Πολιτική Ασφάλειας Πληροφοριακού Συστήματος
(σύμφωνα με τον Κανονισμό 2016/679, εφεξής ΓΚΠΔ, και τη σχετική εθνική νομοθεσία)
ΥΠΕΥΘΥΝΗ ΕΠΕΞΕΡΓΑΣΙΑΣ: η ανώνυμη εταιρία με την επωνυμία «ΠΑΓΟΥΝΗ ΑΕ παραγωγής και εμπορίας μεταλλικών δομικών προϊόντων», η οποία εδρεύει στο 9ο χλμ ΠΕΟ Θεσσαλονίκης – Βέροιας (570 08 Ιωνία) και εκπροσωπείται νόμιμα
Στόχος της παρούσας Πολιτικής Ασφάλειας είναι η λήψη μέτρων και η τήρηση διαδικασιών, προκειμένου να εξασφαλίζεται η αδιάλειπτη και εύρυθμη λειτουργία του πληροφοριακού συστήματος της εταιρίας «ΠΑΓΟΥΝΗ ΑΕ παραγωγής και εμπορίας μεταλλικών δομικών προϊόντων», καθώς και η βελτιστοποίηση των προσφερόμενων προϊόντων και υπηρεσιών. Παράλληλα, διασφαλίζεται η προστασία των προσωπικών δεδομένων που διαχειρίζεται η εταιρία από μη εξουσιοδοτημένους χρήστες, καθώς και η προστασία του πληροφοριακού συστήματος από κακόβουλο λογισμικό και κυβερνοεπιθέσεις.
- Ορισμός Πληροφοριακού Συστήματος
Το Πληροφοριακό Σύστημα (ΠΣ) της εταιρίας «ΠΑΓΟΥΝΗ ΑΕ» αποτελείται από το σύνολο του υλικού Τεχνολογίας Πληροφοριών και Επικοινωνιών (ΤΠΕ), του λογισμικού και της πληροφορίας που χρησιμοποιεί η εταιρία κατά τη λειτουργία της. Η Πολιτική Ασφάλειας είναι το σύνολο των βασικών αρχών και κανόνων που καθορίζουν τον τρόπο, με τον οποίο η εταιρία προστατεύει και διαχειρίζεται το Πληροφοριακό της Σύστημα, έτσι ώστε να επιτυγχάνει συγκεκριμένους στόχους ασφάλειας.
- Εμβέλεια της Πολιτικής Ασφαλείας
Η Πολιτική Ασφάλειας αφορά στα παρακάτω:
- Το σύνολο πληροφοριών που συλλέγονται, αποθηκεύονται και χρησιμοποιούνται από το Πληροφοριακό Σύστημα της εταιρίας.
- Το σύνολο υλικού και λογισμικού, το οποίο χρησιμοποιείται για τη διαχείριση αυτών των πληροφοριών.
- Το προσωπικό της εταιρίας, τεχνικούς, υπαλλήλους με κάθε είδους σχέση εργασίας, στελέχη και εξωτερικούς συνεργάτες, οι οποίοι εμπλέκονται στη διαχείριση των πληροφοριών του Πληροφοριακού Συστήματος.
- Πολιτική Εφαρμογή Κανόνων Ασφαλείας
- Η ακολουθούμενη Πολιτική Ασφάλειας είναι έγγραφη και έχει γίνει αποδεκτή από το Διοικητικό Συμβούλιο της «ΠΑΓΟΥΝΗ ΑΕ». Επιπλέον, συμμορφώνεται με τη νομοθεσία που αφορά στη χρήση Πληροφοριακού Συστήματος, τη νομοθεσία για την προστασία των δεδομένων προσωπικού χαρακτήρα, και μέσω αυτής εφαρμόζονται οι αποφάσεις της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και της Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών.
- Η εταιρία και, συγκεκριμένα, το Διοικητικό της Συμβούλιο, φροντίζουν για την ενημέρωση των υπαλλήλων της σχετικά με το Πληροφοριακό Σύστημα και το εν γένει περιεχόμενο της Πολιτικής Ασφάλειας. Επιπλέον, φροντίζουν για την ευαισθητοποίηση κι ενημέρωση του προσωπικού της, το οποίο ενδεχομένως να κάνει χρήση του Πληροφοριακού Συστήματος, για θέματα ασφάλειας.
