Zmluva o spracovaní
osobných údajov

Stiahnuť verziu PDF

 

Zmluvné strany

 

Klient, ďalej len ORDINÁCIA,

 

a:

 

CROSSUITE bv, so sídlom na Uitbreidingstraat 390, 2600 Antverpy, Belgicko
Zákonní zástupcovia Van den Putte, Joris a Debreuck, Nicolas, ďalej len „CROSSUITE“.

zatiaľ čo:

  1. ORDINÁCIA si želá využiť platformu na manažment pacientov vo forme webovej aplikácie (ďalej len „Portál“), ktorú vyvinula spoločnosť Crossuite.
  2. ORDINÁCIA a CROSSUITE uzavreli za týmto účelom Zmluvu.
  3. V rámci tejto Zmluvy CROSSUITE spracúva Osobné údaje, ktoré boli získané ORDINÁCIOU.
    D. Táto Zmluva o spracovaní osobných údajov stanovuje dohody o spracovaní týchto Osobných údajov medzi ORDINÁCIOU a spoločnosťou CROSSUITE.
    E. Okrem toho, čo ustanovuje Zmluva, sa Zmluvné strany na základe GDPR a Zákona o ochrane osobných údajov dohodli nasledovne.

Článok 1. Definície

 

1.1V tejto Zmluve o spracovaní osobných údajov majú nasledujúce výrazy, vždy s veľkým začiatočným písmenom, nasledujúci význam:

  1. Dotknutá osoba: Osoba, ktorej sa Osobné údaje týkajú v zmysle článku 4 ods. 1 GDPR
  2. Spracovávateľ: Spracovávateľ v zmysle článku 4 ods. 8 GDPR; v tejto Zmluve o spracovaní osobných údajov je spracovávateľom CROSSUITE
  3. Zmluva o spracovaní osobných údajov: Táto Zmluva o spracovaní osobných údajov, ktorá je neoddeliteľnou súčasťou Zmluvy, na účely stanovenia dohôd v zmysle GDPR
  4. Zmluva: Všetky dohody/zmluvy uzavreté medzi ORDINÁCIOU a spoločnosťou CROSSUITE vrátane ich príloh, za účelom používania Portálu
  5. Porušenie ochrany osobných údajov: Strata alebo neoprávnené spracovanie Osobných údajov alebo zistenie nedostatku v zabezpečení, ktorý so sebou nesie značné riziko
  6. Zmluvné strany: ORDINÁCIA a CROSSUITE
  7. Osobné údaje: Údaje, ktoré možno použiť na priamu alebo nepriamu identifikáciu fyzickej osoby v zmysle článku 4 ods. 1 GDPR
  8. Kontrolór: Strana v zmysle článku 4 ods. 7 GDPR; v tejto Zmluve o spracovaní osobných údajov je kontrolórom ORDINÁCIA
  9. Spracovanie: Akýkoľvek úkon alebo súbor úkonov, ktoré sa vykonávajú s Osobnými údajmi alebo so súbormi Osobných údajov, či už automatizovanými prostriedkami alebo nie, ako napríklad zhromažďovanie, zaznamenávanie, organizácia, štruktúrovanie, ukladanie, prispôsobenie alebo zmena, načítanie, konzultácia, použitie, zverejnenie prenosom, šírením alebo iným sprístupnením, zarovnávanie alebo kombinácia, obmedzenie, vymazanie alebo zničenie v zmysle článku 4 ods. 2 GDPR.

Článok 2. Dížka platnosti a ukončenie

 

2.1             Táto Zmluva o spracovaní osobných údajov vzniká automaticky po podpísaní (licenčnej) Zmluvy spoločnosti CROSSUITE.

2.2            Táto Zmluva o spracovaní osobných údajov zákonom končí v čase, keď vyprší (licenčná) Zmluva.

2.3            CROSSUITE po ukončení platnosti Zmluvy, na žiadosť ORDINÁCIE a za úhradu primeraných nákladov, sprístupní Osobné údaje v bežne používanom formáte ORDINÁCII alebo Tretej strane určenej ORDINÁCIOU.

