Kontrola dostępu do systemów. Dostęp to systemów i aplikacji podlega wielu dyrektywom zapewniającym indywidualną i osobową identyfikację i uwierzytelnianie użytkowników, kontrolę dostępu, logowanie i identyfikowalność. Dostęp do systemu jest realizowany za pomocą „biletów” sesji Kerberos. Zdalny dostęp do zasobów sieciowych wymaga sprzętu uzupełniającego w formie tokenów (generatora haseł jednorazowych). Hasła są automatycznie sprawdzane pod katem zawierania znaków specjalnych i innych cech; muszą być one zmieniane regularnie. Identyfikatory/hasła użytkowników są automatycznie blokowane po zdefiniowanej liczbie nieudanych prób logowania, a klienci wchodzą w tryb gotowości po upłynięciu zdefiniowanego okresu nieaktywności. Klienci przenośni są standardowo szyfrowani. Klienci stacjonarni, serwery i macierze dyskowe są kodowane zgodnie z potrzebą.
Kontrola dostępu do systemów. Procesor podejmie odpowiednie środki, aby zapobiec nieuprawnionemu dostępowi do systemów przechowujących Dane Osobowe. Środki te mogą obejmować: • Procedury haseł (w tym np. Wymagania dotyczące długości haseł lub znaków specjalnych, wymuszona zmiana hasła w częstym trybie itd.) • Dostęp do systemów podlegających zatwierdzeniu przez kierownictwo działu HR lub administratorów systemów informatycznych • Brak dostępu do systemów dla użytkowników-gości lub anonimowych kont • Centralne zarządzanie dostępem do systemu • Procedury ręcznego blokowania, gdy stacje robocze pozostają bez nadzoru, oraz automatyczna blokada w ciągu maksymalnie 5 minut • Ograniczenia w korzystaniu z nośników wymiennych, takich jak pendrive, dyski CD / DVD lub przenośne dyski twarde, a także wymagania szyfrowania
Kontrola dostępu do systemów. Procesor podejmie odpowiednie środki, aby zapobiec nieuprawnionemu dostępowi do systemów przechowujących Dane Osobowe. Środki te mogą obejmować: • Procedury haseł (w tym np. Wymagania dotyczące długości haseł lub znaków specjalnych, wymuszona zmiana hasła w częstym trybie itd.) • Dostęp do systemów podlegających zatwierdzeniu przez kierownictwo działu HR lub administratorów systemów informatycznych • Brak dostępu do systemów dla użytkowników-gości lub anonimowych kont • Centralne zarządzanie dostępem do systemu • Procedury ręcznego blokowania, gdy stacje robocze pozostają bez nadzoru, oraz automatyczna blokada w ciągu maksymalnie 5 minut • Ograniczenia w korzystaniu z nośników wymiennych, takich jak pendrive, dyski CD / DVD lub przenośne dyski twarde, a także wymagania szyfrowania Procesor podejmie proporcjonalne środki, aby uniemożliwić uprawnionym użytkownikom dostęp do danych poza ich uprawnieniami dostępu oraz zapobiec nieuprawnionemu dostępowi do danych, ich usuwaniu, modyfikowaniu lub ujawnianiu. Środki te mogą obejmować: • Zróżnicowane prawa dostępu, zdefiniowane zgodnie z obowiązkami • Zautomatyzowany dziennik dostępu użytkownika za pośrednictwem systemów IT Procesor podejmie proporcjonalne środki w celu sprawdzenia i ustalenia, czy i przez kogo Dane osobowe zostały wprowadzone do systemów, zmodyfikowane lub usunięte. Środki te mogą obejmować : • Zróżnicowane prawa dostępu oparte na zakresie obowiązków • Zautomatyzowany dziennik dostępu użytkowników i częste przeglądanie dzienników zabezpieczeń w celu wykrycia i monitorowania ewentualnych incydentów • Zapewnienie, że możliwe jest sprawdzenie i ustalenie, do których organów dane osobowe zostały lub mogą zostać przekazane lub udostępnione za pomocą sprzętu do przesyłania danych • Zapewnienie, że możliwe jest zweryfikowanie i ustalenie, które dane osobowe zostały wprowadzone do systemów przetwarzania danych, zmienione lub usunięte oraz kiedy i przez kogo dane zostały wprowadzone, zmienione lub usunięte
Kontrola dostępu do systemów. Ryzyko nieuprawnionego dostępu do systemów informatycznych.