- Στο πλαίσιο των υποχρεώσεών της, η εταιρία πραγματοποιεί ελέγχους και εξετάζει πιθανά σενάρια για την εμφάνιση νέων προβλημάτων. Σε περίπτωση που παρουσιάζονται νέα προβλήματα, που μπορεί να θέσουν σε κίνδυνο την ομαλή λειτουργία του Πληροφοριακού Συστήματος, η Πολιτική Ασφάλειας θα αναθεωρείται. Επίσης, η εταιρία οφείλει και έχει το δικαίωμα να κάνει ελέγχους για την τήρηση της Πολιτικής Ασφάλειας από το προσωπικό της.
- Σε περιπτώσεις που οι υπάλληλοι και το τεχνικό προσωπικό της εταιρίας χρειάζεται να πάρουν μια απόφαση, η οποία ενδέχεται να επηρεάσει την ασφάλεια του Πληροφοριακού Συστήματος της εταιρίας, συμβουλεύονται το κείμενο της παρούσας Πολιτικής Ασφάλειας και το Διοικητικό Συμβούλιο της εταιρίας.
- Η τήρηση της Πολιτικής Ασφάλειας είναι υποχρεωτική, τόσο για το προσωπικό, όσο και για τους συνεργάτες της εταιρίας.
- Πολιτική Ορθής Χρήσης Πληροφοριακού Συστήματος
- Οι χρήστες χρησιμοποιούν το Πληροφορικό Σύστημα της εταιρίας αποκλειστικά και μόνο για τους καταστατικούς σκοπούς της εταιρίας και σύμφωνα με τα όσα ορίζονται στην ισχύουσα Πολιτική Ασφάλειας. Απαγορεύεται ρητά η χρήση του για προσωπικούς λόγους που ουδεμία σχέση έχουν με την εκτέλεση εργασιών που αφορούν την εταιρία.
- Δεν επιτρέπεται στους χρήστες να προβαίνουν σε ενέργειες που παρακάμπτουν τα μέτρα που έχουν ληφθεί για την ασφάλεια του Πληροφοριακού Συστήματος.
- Σε περιπτώσεις που είναι απαραίτητη η χρήση υλικού ή λογισμικού που δεν ανήκει στην εταιρία, για πραγματοποίηση εργασιών της εταιρίας, εφαρμόζονται τα κατάλληλα μέτρα που εγγυώνται την ασφάλεια του Πληροφοριακού Συστήματος.
- Λογαριασμοί και κωδικοί πρόσβασης στο Πληροφοριακό Σύστημα
- Οι χρησιμοποιούμενοι κωδικοί πρόσβασης είναι ισχυροί και αλλάζουν περιοδικά.
- Κάθε χρήστης πρέπει να χρησιμοποιεί αποκλειστικά και μόνο το δικό του λογαριασμό προκειμένου να εισέλθει στις εφαρμογές και τους δικτυακούς πόρους της εταιρίας.
- Δεν επιτρέπεται στους χρήστες σε καμία περίπτωση να κοινοποιούν τους προαναφερθέντες κωδικούς πρόσβασής τους σε τρίτους, παρά μόνο στην Υπεύθυνη Επεξεργασίας.
- Δεν επιτρέπεται στους χρήστες να αφήνουν τους κωδικούς πρόσβασής τους εκτεθειμένους, με κίνδυνο να γίνουν αντικείμενο εκμετάλλευσης από τρίτους.
- Σε περίπτωση που ένας από τους χρήστες αντιληφθεί ή υποψιαστεί ότι έχουν διαρρεύσει οι κωδικοί πρόσβασής του, έπειτα από άμεση επικοινωνία με το Διοικητικό Συμβούλιο και σχετική ενημέρωσή του για το συμβάν, προβαίνει αμελλητί σε αλλαγή του κωδικού πρόσβασης.
- Πρόσβαση στο διαδίκτυο
- Οι χρήστες χρησιμοποιούν το διαδίκτυο για τους σκοπούς της εργασίας τους και στο πλαίσιο των δραστηριοτήτων της εταιρίας.