2.4            CROSSUITE po prenose Osobných údajov ORDINÁCII zničí všetky zostávajúce Osobné údaje, ktoré nebolo možné primerane poskytnúť druhej Strane. V takom prípade spoločnosť CROSSUITE taktiež zabezpečí, aby boli rovnako zničené všetky Osobné údaje v držbe Subdodávateľov.

 

Článok 3. Rozsah Zmluvy o spracovaní osobných údajov a Spracovanie vykonávané spoločnosťou CROSSUITE

 

3.1            CROSSUITE bude spracovávať iba Osobné údaje sprístupnené na účely plnenia Zmluvy.

3.2           ORDINÁCIA určuje účely Spracovania Osobných údajov. CROSSUITE spracováva Osobné údaje na základe pokynov ORDINÁCIE výhradne s cieľom podporovať Portál.

3.3            ORDINÁCIA bude informovať spoločnosť CROSSUITE o účeloch spracovávania, pokiaľ ešte nie sú obsiahnuté v tejto Zmluve o spracovaní osobných údajov. Príloha 1 obsahuje účely spracovania stanovené ORDINÁCIOU a predstavuje neoddeliteľnú súčasť tejto Zmluvy o spracovaní osobných údajov. CROSSUITE nebude spracovávať Osobné údaje na iné účely, ako sú stanovené ORDINÁCIOU.

3.4            CROSSUITE bude spracúvať Osobné údaje iba v Európskej únii.

Článok 4. Bezpečnosť

 

4.1            CROSSUITE zabezpečí, aby Osobné údaje, ktoré spracúva, boli primerane zabezpečené proti zneužitiu a neoprávnenému použitiu.

4.2           CROSSUITE prijme vhodné technické a organizačné opatrenia na zabezpečenie Osobných údajov ORDINÁCIE pred stratou alebo akoukoľvek formou nezákonného spracovania.
CROSSUITE zavedie požadované technické a organizačné opatrenia týkajúce sa bezpečnosti v súlade s
normou NEN 7510, pre ktorú je CROSSUITE certifikovaný (TPM 2017). Dátové centrá, ktoré CROSSUITE používa, vyhovujú norme ISO27001.
Tieto opatrenia sa považujú za adekvátnu úroveň bezpečnosti v zmysle článku 32 GDPR. ORDINÁCIA je oprávnená, po konzultácii so spoločnosťou CROSSUITE a počas trvania Zmluvy, poveriť nezávislého odborníka, aby posúdil ich dodržiavanie, napríklad vykonaním auditu. ORDINÁCIA bude zodpovedať za všetky náklady spojené s takýmto hodnotením.

4.3             CROSSUITE vyhlasuje, že boli v každom prípade prijaté tieto opatrenia:

  • Logická kontrola prístupu, dvojstupňová autentifikácia
  • Fyzické opatrenia na zabezpečenie prístupu
  • Pripojenia SSL
  • Registrácia bezpečnostných incidentov
  • Účelovo viazané obmedzenia prístupu
  • Kontrola udelených povolení

CROSSUITE môže tieto opatrenia kedykoľvek jednostranne zmeniť a doplniť, ale iba ak to nezníži úroveň bezpečnosti.

4.4            ORDINÁCIA je zodpovedná za dodržiavanie opatrení prijatých zmluvnými stranami (pozri CROSSUITE Zmluvu)

4.5            CROSSUITE nie je zodpovedný za to, aby bola bezpečnosť efektívna za každých okolností, aj keď bezpečnosť musí vždy zodpovedať úrovni, ktorá nie je neprimeraná, s prihliadnutím na súčasný stav technológie, citlivosť Osobných údajov a náklady spojené s nasadením tejto bezpečnosti.

4.6             Na žiadosť spoločnosti CROSSUITE ORDINÁCIA do dvoch pracovných dní písomne informuje spoločnosť CROSSUITE o spôsobe, akým si ORDINÁCIA plní svoje povinnosti vyplývajúce zo zákonov a právnych predpisov týkajúcich sa ochrany Osobných údajov, ktoré v každom prípade zahŕňajú Zákon o ochrane osobných údajov a GDPR.

