Środki techniczne i organizacyjne

21 gru 2023

Środki techniczne i organizacyjne

Niniejsze Środki Techniczne i Organizacyjne dotyczą wszystkich lokalizacji biur spółki CitNOW Group, a także jej zaplecza badawczo-rozwojowego.

Informacje o CitNOW Group

CitiNOW Group stworzono, aby wykorzystywać innowacje i pomagać sprzedawcom detalicznym i producentom w zapewnianiu klientom wyjątkowych doświadczeń w oparciu o wizję przekształcenia sposobu, w jaki komunikuje się świat motoryzacji.

Spółka CitNOW Group oferuje szereg usług na różnych etapach podróży klienta. Więcej informacji na temat każdej usługi zawiera strona Marki i rozwiązania.

Spółka CitNOW Group obejmuje CitNOW, CitNOW Imaging, CitNOW Triage and Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) oraz Web1on1 (spółkę prowadzącej działalność pod nazwą CitNOW Conversations). Nasza działalność ma charakter globalny – jesteśmy obecni w 82 krajach, gdzie zainstalowaliśmy ponad 19 500 urządzeń i nawiązaliśmy współpracę z wieloma dostawcami komplementarnych rozwiązań dla przemysłu motoryzacyjnego.

Cel and zakres

CitNOW Group przetwarza dane klientów i konsumentów w imieniu naszych klientów z branży motoryzacyjnej. Mając to na uwadze, CitNOW Group szanuje prywatność i wartość powyższych danych, a także zaufanie, jakim obdarzają nas klienci.

Poniżej przedstawiono środki techniczne i organizacyjne mające na celu zapewnienie ochrony i bezpieczeństwa danych. Celem jest zagwarantowanie poufności, integralności i dostępności przetwarzanych informacji. Aby uzyskać bardziej szczegółowe informacje na temat obiektów centrum danych, kliknij odsyłacze u dołu dokumentu.

Podejście

Będziemy:

stosować wszelkie uzasadnione, odpowiednie, praktyczne skuteczne środki bezpieczeństwa w celu ochrony naszych ważnych procesów i aktywów, aby osiągać wyznaczone cele w zakresie bezpieczeństwa;
spełniać wszystkie wymagania normy ISO 27001:2022 w ramach naszego Systemu Zarządzania Bezpieczeństwem Informacji;
stosować normę ISO 27002 jako ramy podejścia do zarządzania bezpieczeństwem;
stale weryfikować sposób stosowania środków bezpieczeństwa, aby móc ulepszać sposób ochrony naszej działalności;
chronić własne zasoby informacyjne i zarządzać nimi, aby umożliwić wywiązanie się z zobowiązań umownych, legislacyjnych i dotyczących prywatności;
stosować wszelkie uzasadnione, odpowiednie, praktyczne i skuteczne środki w celu przekazywania informacji stronom trzecim, które potrzebują do nich dostępu;
zapewniać zgodność z przepisami ogólnego rozporządzenia o ochronie danych (RODO), brytyjskiego ogólnego rozporządzenia o ochronie danych (RODO UK), europejskiego ogólnego rozporządzenia o ochronie danych (RODO UE) za pośrednictwem naszych przedstawicieli ds. RODO w spółce, a także niezależnego zewnętrznego Inspektora Ochrony Danych (IOD);
wykorzystywać ramy i wytyczne mechanizmu TISAX, aby spełnić wymagania dotyczące bezpieczeństwa informacji konsumenckich i regulacyjnych w ramach zasad obowiązujących w spółce CitNOW Group.