- Δεν επιτρέπεται στους χρήστες να επισκέπτονται ιστότοπους με παράνομο ή μη πρέπον λογισμικό/περιεχόμενο, καθώς και ιστότοπους άσχετους με το αντικείμενο εργασιών της Υπεύθυνης Επεξεργασίας.
- Οι λογαριασμοί ηλεκτρονικών ταχυδρομείων των χρηστών του ΠΣ είναι αυστηρώς προσωπικοί. Ειδικά ως προς την ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου με τους πελάτες της εταιρίας υπό την εταιρική επωνυμία και κάνοντας χρήση λογαριασμού με την κατάληξη @pagouni.gr, οι αποδέκτες του παρόντος δεσμεύονται ρητά:
- το περιεχόμενο των μηνυμάτων ηλεκτρονικού ταχυδρομείου που ανταλλάσσουν με τους συναλλασσόμενους της εταιρίας μέσω του εταιρικού τους email να περιορίζεται αυστηρά στην εκτέλεση των εργασιακών καθηκόντων που τους έχουν ανατεθεί από την εταιρία.
- να μη μεταδίδουν εταιρικές πληροφορίες και κάθε είδους δεδομένα σχετικά με την εταιρία που έχουν υποπέσει στην αντίληψή τους στο πλαίσιο άσκησης των εργασιακών τους καθηκόντων, όπως ενδεικτικά εμπορικές πληροφορίες, σχεδιασμούς, κινήσεις, πλάνα, στρατηγικές, φόρμουλες, προγράμματα λογισμικού, αποτελέσματα ελέγχων, μελέτες, υποδείγματα, σχέδια, φωτογραφίες, σκίτσα, προδιαγραφές ή άλλα επαγγελματικά μυστικά, τεχνογνωσία ή ευρήματα.
- να φροντίζουν η επικοινωνία τους με τους τρίτους να κινείται πάντα στο πλαίσιο της Πολιτικής Προστασίας Προσωπικών Δεδομένων που έχει θέσει η εφαρμογή η εταιρία, να σέβονται τις αρχές λειτουργίας της και τους πελάτες της, αφού κατά την επικοινωνία τους με αυτούς εκφράζουν και εκπροσωπούν την εταιρία.
- Χρήση Πληροφοριακού Συστήματος από συνεργάτες της εταιρίας
- Οι συνεργάτες της εταιρίας γνωρίζουν την ισχύουσα Πολιτική Ασφάλειας, η οποία άλλωστε είναι κοινοποιημένη και στην ιστοσελίδα της εταιρίας https://www.pagouni.gr/, και συμμορφώνονται με αυτή, ενώ οι ενέργειές τους σε καμία περίπτωση δε θέτουν σε κίνδυνο την ασφάλεια του Πληροφοριακού Συστήματος.
- Δεν επιτρέπεται στους συνεργάτες και στο προσωπικό της εταιρίας να αποκαλύπτουν πληροφορίες σχετικά με δεδομένα της εταιρίας ή προσωπικά δεδομένα χρηστών, στα οποία απέκτησαν πρόσβαση κατά τη διάρκεια των εργασιών που τους ανατέθηκαν από την εταιρία.
- Τα άτομα τα οποία πραγματοποιούν εργασίες στο ΠΣ της εταιρίας, για λογαριασμό της εταιρίας, καθώς και οι ώρες έναρξης και λήξης των εργασιών, καταγράφονται, όπως και οι εκτελεσθείσες εργασίες. Σε περιπτώσεις που απαιτείται η διενέργεια εργασιών μέσω απομακρυσμένης πρόσβασης, καταγράφονται οι ενέργειες και τα στοιχεία του χρήστη ή συνεργάτη και ο ίδιος παραδίδει αναφορά με το λόγο σύνδεσης και τα αποτελέσματα των εργασιών του.
- Η πρόσβαση των συνεργατών στο Πληροφοριακό Σύστημα της εταιρίας διαρκεί μόνο για το διάστημα εκτέλεσης των εργασιών, ενώ τα δικαιώματα πρόσβασης αυτών, είναι τα ελάχιστα δυνατά, ήτοι τα απολύτως απαραίτητα για την εκτέλεση των εργασιών τους.
- Δεν επιτρέπεται η εκούσια αποστολή μέσω του ΠΣ της εταιρίας μηνυμάτων spam ή μηνυμάτων με βλαβερό περιεχόμενο.