4.7             CROSSUITE bude podporovať ORDINÁCIU v súvislosti so Spracovaním, pokiaľ ide o Spracovanie v súlade s jej povinnosťami podľa GDPR. Spoločnosť CROSSUITE bude pomáhať ORDINÁCII v súvislosti so Spracovaním v kontexte vykonávania posúdenia vplyvu na ochranu údajov v súlade s článkami 35 a 36 GDPR.

Článok 5. Audity

 

5.1              ORDINÁCIA má právo pravidelne vykonávať audity alebo ich dať vykonať s cieľom posúdiť dohody podľa tejto Zmluvy o spracovaní osobných údajov.

5.2             CROSSUITE uchováva podporné údaje požadované pre audity, napríklad systémové protokoly.

5.3              Osoby, ktoré vykonávajú audity, musia dodržiavať bezpečnostné postupy platné v spoločnosti CROSSUITE.

5.4              CROSSUITE bude spolupracovať pri audite a čo najskôr poskytne všetky informácie primerane relevantné pre audit.

5.5              Náklady na audit hradí ORDINÁCIA.

5.6              ORDINÁCIA nebude vykonávať audit skôr ako 14 (štrnásť) dní po jeho písomnom oznámení. Ak dátum a čas auditu nie sú pre spoločnosť CROSSUITE vhodné, informuje o tom ORDINÁCIU a navrhne alternatívny dátum.

Článok 6. Odškodnenie

 

6.1              CROSSUITE odškodňuje ORDINÁCIU za všetky právne kroky tretích strán, bez ohľadu na ich príčinu, týkajúce sa Osobných údajov alebo plnenia Zmluvy o spracovaní osobných údajov a/alebo Zmluvy, pokiaľ spoločnosť CROSSUITE nepreukáže, že konala v súlade s pokynmi ORDINÁCIE a/alebo boli prijaté všetky technické a organizačné opatrenia na zabezpečenie Osobných údajov, ako je uvedené v tejto Zmluve o spracovaní osobných údajov.

6.2              ORDINÁCIA odškodňuje spoločnosť CROSSUITE za všetky právne kroky tretích strán, bez ohľadu na ich príčinu, v súvislosti s Osobnými údajmi alebo plnením Zmluvy o spracovaní osobných údajov a/alebo Zmluvy, ak sa zistí, že spoločnosť CROSSUITE konala výlučne v súlade s pokynmi ORDINÁCIE.

6.3              Ak sú právne kroky tretích strán v súvislosti s Osobnými údajmi alebo plnením Zmluvy o spracovaní osobných údajov a/alebo Zmluvy dôsledkom úmyselného konania alebo hrubej nedbanlivosti strany, potom táto strana v každom prípade odškodní druhú stranu.

Článok 7. Dôvernosť

 

7.1              Na všetky Osobné údaje, ktoré CROSSUITE dostane od ORDINÁCIE a/alebo zhromažďuje alebo má zhromažďovať na účely Spracovania podľa Zmluvy, je zavedená povinnosť mlčanlivosti voči tretím stranám.

7.2              CROSSUITE si je vedomý toho, že informácie, ktoré klient zdieľa so spoločnosťou CROSSUITE a ukladá ich na Portáli, sú dôverné a pre spoločnosť citlivé. Všetci zamestnanci spoločnosti CROSSUITE budú po dobu svojho zamestnania a potom, ako je uvedené v ich pracovných zmluvách v doložke o dôvernosti, zodpovedne zaobchádzať s informáciami ORDINÁCIE.

7.3              CROSSUITE nepoužije tieto informácie na iné účely, ako na ktoré ich získala, a to ani v prípade, že sa tieto informácie prevedú do formy, v ktorej nie je možné identifikovať ORDINÁCIU ani fyzické osoby, ako napríklad Dotknutú osobu.

7.4              Táto povinnosť mlčanlivosti sa neuplatňuje, pokiaľ ORDINÁCIA alebo Dotknutá osoba poskytli výslovný súhlas s poskytovaním informácií tretím stranám.

7.5              Ak CROSSUITE využíva služby tretích strán, musí bezpodmienečne zabezpečiť, aby tieto tretie strany prijali rovnakú povinnosť mlčanlivosti, ako bola dohodnutá medzi Stranami, a aby túto povinnosť dôvernosti prísne dodržiavali.