Zasady bezpieczeństwa informacji
1. Spółka CitNOW Group zdefiniowała zbiór Zasad bezpieczeństwa informacji, które został zatwierdzony przez Zarząd i określa podejście organizacji do zarządzania celami w zakresie bezpieczeństwa informacji.
2. Zasady bezpieczeństwa informacji ustanowiono w celu zaadresowania wymagań wynikających ze strategii biznesowej, przepisów, legislacji, umów oraz obecnego i przewidywanego środowiska zagrożeń bezpieczeństwa informacji. Powyższe zasady stanowią również wymóg naszych akredytacji ISO 27001, Cyber Essentials Plus i TISAX (w stosownych przypadkach, w zależności od podmiotu). Poniższe zasady dotyczą wszystkich pracowników:
  - Zasady kontroli dostępu,
  - Zasady dopuszczalnego użytkowania,
  - Zasady zarządzania zmianami,
  - Zasady klasyfikacji informacji,
  - Zasady zarządzania zdarzeniami naruszającymi bezpieczeństwo informacji,
  - Zasady przekazywania informacji,
  - Zasady dotyczące urządzeń mobilnych i telepracy,
  - Zasady bezpieczeństwa fizycznego,
  - Zasady czystego biurka i czystego ekranu,
  - System zarządzania hasłami,
  - Zasady dotyczące kryptografii,
  - Zasady dotyczące personelu, w tym przyjmowania, weryfikacji i zwalniania personelu,
  - Zasady korzystania z przeglądarki internetowej.
3. Oprócz powyższych mogą mieć również zastosowanie dodatkowe obowiązkowe zasady, w zależności od stanowiska pracownika.
4. Przegląd wszystkich zasad bezpieczeństwa informacji CitNOW Group jest przeprowadzany co najmniej raz w roku lub za każdym razem, gdy wprowadzane są istotne zmiany, które miałyby wpływ na zasady, niezależnie od charakteru zmiany (np. zmiana biznesowa, zmiana przepisów, zmiana technologii).
Zarządzanie ryzykiem
1. CitNOW Group stosuje kompleksowe, ale pragmatyczne podejście do identyfikacji, analizy i zarządzania ryzykiem, a także do jego bieżącego monitorowania i przeglądu. Powyższe wskazano w naszym dokumencie Ocena Ryzyka i Metodologia Postępowania. Omówiono w nim ryzyko wynikające z kwestii wewnętrznych i zewnętrznych, niezależnie od tego, czy są to zagrożenia, czy szanse, oraz wskazano podejście do ryzyka wynikającego z obowiązujących przepisów.
2. Funkcjonuje również aktualny Rejestr Ryzyka, służący do mapowania i zarządzania ryzykiem stwierdzonym w trakcie identyfikacji i analizy. Jest on również wykorzystywany do dokumentowania działań i wykazania powiązań z kontrolami i zasadami wybranymi przez organizację w celu przeciwdziałania zagrożeniom i wykorzystania szans.
Środki organizacyjne
1. Role i obowiązki: CitNOW Group identyfikuje kluczowe role i obowiązki w zakresie bezpieczeństwa informacji i ochrony danych. Te konkretne role są przydzielane i przekazywane, aby nie tylko skutecznie zarządzać bezpieczeństwem informacji, ale także aby wyniki działania systemu zarządzania bezpieczeństwem były przekazywane najwyższemu kierownictwu.
  1. Kierownik ds. operacji bezpieczeństwa i ryzyka: Zajmuje się kierowaniem i zarządzaniem komitetem ISO w celu zapewnienia utrzymania akredytacji systemów zarządzania bezpieczeństwem informacji (ISMS) oraz ISO. Odpowiada również za bezpieczeństwo informacji w organizacji oraz za zarządzanie ryzykiem.
  2. Kierownik ds. zgodności z przepisami i ochrony danych w Grupie: Kieruje Zespołem ds. zgodności w grupie i odpowiada za obszary akredytacji systemów zarządzania bezpieczeństwem informacji (ISMS) związane z kwestiami prawnymi, umownymi i ochroną danych. Pełni odpowiedzialność za praktyki podlegające RODO zarówno w naszych biurach w Zjednoczonym Królestwie, jak i w UE.
  3. Komitet ISO: Odpowiada za codzienne prowadzenie i utrzymanie akredytacji systemów zarządzania bezpieczeństwem informacji (ISMS), wdrażanie zasad i procedur oraz zapewnienie ich przestrzegania przez personel. Zarządza działaniami korygującymi i usprawnieniami oraz ryzykiem i sposobami postępowania.
  4. Audytorzy wewnętrzni: Osoby te uczestniczyły w zalecanym kursie dla Audytorów Wewnętrznych ISO 27001 i w związku z tym są odpowiedzialne za przeprowadzanie wszystkich audytów wewnętrznych zgodnie z programem audytu.
  5. Zarząd odpowiedzialny za ISMS i RODO: Stanowi punkt kontaktowy dla komitetu ISO i Zarządu CitNOW Group. Odpowiada za podpisywanie nowych zasad i procedur w ramach ISO oraz zapewnienie, że pracujemy zgodnie z naszymi kluczowymi wskaźnikami efektywności. Odpowiada również za akceptację ryzyka zgodnie z przyjętą przez spółkę metodologią ryzyka.
  6. Inspektor Ochrony Danych: Odpowiada za zapewnienie, że CitNOW Group przestrzega wszystkich aspektów przepisów RODO, zarówno w Zjednoczonym Królestwie, jak i UE.
  7. Przedstawiciel UE: Wyznaczony przez nas Przedstawiciel UE w odniesieniu do RODO UE odpowiada za współpracę z organami nadzorczymi UE w związku z RODO oraz za kontakty z Podmiotami Danych zamieszkałymi w UE.
  8. Mistrzowie RODO: Odpowiadają za codzienne kontakty w zakresie RODO w spółce, dbają o aktualne zasady, takie jak wskazane w art. 30 zasady dokumentacji przetwarzania danych, rejestr naruszeń itp. Odpowiadają również za przestrzeganie Informacji o ochronie prywatności i zapewnienie codziennej zgodności z przepisami w odniesieniu do obowiązków, jakie mamy wobec Podmiotów Danych i klientów.
2. Podział obowiązków: Podział obowiązków stosuje się w celu dopilnowania, aby sprzeczne obowiązki nie zostały przypisane tej samej osobie, oraz aby zapobiec sytuacji, w której jedna osoba mogłaby uzyskać dostęp do zasobów, modyfikować je lub wykorzystywać bez upoważnienia lub wykrycia.