- Οι χρήστες είναι ιδιαίτερα προσεκτικοί, όταν ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου ή συνημμένα αρχεία, από άγνωστους αποστολείς ή με μη αναμενόμενο θέμα. Σε περίπτωση που αντιληφθούν ή υποψιαστούν ότι ένα μήνυμα είναι βλαβερό, ειδοποιούν άμεσα το Διοικητικό Συμβούλιο της εταιρίας προτού το ανοίξουν.
- Δεν επιτρέπεται στους χρήστες να χρησιμοποιούν συστήματα ηλεκτρονικού ταχυδρομείου άλλων παρόχων, εκτός του συστήματος της εταιρίας, για τη διακίνηση υπηρεσιακής ηλεκτρονικής αλληλογραφίας.
- Η διακίνηση πληροφοριών από τους συνεργάτες και το προσωπικό της εταιρίας μέσω προσωπικών λογαριασμών τους ηλεκτρονικού ταχυδρομείου, Viber, WhatsApp και άλλων συναφών μέσων επικοινωνίας και δικτύωσης δεν αναγνωρίζεται από την εταιρία και σε καμία περίπτωση δεν μπορεί να θεωρηθεί ότι έγινε επ’ ονόματι και για λογαριασμό της.
- Ασφάλεια Εγκαταστάσεων και Εξοπλισμού Πληροφοριακού Συστήματος της Εταιρίας
- Οι εξυπηρετητές βρίσκονται τοποθετημένοι σε ειδικό χώρο, στον οποίο εξασφαλίζεται ελεγχόμενη φυσική πρόσβαση και στον οποίο επικρατούν συνθήκες που εξασφαλίζουν την ομαλή λειτουργία του εξοπλισμού.
- Ο χώρος εξυπηρετητών διατηρείται κλειδωμένος και πρόσβαση σε αυτόν παρέχεται μόνο στους έχοντες εργασία κι αποκλειστικά γι’ αυτόν το λόγο.
- Οι εξυπηρετητές και ο ζωτικής σημασίας δικτυακός εξοπλισμός υποστηρίζονται από συσκευές αδιάλειπτης παροχής ηλεκτρικού ρεύματος.
- Εξοπλισμός ο οποίος βρίσκεται τοποθετημένος σε διάφορα σημεία του κτιρίου της εταιρίας, εκτός χώρου εξυπηρετητών (π.χ. τηλεφωνικό κέντρο, δικτυακός εξοπλισμός, συσκευές αδιάλειπτης παροχής ρεύματος), όπως και τμήμα ενδεχόμενης καλωδίωσης, είναι τοποθετημένος μέσα σε ειδικούς φωριαμούς.
- Σε όλο τον υλικό εξοπλισμό της εταιρίας, έχουν τοποθετηθεί (και τοποθετούνται κατά την αγορά νέου) ετικέτες, οι οποίες υποδηλώνουν ότι ο εν λόγω εξοπλισμός αποτελεί περιουσία της εταιρίας.
- Οι βλάβες και οι ενέργειες συντήρησης του βασικού εξοπλισμού (π.χ. εξυπηρετητές) καταγράφονται.
- Ασφάλεια Δικτύου
- Η λειτουργία του δικτύου παρακολουθείται από το αρμόδιο τμήμα της εταιρίας, σε συνεργασία με αρμόδιους τεχνικούς, έτσι ώστε να μπορούν να εντοπιστούν ασυνήθιστες καταστάσεις.
- Οι IP διευθύνσεις των εσωτερικών συσκευών του δικτύου δεν είναι ανιχνεύσιμες από εξωτερικά δίκτυα.
- Ασφάλεια Λογισμικού και Δεδομένων της εταιρίας
- Χρησιμοποιείται λογισμικό το οποίο δεν εκθέτει σε κίνδυνο το Πληροφοριακό Σύστημα της εταιρίας.
- Υπάρχει πολιτική λήψης αντιγράφων ασφαλείας της κατάστασης των εξυπηρετητών (φυσικών & virtual), καθώς και των δεδομένων που είναι αποθηκευμένα στους εξυπηρετητές.
- Το σύνολο του εξοπλισμού προστατεύεται από λογισμικό αντιμετώπισης κακόβουλου λογισμικού. Η βάση δεδομένων αυτού τηρείται συνεχώς ενημερωμένη.
