemise mõju üle nendele andmetele. Isikuandmete töötlemise kohta saate lähemalt lugeda Zone Media OÜ privaatsusteatest.
5.4. Andmete asukoht
Osutame oma teenuseid füüsiliselt turvalistes oludes. Zone kasutatavad andmekeskused asuvad Euroopa Liidu territooriumil.
Meie infrastruktuur on infoturbe-, kestlikkus- ja äririskide maandamise ning klientidele unikaalsete võimaluste pakkumise eesmärgil hajutatud üle 5 andmekeskuse, millest 4 paiknevad Eestis Tallinnas ja 1 Hollandis Amsterdamis. Infrastruktuuri majutamisel teeb Zone koostööd tunnustatud partneritega nagu Equinix, Linxtelecom, Telia ja Elisa.
Zone kasutatavad andmekeskused paiknevad hoonetes, mis on ehitatud või kohandatud spetsiaalselt info- ja kommunikatsioonitehnoloogia seadmete majutamiseks ning avalikust ruumist eraldatud. Seadmed asuvad andmekeskustes turvataraga eraldatud pinnal või lukustatud seadmekappides. Ligipääs on piiratud isikutega, kel on selleks oma tööülesannetest tulenev vajadus.
Andmekeskused on varustatud turvakaamerate ning valvesignalisatsiooniga, keskustesse sisenemise kohta peetakse logi. Kasutusel on automaatne tulekahjusignalisatsioon ja automaatne gaaskustutussüsteem.
Temperatuuri ja suhtelise õhuniiskuse hoidmiseks serveritele ja andmesideseadmetele sobival tasemel on kõik andmekeskused varustatud jahutusseadmete ning -süsteemidega.
Töökindlama elektrivarustuse tagamiseks on kõik Zone seadmed ühendatud puhvertoite allikatega (UPS) ja hooned on varustatud elektrigeneraatoritega.
Käideldavuse tagamiseks on andmekeskustes läbivalt kasutatud seadmete ja tehnosüsteemide liiasust.
Piirkondi, kus asuvad Zone kasutatavad hooned, ei ähvarda märkimisväärsed ilmastikust või kohalikust geoloogiast tingitud ohud, nendest põhjustatud varasemaid kahjusid andmekeskustele pole esinenud.
5.5. Andmeside
Andmesidega seotud Infoturbe-, kestlikkus- ja äririskide maandamiseks ning klientidele ainulaadsete võimaluste pakkumise eesmärgil teeb Zone koostööd mitmete usaldusväärsete telekommunikatsiooniettevõtetega. Zone andmesidepartnerid on Cogent Communications, Level3 Communications, Linxtelecom, Telia ja Elisa.
Eestis on Zonel paralleelselt kasutusel xxxx xx Hollandis kaks interneti transiitühendust – ühenduste liiasus tagab klientidele ühenduvuse ka üksiku ühenduse rikke või hooldustöö ajal.
Eesti majutuskeskuste vahele on Zone rajanud unikaalse privaatse regionaalvõrgu, mille eesmärk on täiendavalt maandada välistest teguritest tingitud ohte teenuste käideldavusele. Serveriteenuseid osutavad andmekeskused on samaaegselt ühendatud kahe teise keskusega - tulemusena tekkinud võrguring võimaldab säilitada keskuses ühenduvuse xx xxx ühenduse rikke või hooldustöö ajal.
Paljude Eesti telekommunikatsiooniettevõte ja internetiteenuseid pakkuvate ettevõtetega on Zone lisaks ühendatud kahel suurimal Eesti interneti otseühendussõlmel – TLLIX ja RTIX.
Zone kannab hoolt selle eest, et normaalolukorras oleksid andmesideühendused alakoormatud ja täiendavad ressursid vajadusel kiiresti saadaval.
Maandamaks spetsiifilisi teenustõkestusrünnetest tulenevaid xxxxx on Zone internetiühendused varustatud rünnakute negatiivset mõju leevendavate spetsiaalsete seadmetega.
5.6. Andmete varundamine
Zone poolt hallatavate teenusega seotud serveritest teeb Zone varukoopiaid järgmiste reeglite alusel:
• veebiserveris paiknevatest failidest, SQL andmebaasidest ja postkastidest tuleb varukoopia teha vähemalt kord päevas;
• varukoopiat peab olema võimalik varundatud andmete taastamiseks kasutada minimaalselt 14 päeva jooksul alates varukoopia tegemise hetkest;
• vajadusel tuleb varukoopiaid teha enne suuremaid tarkvarauuendusi või muudatusi, mis andmete terviklikkust ohustada võivad.
Zone hallatavate teenuste pakkumiseks kasutatavate serverite varukoopiaid säilitame tootmiskeskkonnast eraldi.
Üksikkasutusel põhinevate teenuste puhul on võimalik varunduspoliitikat kliendi vajadustega kohaldada.
Kliendina tuleb sul arvestada, et andmete taastamise aeg on otseses sõltuvuses andmete iseloomust ja mahust ning ühiskasutuse puhul mõjutatud ka teistest sama ressurssi kasutavatest klientidest.
5.7. Monitooring
Zone jälgib teenuseid osutavate serverite tööd 24 tundi ööpäevas ja 7 päeva nädalas.
Muuhulgas monitoorib Zone viiteid platvormi või klientide teenuste kompromiteerimisele sh tundmatute protsesside käivitamist, ootamatute võrguportide avamist, kasutajate aktiivsust, rämpsposti saatmist jne.
Aktiivmonitooring toimub äripäevadel xxxx 08.30-17.30, aktiivmonitooringu korral jälgivad Zone Media töötajad monitooringusüsteemi väljundit reaalajas, lisaks teavitab monitooringusüsteem Zone tehnikuid mobiilsidevõrgu vahendusel. Intsidentidele reageeritakse viivituseta.
Passiivmonitooring toimub äripäevadel xxxx 17.30-08.30 ja nädalavahetustel ööpäevaringselt, passiivmonitooringu korral teavitab monitooringusüsteem Zone valvetehnikut probleemidest mobiilsidevõrgu vahendusel. Valvetehnik reageerib intsidentidele viivituseta.
5.8. Klienditugi
Zone telefonitugi ja e-posti toe tööaeg on äripäevadel ajavahemikus 09.00 – 17.00 (ajatsoon EET/EEST).
Klienditoe telefon on: x000 000 0000 Klienditoe e-posti aadress on: xxxx@xxxx.xx
Isikuandmete töötlemist puudutavates küsimustes on võimalik pöörduda otse Zone andmekaitsespetsialisti xxxxx aadressil xxxxxxxxxxx@xxxx.xx.
Zone teenusplatvormi hetkeseisu kajastatakse veebilehel xxxx://xxxxxx.xxxx.xx.
Väljaspool tööaega vastu võetud e-postiga tegeleb valvemeeskond, kes korraldab reageerimise kriitilistele intsidentidele.
Üksikkasutusel põhinevate teenuste klientidele on vajadusel saadaval 24/7 valvetelefoni number, mis mõeldud kriitilistest intsidentidest teavitamiseks.
5.9. Zone kaasatud volitatud töötlejad
Me võime kaasata kliendi andmete töötlemisse volitatud töötlejaid.
Teeme xxxx, xxx oleme piisavalt kindlad, et nad rakendavad asjakohaseid tehnilisi ja korralduslikke meetmeid sellisel viisil, et andmete töötlemine vastab asjaomastes seadustes esitatud nõuetele.
Nimekirja kliendiandmete töötlemisse kaasatud olulistest volitatud töötlejatest avaldame veebilehel (xxxxx://xxx.xxxx.xx).