3. Informacje o zagrożeniach: Aby zrozumieć potencjalne zagrożenia i luki w zabezpieczeniach, które mogą mieć wpływ na bezpieczeństwo informacji, gromadzimy i analizujemy informacje o zagrożeniach z dobrze znanych źródeł. Dzięki temu jesteśmy świadomi zagrożeń, które mogą mieć na nas wpływ i w razie potrzeby możemy podjąć odpowiednie działania. Wszelkie informacje o zagrożeniach, które mogą mieć wpływ na organizację, są rejestrowane w Rejestrze Ryzyka i stosujemy wobec nich naszą metodę postępowania z ryzykiem.
4. Bezpieczeństwo informacji w zarządzaniu projektami: Działy produktowe grupy stosują przepływ pracy nad produktem, obejmujący konieczność zaangażowania Działu ds. zgodności z przepisami na wczesnych etapach projektu oraz przeprowadzenie oceny ryzyka. Jeżeli którykolwiek z Projektów będzie miał wpływ na prywatność naszych klientów, pracowników lub konsumentów, będziemy postępować zgodnie z naszymi procedurami oceny skutków dla ochrony danych. Jeśli w dany projekt zaangażowana jest strona trzecia, przestrzegana będzie również Procedura Bezpieczeństwa Dostawcy.
5. Inwentaryzacja informacji i innych zasobów: Korzystamy z Narzędza do śledzenia zasobów informacyjnych i Narzędzia do śledzenia zasobów fizycznych, które monitorują nasze zasoby przez cały cykl ich życia. Właściciel zasobów odpowiada za właściwe zarządzanie danym zasobem przez cały cykl jego życia oraz za ochronę zasobu zgodnie z klasyfikacją informacji. Wszystkie zasoby informacyjne posiadane przez spółkę CitNOW Group muszą zostać jej zwrócone po rozwiązaniu stosunku pracy lub zawarciu umowy ze stroną trzecią.
6. Dopuszczalne wykorzystanie informacji i innych powiązanych zasobów: W CitNOW Group obowiązują Zasady dopuszczalnego użytkowania dotyczące korzystania z systemów informatycznych i zasobów spółki. Kładą one nacisk na odpowiedzialne wykorzystanie do celów biznesowych, zakazują nieautoryzowanych działań i zapewniają bezpieczeństwo danych. Pracownicy muszą przestrzegać wytycznych dotyczących aktualizacji oprogramowania, korzystania z Internetu, komunikacji e-mail i zgłaszania incydentów.
7. Postępowanie z zasobami: Tam, gdzie to możliwe, CitNOW Group unika samodzielnego tworzenia zasobów informacyjnych w formie papierowej i stara się tworzyć wyłącznie informacje cyfrowe. Informacje cyfrowe są chronione przed nieautoryzowanym dostępem za pomocą środków obejmujących kontrolę dostępu.
8. Klasyfikacja i oznakowanie informacji: CitNOW Group stosuje trzy poziomy poufności zdefiniowane za pomocą „Matrycy Klasyfikacji Informacji” (informacje poufne, publiczne i wewnętrzne). Cała dokumentacja musi być wyraźnie oznaczona odpowiednią etykietą poufności, a do informacji oznaczonych jako „poufne” należy dołączyć Listę Osób Upoważnionych.
9. Przekazywanie informacji: CitNOW Group stosuje zasady przekazywania informacji, które zapewniają, że wszystkie transfery informacji/danych w CitNOW Group, zarówno wewnętrzne, zewnętrzne, jak i do stron trzecich, spełniają minimalne wymogi bezpieczeństwa. Zasady przedstawiają role i obowiązki, metody bezpiecznego przesyłania oraz wytyczne dotyczące obsługi różnych formatów informacji, w tym poczty elektronicznej, wiadomości błyskawicznych i urządzeń pamięci zewnętrznej. Omawiane zasady, podkreślając znaczenie zgodności z przepisami i właściwej klasyfikacji informacji, odnoszą się do wszystkich pracowników i stron trzecich.
10. Kontrola dostępu: CitNOW Group stosuje zasady kontroli dostępu, wskazujące reguły dostępu do systemów, wyposażenia, obiektów i informacji w oparciu o potrzeby biznesowe i bezpieczeństwa. Dostęp odbywa się na zasadach „domyślnej odmowy” i „potrzeby wiedzy”. Kontrola dostępu oparta na rolach (RBAC) jest zgodna z zasadą „najmniejszych uprawnień”, a prawa dostępu są poddawane corocznemu przeglądowi. Dział IT kontroluje dostęp do sieci, udzielając go tylko wtedy, gdy jest to konieczne.
11. Obowiązki użytkownika i zarządzanie hasłami: Wszyscy użytkownicy systemów CitNOW Group muszą posiadać unikalny identyfikator użytkownika i wymagają uwierzytelnienia za pomocą hasła. Hasła powinny być traktowane jako poufne i nie mogą być rozpowszechniane żadnym kanałem (ustnie, pisemnie ani elektronicznie itp.), ani zapisywane w systemie informatycznym, chyba że w zatwierdzonym sejfie na hasła (lub skarbcu). Użytkownicy muszą stosować dobre praktyki bezpieczeństwa podczas wybierania i używania haseł oraz przestrzegać zobowiązań określonych w zasadach dotyczących haseł.
12. Zarządzanie dostępem użytkowników: Techniczną realizacją przydzielania lub odbierania podstawowych uprawnień dostępu pracowników CitNOW Group zajmuje się Dział IT i Dział HR. Techniczną realizacją przyznania lub odebrania praw dostępu zajmują się Właściciele Systemu. Podział obowiązków i segregacja kont uprzywilejowanych od kont nieuprzywilejowanych jest wdrażana wszędzie tam, gdzie jest to możliwe i praktyczne. Prawa dostępu są co najmniej raz w roku monitorowane i poddawane regularnym przeglądom.
13. Bezpieczeństwo informacji w relacjach z dostawcami: Spółka CitNOW Group stosuje Zasady Bezpieczeństwa Dostawców. Ich celem jest zapewnienie, że wymiana informacji ze stronami trzecimi odbywa się w taki sposób, aby można było uzyskać maksymalną korzyść z utrzymywanych relacji, przy jednoczesnej ochronie zasobów informacyjnych spółki CitNOW Group przed nadużyciami. Wszystkie strony trzecie mające dostęp do danych lub informacji posiadają aktualną umowę o zachowaniu poufności i o nieujawnianiu informacji. Powyższe zależy od rodzaju dostawcy i jest określone w umowie lub umowie o świadczenie usług. Istnieje również wewnętrzna procedura zewnętrzna, która gwarantuje, że wszyscy pracownicy postępują zgodnie z odpowiednimi procedurami podczas rozważania wyboru nowego dostawcy, oraz że w proces ten zaangażowany jest zespół ds. zgodności z przepisami, który zapewni przeprowadzenie wszystkich niezbędnych kontroli.