- Πολιτική Ελέγχου Πρόσβασης
- Η πρόσβαση στο εσωτερικό δίκτυο της εταιρίας γίνεται μέσω κατάλληλου εξυπηρετητή.
- Κάθε χρήστης έχει τα ελάχιστα δικαιώματα πρόσβασης στους κοινόχρηστους πόρους - φακέλους, τα οποία είναι απαραίτητα για την εκτέλεση των καθηκόντων που του έχουν ανατεθεί.
- Τα δικαιώματα πρόσβασης στο Πληροφοριακό Σύστημα της εταιρίας που παρέχονται στους χρήστες τηρούνται καταγεγραμμένα σε σχετικό κατάλογο ή εναλλακτικά μπορούν να εξαχθούν από το Πληροφοριακό Σύστημα, μέσω άλλων διαδικασιών.
- Σε κρίσιμες, τουλάχιστον, εφαρμογές είναι δυνατός ο εντοπισμός του ατόμου, το οποίο πραγματοποίησε μια ενέργεια/μεταβολή.
- Πολιτική Ανάκαμψης από καταστροφές ή σοβαρές βλάβες
- Η εταιρία λαμβάνει όλα τα απαραίτητα μέτρα για την αποκατάσταση της λειτουργικότητας/επαναφορά του υλικού, το οποίο είναι ζωτικής σημασίας για τη λειτουργία του Πληροφοριακού Συστήματος, όπως εξυπηρετητές ή δικτυακός εξοπλισμός. Ενδεικτικά μέτρα που έχουν ληφθεί είναι η ύπαρξη εφεδρικού εξοπλισμού, όπου απαιτείται, και η σύναψη σύμβασης για συντήρηση ή και αντικατάσταση του υλικού μετά από βλάβη.
- Η εταιρία φροντίζει για την ύπαρξη συστημάτων, τα οποία κρατούν αντίγραφα ασφαλείας, ώστε να μπορεί να γίνει ανάκτηση των δεδομένων/πληροφορίας (backup servers).
- Πολιτική Προστασίας Προσωπικών Δεδομένων
- Η εταιρία πρέπει να συμμορφώνεται με τη νομοθεσία για την προστασία των προσωπικών δεδομένων και το απόρρητο των επικοινωνιών.
- Η εταιρία επεξεργάζεται προσωπικά δεδομένα του προσωπικού, μόνο για λόγους που συνδέονται με την εργασία του και την εκπλήρωση υποχρεώσεών της που απορρέουν από τη φορολογική και την ασφαλιστική νομοθεσία, όπως αναλύεται και στην Πολιτική Προστασίας Προσωπικών Δεδομένων της εταιρίας.
- Η εταιρία προβαίνει σε συλλογή και τήρηση προσωπικών δεδομένων μόνο στις περιπτώσεις που είναι απαραίτητο για την εκπλήρωση των υποχρεώσεών της και σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΓΚΠΔ) και την ισχύουσα εθνική νομοθεσία. Πρόσβαση σε αυτά έχουν μόνο όσοι υπάλληλοι είναι απαραίτητο και επιτρέπεται να τα χρησιμοποιούν μόνο για τους σκοπούς της εργασίας τους. Αρχεία με προσωπικά δεδομένα ειδικών κατηγοριών δεν τηρούνται, ούτε γίνεται επεξεργασία τέτοιου είδους δεδομένων με οποιονδήποτε τρόπο.
- Τα υποκείμενα των δεδομένων έχουν πρόσβαση στις πληροφορίες που τους αφορούν. Ταυτόχρονα είναι σε θέση να ασκήσουν τα λοιπά δικαιώματά τους, σύμφωνα με το ΓΚΠΔ.
- Σε περίπτωση παραβίασης της ασφάλειας προσωπικών δεδομένων, εφαρμόζονται οι διαδικασίες που προβλέπονται στον ΓΚΠΔ.
Αναλυτικά ως προς την Πολιτική Προστασίας Προσωπικών Δεδομένων της εταιρίας, ιδέτε το σχετικό έντυπο, το οποίο βρίσκεται αναρτημένο τόσο σε εμφανές σημείο στην έδρα της εταιρίας, όσο και στην ιστοσελίδα της.