14. Dostawcy dbający o bezpieczeństwo dostawców: Tam, gdzie to możliwe, współpracujemy z dostawcami, którzy już spełniają większość naszych potrzeb w zakresie bezpieczeństwa informacji w odniesieniu do usług, które nam świadczą, i mają dobre osiągnięcia w odpowiedzialnym rozwiązywaniu problemów związanych z bezpieczeństwem informacji. Wybieramy wiodących i cieszących się zaufaniem dostawców usług, którzy są znani ze swojej solidności, niezawodności i bezpieczeństwa i o ile to możliwe, zwracamy się do dostawców już posiadających certyfikat ISO 27001 lub równoważny.
15. Monitorowanie, przegląd i zarządzanie zmianami dostawców: Wszyscy dostawcy CitNOW Group przechodzą szczegółową kontrolę bezpieczeństwa przed rozpoczęciem świadczenia usług. Proces przeglądu ma charakter ciągły. Dostawcy o kluczowym znaczeniu są oceniani co roku, a dostawcy o znaczeniu drugorzędnym podlegają ocenie na koniec umowy lub przed jej przedłużeniem. Aby zapewnić najlepsze wyniki przy zarządzaniu zmianami w usługach dostawców, bierzemy pod uwagę szereg czynników. Najlepszą praktyką jest zbadanie i ocena trzech potencjalnych dostawców przed dokonaniem ostatecznego wyboru. Do najważniejszych czynników należą:
  - charakter zmiany;
  - rodzaj dostawcy, którego dotyczy problem, oraz kluczowy charakter informacji, systemów i procesów biznesowych, a także ponowna ocena ryzyka;
  - bliskość relacji; oraz
  - nasza zdolność do wywierania wpływu na zmiany u dostawcy lub na kontrolowanie zmiany u dostawcy.
16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji: Procedury reagowania na incydenty są ustalane z wyprzedzeniem, aby zapewnić uporządkowane podejście do ich wystąpienia. Procedury te określają role i obowiązki personelu w zakresie zgłaszania incydentów związanych z bezpieczeństwem i reagowania na nie, tworząc spójne ramy zarządzania. Początkowym zadaniem jest ocena zdarzenia i podjęcie decyzji o działaniach mających na celu zminimalizowanie naruszenia dostępności, integralności lub poufności (CIA) informacji, zapobieżenie dalszym incydentom, zminimalizowanie zakłóceń oraz wskazanie osób, które muszą zostać poinformowane, w tym personelu wewnętrznego, klientów, dostawców i organów regulacyjnych, biorąc pod uwagę wymagania RODO i ustawy z 2018 r. o ochronie danych. Po dokonaniu oceny, wyznaczona osoba skontaktuje się z odpowiednimi stronami w celu rozwiązania problemu. Czas reakcji różni się w zależności od klasyfikacji i wagi incydentu. Jeśli incydent ma wpływ na klientów, powiadomimy ich zgodnie z zobowiązaniami prawnymi i umownymi, w granicach określonych przepisami prawa, po przeprowadzeniu dokładnego dochodzenia.
17. Bezpieczeństwo informacji podczas zakłóceń: Spółka CitNOW Group zidentyfikowała różne scenariusze, które mogą potencjalnie wpłynąć na działalność firmy, a także udokumentowała kroki mające na celu ograniczenie skutków takich zdarzeń w ramach planu ciągłości działania [Business Continuity Plan, BCP]. Powyższy plan ma na celu pomoc w terminowym wznowieniu działalności w przypadku incydentu zakłócającego. Testowanie i utrzymanie w CitNOW Group planu ciągłości działania, prowadzone w celu zapewnienia jego spójności z celami w zakresie bezpieczeństwa informacji, odbywa się w oparciu o poniższe czynności:
  - Testowanie poszczególnych elementów planu i ich wpływu na bezpieczeństwo informacji przeprowadzane z częstotliwością zależną od prawdopodobieństwa wystąpienia ryzyka i jego skutków zgodnie z oceną ryzyka.
  - Regularne planowanie Audytów BCP zgodnie z programem audytów.
  - Przeglądy samego planu pod kątem jego adekwatności, przeprowadzane przez zespoły ds. zgodności i IT, a także przedstawianie Zarządowi wszelkich zidentyfikowanych korzystnych zmian.
  - Co najmniej raz w roku przeprowadzanie ćwiczenia symulacyjnego dotyczącego pełnej ciągłości działania, aby zapewnić, że pozostaje ono częścią zintegrowanego podejścia do działalności i jej zdolności do osiągania związanych z nią celów.
18. Obowiązujące ustawodawstwo: Obowiązujące przepisy, regulacje i wymogi umowne mające wpływ na CitNOW Group są identyfikowane, dokumentowane, monitorowane i poddawane przeglądowi w ramach zwykłego toku działalności oraz w ramach przeglądów zarządczych.
19. Prawa własności intelektualnej: Spółka CitNOW Group przedstawia swoje podejście do ochrony własnych praw własności intelektualnej (IPR) poprzez poniższe środki wynikające z ustalonych zasad i umów, obejmujące:
  - Zasady i warunki zatrudnienia,
  - Usuwanie informacji,
  - Umowy o zachowaniu poufności lub o nieujawnianiu informacji.
20. Ochrona dokumentacji: Dokumentacja CitNOW Group jest chroniona przed utratą, zniszczeniem, fałszerstwem, nieuprawnionym dostępem i nieuprawnionym udostępnieniem, zgodnie z wymogami ustawowymi, regulacyjnymi, umownymi i biznesowymi. Określone dokumenty są przechowywane zgodnie z zasadami przechowywania danych. Harmonogram oraz [missing word] podlegają zarządowi sprawowanemu przez odpowiedniego właściciela informacji/ zasobów.
21. Przegląd bezpieczeństwa informacji: W ramach naszego zobowiązania do ciągłego doskonalenia usług, zasady bezpieczeństwa informacji CitNOW Group obejmują procedury podlegające niezależnemu przeglądowi w regularnych odstępach czasu i po wprowadzeniu zmian. Corocznie planowane są również audyty wewnętrzne, w ramach których do przeprowadzenia audytu zostaje przydzielony odpowiedni personel.
22. Przegląd techniczny: Testy podatności i testy penetracyjne są przeprowadzane na każdym produkcie co roku przez wykwalifikowaną firmę specjalizującą się w testach penetracyjnych, ich wyniki są weryfikowane, a wszelkie luki w zabezpieczeniach korygowane.
23. Procedury operacyjne: CitNOW Group posiada procedury operacyjne i umożliwia dyrektorom oraz kierownikom działów decydowanie o tym, gdzie przechowywać procedury operacyjne, które najlepiej odpowiadają im i ich pracownikom, a także tworzenie takiej dokumentacji.
Środki osobowe
1. Screening: Globalna Polityka Rekrutacji i Selekcji CitNOW Group obejmuje działania screeningowe, które mają być przeprowadzone dla wszystkich nowo zatrudnionych pracowników. Obejmują one, między innymi, dowody potwierdzające posiadane uprawnienia do pracy oraz dwie zadowalające referencje zawodowe.
2. Warunki oferowane pracownikom: Wszyscy nowi pracownicy CitNOW Group otrzymują umowę dostosowaną do podmiotu, z którym nawiązują współpracę w momencie złożenia Oferty Zatrudnienia. Powyższe umowy nakładają na pracownika ścisłe obowiązki dotyczące nieujawniania informacji i zachowania poufności oraz opisują obowiązki związane z przestrzeganiem zasad bezpieczeństwa informacji.
3. Świadomość, edukacja i szkolenia w zakresie bezpieczeństwa informacji: Po dołączeniu do spółki pracownicy muszą wziąć udział w szkoleniach „DNA”, które w pełni wprowadzają w jej działalność, w tym, w sesjach prowadzonych przez członków naszego Zespołu ds. bezpieczeństwa organizacji. Ciągłe szkolenie i podnoszenie świadomości wszystkich obecnych pracowników odbywa się w formie e-learningu i kampanii phishingowych. Pracownicy są również zachęcani do poszukiwania szkoleń oraz wnioskowania o szkolenia, które ich zdaniem byłyby korzystne w odniesieniu do posiadanych przez nich umiejętności.
4. Zasady postępowania dyscyplinarnego: Bezpieczeństwo informacji jest ważne, a z kolei powtarzające się nieprzestrzeganie zasad CitNOW Group lub celowe spowodowanie poważnego naruszenia ochrony danych może skutkować podjęciem czynności dyscyplinarnych; w razie potrzeby i w stosownych przypadkach dział HR spółki CitNOW Group będzie działał zgodnie z zasadami postępowania dyscyplinarnego odnoszącego się do pracowników rynku brytyjskiego. Zasady postępowania dyscyplinarnego dotyczą wszystkich pracowników na rynku brytyjskim. Ze względu na odmienne przepisy prawne obowiązujące na innych rynkach, zespół HR będzie zajmował się sprawami dyscyplinarnymi na innych rynkach zgodnie z lokalnymi przepisami prawa.
5. Rozwiązanie stosunku pracy lub zmiana zatrudnienia: W przypadku rozwiązania stosunku pracy kwestie takie jak nieujawnianie informacji i zachowanie w zakresie informacji poufnych po odejściu z organizacji są podejmowane zgodnie z Warunkami zatrudnienia i są przypominane pracownikom podczas rozmowy końcowej z zespołem HR. Odzyskiwanie zasobów osób opuszczających spółkę odbywa się zgodnie z zasadami Zwrotu Zasobów, a usuwanie zasobów ze wszystkich systemów przeprowadza się zgodnie z Zasadami kontroli dostępu.
6. Umowy o zachowaniu poufności oraz nieujawnianiu informacji Umowy o poufności i o nieujawnianiu informacji dotyczą wymagań w sprawie ochrony informacji poufnych przy użyciu prawnie egzekwowalnych warunków. Umowy o zachowaniu poufności lub o nieujawnianiu informacji mają zastosowanie i są wymagane wobec wszystkich zewnętrznych stron lub pracowników spółki CitNOW Group. Są one zawierane w formie podpisanej umowy o zachowaniu poufności albo w formie pełnego postanowienia o zachowaniu poufności stanowiącego część danej umowy.
7. Zgłaszanie zdarzeń i niedociągnięć związanych z bezpieczeństwem informacji: Każdy pracownik, dostawca lub inna strona trzecia, która ma dostęp do informacji i/lub systemów spółki CitNOW Group lub jej klientów, musi zgłaszać wszelkie niedociągnięcia systemu, incydenty lub zdarzenia, które mogą prowadzić do potencjalnego zdarzenia naruszającego bezpieczeństwo. Informacje o tym, jak zgłaszać powyższe zdarzenia lub niedociągnięcia, stanowią część naszych ciągłych szkoleń z zakresu bezpieczeństwa informacji, prowadzonych dla wszystkich pracowników CitNOW Group oraz w ramach procesu wdrażania dla dostawców i innych stron trzecich.
Środki fizyczne
1. Wejście fizyczne: Fizyczne środki bezpieczeństwa we wszystkich biurach CitNOW Group obejmują następuje zasady:
  - Aby wejść do biura wszyscy pracownicy muszą posiadać kartę dostępu lub brelok, chyba że biuro posiada obsadzoną recepcję.
  - Wszystkie osoby odwiedzające są zobowiązane do wpisania się do rejestru gości w recepcji i noszenia zawsze identyfikatora gościa.
  - Pracownicy zwracają uwagę na przypadki podążania za innymi osobami i są zobowiązani do zwracania uwagi na nieznane osoby w biurze.
  - Drzwi główne biura muszą być zawsze zamknięte.
  - Wszystkie okna i główne drzwi wejściowe są zamykane na klucz pod koniec każdego dnia.
  - Wszystkie punkty dostępu do biur są monitorowane przez system kamer CCTV, który został zainstalowany przez właścicieli nieruchomości.
2. Bezpieczne obszary: Wszystkie biura CitNOW Group są zabezpieczone następującymi mechanizmami kontrolnymi:
  - Sprzęt telekomunikacyjny, serwerowy i sieciowy jest bezpiecznie przechowywany w zamkniętych pomieszczeniach komunikacyjnych, a dostęp do tych obszarów ma tylko kilku pracowników.
  - Poczta jest dostarczana do jednej zamkniętej skrzynki pocztowej, do której dostęp mają wyłącznie nasi pracownicy, o ile to możliwe.
  - Bezpieczne szafki na dokumenty, schowki lub zamykane na klucz szuflady biurka są dostępne dla wszystkich pracowników.
  - Jeśli wspólna sala konferencyjna jest potrzebna przez kilka dni, wówczas, w razie potrzeby, można zostawić w niej materiały na noc, o ile jest zamknięta, a wszelkie poufne dokumenty zostają zasłonięte przed wzrokiem osób postronnych.
  - Wszystkie spotkania o charakterze „poufnym” odbywają się w wyznaczonych w tym celu salach konferencyjnych, aby uniknąć ryzyka wydostania się informacji do głównego biura w planie otwartym, gdzie nie należy ich udostępniać.
  - Pracownicy i inne osoby korzystające z biur i sal konferencyjnych proszone są o niepozostawianie materiałów oznaczonych jako „Poufne” w miejscach dostępnych dla innych osób, w tym na tablicach informacyjnych itp.
3. Zasady czystego biurka i czystego ekranu: Informacje poufne lub wrażliwe, niezależnie od tego, czy są przechowywane w formie elektronicznej, czy papierowej, muszą być odpowiednio zabezpieczone i zgodne z Zasadami Klasyfikacji Informacji, gdy pracownicy są nieobecni w miejscu pracy przez dłuższy czas i na koniec każdego dnia pracy. Aby to ułatwić, opracowano zasady przewodnie, które dotyczą zarówno informacji nieelektronicznych (np. plików ręcznych/ papierowych), jak i elektronicznego formatu informacji. Po opuszczeniu stanowiska pracy pracownicy muszą zablokować ekran hasłem.
4. Wyposażenie: Wszystkie podmioty należące do CitNOW Group stosują następujące środki kontroli w celu zapewnienia bezpieczeństwa wyposażenia:
  - CitNOW Group korzysta głównie z usług w chmurze świadczonych przez dużych, renomowanych dostawców, którzy są odpowiedzialni za zapewnienie niezawodnych usług w swoich centrach danych.
  - Okablowanie zasilające i telekomunikacyjne, które przenosi dane lub obsługuje usługi informacyjne we wszystkich biurach CitNOW Group, jest chronione przed przechwyceniem, zakłóceniami lub uszkodzeniami.
  - Okablowanie serwerów i sprzętu sieciowego jest bezpiecznie przechowywane w zamkniętych pomieszczeniach komunikacyjnych, do których dostęp ma tylko kilku pracowników, a wszystkie przewody są w dobrym stanie.
  - Specjalistyczny sprzęt, taki jak sprzęt przeciwpożarowy, jest konserwowany zgodnie z harmonogramem przeglądów i specyfikacjami.
5. Nośniki danych: Pracownicy CitNOW Group mogą korzystać wyłącznie z nośników wymiennych dostarczonych przez spółkę i wydanych przez dział IT na komputerach służbowych. Nośniki te nie powinny być podłączane do komputerów, ani używane na komputerach nie będących własnością lub nie dzierżawionych przez CitNOW Group, chyba że dział IT wyraźnie powyższe zatwierdził. Wszelkie dane biznesowe lub osobowe przechowywane na zasobach muszą zostać bezpiecznie usunięte przy użyciu zatwierdzonych technologii, w zależności od wrażliwości danych. CitNOW Group zapewnia, że wszystkie zasoby są utylizowane przez zatwierdzone i upoważnione przedsiębiorstwa posiadające certyfikat WEEE, uprawnione do przetwarzania odpadów. Pracownicy mogą wynosić sprzęt firmowy, taki jak laptopy, poza teren spółki bez uprzedniej zgody lub konieczności rejestrowania tego faktu, pod warunkiem przestrzegania wszystkich zasad bezpieczeństwa dotyczących ochrony mienia.
Środki technologiczne
1. Złośliwe oprogramowanie: Korzystanie z oprogramowania antywirusowego na urządzeniach pracowników wykrywa i eliminuje zdecydowaną większość powszechnie używanego złośliwego oprogramowania. Korzystamy z dobrze znanych i cieszących się powszechnym zaufaniem produktów, aby zminimalizować ryzyko napotkania złośliwego oprogramowania przez użytkownika. We wszystkich przypadkach, w których zainstalowane jest oprogramowanie chroniące przed złośliwym oprogramowaniem:
  - oprogramowanie musi być regularnie aktualizowane przy użyciu funkcji automatycznej aktualizacji oprogramowania;
  - skanowanie w poszukiwaniu złośliwego oprogramowania musi odbywać się podczas uzyskiwania dostępu do plików.
2. Zarządzanie podatnością na zagrożenia: Spółka CitNOW Group okresowo przeprowadza skanowanie luk w zabezpieczeniach i przeprowadza coroczne testy penetracyjne w poszukiwaniu wszelkich wcześniej nie zidentyfikowanych luk w zabezpieczeniach. W przypadku wykrycia luki w zabezpieczeniach, niezależnie od jej źródła, jest ona rozpatrywana przez Zespół ds. zgodności, Dyrektora ds. informatyki, Dyrektora ds. technologii oraz inne kluczowe zainteresowane strony. W przypadku konieczności podjęcia działań w celu usunięcia luki w zabezpieczeniach, w zależności od jej charakteru, działania są podejmowane natychmiast lub planowane do realizacji w określonym terminie.
3. Usuwanie informacji: Wykorzystanie wiodących światowych hurtowni danych pozwala CitNOW Group zapewnić wysoką dostępność i bezpieczeństwo. W naszych bazach danych przechowywane są Dane umożliwiające identyfikację klientów i konsumentów (zdefiniowane w art. 6 ustawy z 2018 r. o ochronie danych osobowych [Data Protection Act 2018]). W celu usunięcia z naszych baz Danych umożliwiających identyfikację stosujemy koncepcje anonimizacji, a następnie całkowitego usunięcia po upływie określonego czasu. Jeżeli chodzi o usuwanie Danych umożliwiających identyfikację z naszych baz:
  
  w przypadku każdego usunięcia będą przechowywane logi zawierające następujące informacje:
  - kto dokonał usunięcia,
  - co usunięto,
  - kiedy usunięto,
  - kto autoryzował usunięcie.
4. Zapobieganie wyciekom danych: Spółka CitNOW Group wdrożyła techniki zapobiegania utracie danych, które pomagają nam zapewnić, że nasze poufne informacje są wykorzystywane w sposób prawidłowy i nie są dostępne dla nieznanych lub anonimowych użytkowników, poprzez:
  - identyfikowanie danych wymagających ochrony, np. w drodze klasyfikacji;
  - określenie, kto ma dostęp do jakich informacji i kiedy może uzyskać do nich dostęp;
  - dopilnowanie, aby usługodawca dysponował mechanizmem kontroli i monitorowania tego, jak, kiedy i do których danych uzyskuje dostęp, chroniąc informacje przed nieuprawnionym wykorzystaniem, kopiowaniem i rozpowszechnianiem;
  - kontrolowanie informacji udostępnianych osobom postronnym lub stronom trzecim;
  - zwrócenie uwagi personelu na potrzebę sprawdzania odbiorców, klasyfikowania informacji poprzez zwiększanie świadomości bezpieczeństwa informacji, edukację i szkolenia;
  - podejmowanie kroków w celu wdrożenia maskowania danych w razie potrzeby.
5. Kopie zapasowe: Kopie zapasowe wszystkich krytycznych systemów biznesowych w CitNOW Group są wykonywane regularnie, przy czym wykorzystywane są zarówno kopie zapasowe w chmurze, jak i lokalne. Zasady tworzenia kopii zapasowych zostały ustanowione w celu zdefiniowania wymagań i okresów przechowywania dotyczących tworzenia kopii zapasowych informacji, oprogramowania i systemów w ramach każdej jednostki.
6. Dostępność urządzeń do przetwarzania informacji: Spółka CitNOW Group korzysta głównie z usług opartych na chmurze w celu realizacji prowadzonych prac. Systemy te posiadają wbudowaną redundancję w ramach swojej wysokodostępnej, odpornej architektury.
7. Rejestrowanie i monitorowanie: Spółka CitNOW Group rejestruje wszystkie zdarzenia dotyczące produktów wszystkich podmiotów za pomocą różnych programów monitorujących. Dostęp do logów jest możliwy w razie potrzeby i zawierają one takie informacje, jak próby logowania użytkowników i błędy w aplikacjach. Wszystkie informacje rejestrowania są dostępne tylko dla użytkowników z odpowiednimi uprawnieniami. Użytkownicy są zobowiązani do posiadania konta w określonym systemie z odpowiednimi uprawnieniami.
8. Kontrola oprogramowania: CitNOW Group stosuje szereg środków mających na celu kontrolę zmian w oprogramowaniu systemów operacyjnych. Wszystkie zmiany w oprogramowaniu operacyjnym są dokonywane zgodnie z zasadami zarządzania zmianami i uwzględniają wymagania biznesowe dotyczące zmiany oraz aspekt bezpieczeństwa zmiany.
9. Bezpieczeństwo sieci: Sieciami wewnętrznymi zarządza dział IT, który odpowiada za utrzymanie i aktualizację wszystkich działań sieciowych. Ponieważ korzystamy głównie z usług opartych na chmurze, za bezpieczeństwo usług sieciowych odpowiadają przede wszystkim dostawcy usług w chmurze. Wszystkie usługi internetowe i chmurowe są objęte ścisłą umową o gwarantowanym poziomie usług (SLA) zawartą pomiędzy CitNOW Group a dostawcą. Każdy dostęp do serwerów lub systemów CitNOW Group jest zarządzany za pomocą uwierzytelniania. Goście posiadają dostęp do sieci użyczanych bez dostępu do podstawowych systemów.
10. Korzystanie z kryptografii: CitNOW Group stosuje zasady korzystania z kryptografii, określające podejście spółki do stosowania kontroli kryptograficznych. Dzięki temu organizacja utrzymuje najwyższe możliwe standardy szyfrowania. Wszystkie osoby w CitNOW Group ponoszą odpowiedzialność za dopilnowanie, aby dane wewnętrzne/ poufne zostały zaszyfrowane przed opuszczeniem terenu organizacji. Kwestie dotyczące zarządzaniem kluczami obejmują wymagania dotyczące zarządzania kluczami kryptograficznymi w całym cyklu ich życia, w tym generowania, przechowywania, archiwizowania, odzyskiwania, dystrybucji, wycofywania i niszczenia kluczy. Algorytmy kryptograficzne, długości kluczy i praktyki użytkowania powinny być wybierane zgodnie z najlepszymi praktykami.
11. Zasady bezpiecznego rozwoju: Zasady te odzwierciedlają nasze podejście do zapewnienia bezpieczeństwa rozwoju naszych usług, produktów i stron internetowych i mają zastosowanie do wszystkich zespołów programistów. Standardy bezpiecznego kodowania są uwzględniane i przestrzegane.
12. Testy akceptacyjne: Testy są przeprowadzane na wszystkich zmianach w celu zapewnienia bezpieczeństwa, solidności, poprawności i wydajności aplikacji. Testy akceptacyjne są standardowo stosowane przez naszych programistów w ramach cyklu wdrażania, a wszystkie nowe funkcje są testowane indywidualnie przed wdrożeniem. Stosujemy podział obowiązków, a w każdym podmiocie zostają wyznaczeni testerzy należący do każdego zespołu deweloperskiego
13. Zlecone prace rozwojowe: Wszyscy zewnętrzni deweloperzy podlegają ocenie, aby upewnić się, że posiadają kwalifikacje i kompetencje. Indywidualni wykonawcy są traktowani w taki sam sposób, jak deweloperzy CitNOW Group, a ta sama polityka rozwojowa i kontrole mają zastosowanie do wszystkich w przypadku zlecania prac rozwojowych, jak i prac rozwojowych wewnątrz firmy.
14. Oddzielenie środowisk: Aby zmniejszyć ryzyko złośliwych działań, nieautoryzowanych lub przypadkowych zmian wynikających z zastosowań wewnętrznych, wszystkie produkty w ramach CitNOW Group mają oddzielne środowiska testowania/ opracowywania i produkowania, zgodnie z najlepszymi praktykami branżowymi; w każdym podmiocie korzystamy głównie z następujących środowisk:
  - Środowisko rozwoju – do rozwoju
  - Środowisko przygotowania/ testowania - do testów wewnętrznych
  - Środowisko produkcyjne – aktywne środowisko operacyjne.
15. Zarządzanie zmianami: Istotne zmiany w organizacji, procesach biznesowych, obiektach i systemach przetwarzania informacji w CitNOW Group podlegają formalnemu przeglądowi i zatwierdzeniu przez Zarząd.
16. Kontrolowanie zmian: Nasze procedury kontrolowania zmian w procesie rozwoju są zgodne z naszymi Zasadami zarządzania zmianami. Wszystkie zmiany w systemie są przeprowadzane w procesie wzajemnego przeglądu i testowania kodu, zgodnie z naszymi udokumentowanymi procedurami.
17. Ochrona danych testowych: Dane osobowe nie są wykorzystywane do opracowywania lub testowania w zwykłych okolicznościach w żadnym z produktów CitNOW Group.
Dodatkowe zasady pomocnicze
1. CitNOW Group stosuje również szereg innych zasad w ramach działalności, które pomagają wspierać nasze praktyki w zakresie bezpieczeństwa informacji, w tym, między innymi:
  - Globalne zasady antykorupcyjne Grupy,
  - Zasady postępowania dyscyplinarnego,
  - Globalne zasady Grupy w zakresie informowania o nieprawidłowościach,
  - Globalne zasady dotyczące bezpieczeństwa i higieny pracy,
  - Zasady dotyczące współczesnego niewolnictwa,
  - Procedura powiadamiania o naruszeniu.
Certyfikacja
1. ISO 27001: Spółka CitNOW Group Limited posiada certyfikat ISO 27001 wydany przez BSI (numer certyfikatu – IS 785456).
2. Cyber Essentials Plus: Spółka CitNOW Group Limited posiada certyfikat Cyber Essentials Plus wydany przez CyberSmart (numer certyfikatu - b5aea281-ec18-4306-9374-beba1ef3fe98)
3. TISAX: Stowarzyszenie ENX wspiera TISAX (Trusted Information Security Assessment Exchange) w imieniu VDA w zakresie powszechnego uznawania ocen bezpieczeństwa informacji w branży motoryzacyjnej. Oceny TISAX są przeprowadzane przez dostawców usług audytorskich, którzy w regularnych odstępach czasu wykazują posiadane kwalifikacje. TISAX i wyniki TISAX nie są przeznaczone dla ogółu społeczeństwa.
4. Poufność, dostępność i integralność informacji mają ogromną wartość dla spółki Zype TV Ltd (prowadzącej działalność pod nazwą CitNOW) oraz spółki CitNOW Video GMBH. Podjęliśmy szeroko zakrojone działania w zakresie ochrony informacji wrażliwych i poufnych. W związku z tym postępujemy zgodnie z katalogiem pytań dotyczących bezpieczeństwa informacji Niemieckiego Stowarzyszenia Przemysłu Motoryzacyjnego (VDA ISA). Ocenę przeprowadził dostawca usług audytorskich, w tym przypadku, spółka TUV SUD GmbH - dostawca usług audytorskich TISAX. Wynik jest dostępny wyłącznie na portalu ENX:
Podwykonawcy przetwarzania
Wszyscy podwykonawcy przetwarzania, z usług których korzysta każdy podmiot w CitNOW Group, są wymienieni na stronie podwykonawców przetwarzania portalu CitNOW Group.

Podwykonawcy ci mogą z czasem podlegać zmianie w miarę pojawiania się nowych funkcji i aktualizacji systemu. Przy wyborze nowych podwykonawców podejmowane są działania mające na celu zapewnienie zachowania należytej staranności w zakresie bezpieczeństwa i prywatności.

Zgodnie z Procedurą korzystania z dostawców zewnętrznych, spółka CitNOW Group zapewnia bezpieczeństwo współpracy z dostawcami zewnętrznymi poprzez skrupulatną ocenę ich środków bezpieczeństwa i standardów zgodności. Aby wzmocnić powyższe zobowiązanie, zawieramy solidne umowy o przetwarzaniu danych ze wszystkimi podwykonawcami przetwarzania. Ponadto w razie potrzeby wdrażamy dodatkowe mechanizmy transferu danych w celu zapewnienia zgodności z przepisami dotyczącymi ochrony danych, w tym zawieramy standardowe klauzule umowne (SCC), międzynarodowe umowy o transferze danych (IDTA) i/lub przeprowadzamy oceny ryzyka transferu (TRA).
Siedziba CitNOW Group
Wszystkie lokalizacje siedzib spółki CitNOW Group wskazano na stronie internetowej CitNOW Group.

Ostatnia aktualizacja: 27 sie 2025

« Back