7.6              Zamestnanci s prístupom k Osobným údajom ORDINÁCIE:

  1. Administrátori systému CROSSUITE majú plný prístup k údajom ORDINÁCIE na tieto účely:
  • inštalácia novej verzie, build-u alebo aktualizácie;
  • implementácia opráv a hotfixov;
  • vytváranie zálohy;
  • presťahovanie
  1. Konzultanti, pomocný personál a ďalší zamestnanci spoločnosti CROSSUITE majú prístup iba k údajom, ku ktorým majú prístup povolený ORDINÁCIOU, a to iba na obdobie, na ktoré dostali od ORDINÁCIE takéto povolenie.

 

Článok 8. Ohlasovacia povinnosť

 

V prípade zistenia Porušenia ochrany osobných údajov bude CROSSUITE čo najskôr informovať ORDINÁCIU, v každom prípade do 24 hodín od zistenia, pomocou čísla 0032 2 888 91 79 alebo nasledujúcej e-mailovej adresy: info@crossuite.com. CROSSUITE nebude za žiadnych okolností informovať Dotknuté osoby o Porušení ochrany osobných údajov, bez ohľadu na povinnosť čo najskôr napraviť alebo obmedziť následky takýchto porušení a incidentov.

CROSSUITE ďalej na žiadosť Kontrolóra sprístupní všetky informácie, ktoré ORDINÁCIA považuje za potrebné na účely zhodnotenia incidentu.

CROSSUITE sa zaväzuje, že po zistení Porušenia ochrany osobných údajov bude ORDINÁCIU informovať o prijatých opatreniach s cieľom obmedziť rozsah Porušenia ochrany osobných údajov alebo zabrániť ich ďalšiemu výskytu v budúcnosti.

CROSSUITE má solídny akčný plán riešenia a urovnania prípadov Porušenia ochrany osobných údajov a na požiadanie k nemu poskytne ORDINÁCII prístup. Spracovávateľ informuje Kontrolóra o akýchkoľvek podstatných zmenách v tomto akčnom pláne.

CROSSUITE prenechá robenie správ pre dozorný orgán alebo orgány ORDINÁCII.

CROSSUITE bude v prípade potreby a v čo najkratšom možnom čase plne spolupracovať pri poskytovaní doplňujúcich informácií dozornému orgánu alebo orgánom a/alebo Dotknutej osobe alebo osobám. V tejto súvislosti CROSSUITE v každom prípade poskytne informácie uvedené v prílohe 3 Kontrolórovi.

Spracovávateľ vedie podrobný denník aktualizovaný o všetky (predpokladané a skutočné) Porušenia ochrany osobných údajov, ako aj o opatrenia prijaté v dôsledku týchto Porušení ochrany údajov, v ktorom sú zaznamenané aspoň tie informácie uvedené v prílohe 3, a na jej žiadosť poskytne ORDINÁCII prístup k nim.

Článok 9. Práva Dotknutej osoby

 

Ak ORDINÁCIA dostane žiadosť od Dotknutej osoby, ktorej Osobné údaje sa spracúvajú, aby si mohla uplatniť svoje práva podľa GDPR, napríklad právo namietať proti Spracovaniu jej Osobných údajov alebo právo na ich vymazanie, ORDINÁCIA o tom bezodkladne informuje spoločnosť CROSSUITE.

CROSSUITE sa zaväzuje bezodkladne, najneskôr do 7 dní od prijatia takejto žiadosti, vykonať pokyny prijaté od ORDINÁCIE a buď poskytnúť požadované informácie, alebo vykonať požadovanú zmenu Osobných údajov, alebo tieto Osobné údaje vymazať a zničiť.

 

 

Článok 10. Angažovanie tretích strán

 

 

10.1            ORDINÁCIA vydáva spoločnosti CROSSUITE všeobecné povolenie na ustanovenie sub-spracovávateľov na účely vykonávania spracovateľských činností, ktoré sú predmetom tejto Zmluvy o spracovaní osobných údajov.

10.2            Ak si CROSSUITE želá angažovať sub-spracovávateľa v zmysle tohto článku, CROSSUITE sa zaväzuje uzavrieť s týmto sub-spracovávateľom písomnú dohodu, ktorá obsahuje prinajmenšom záruky a povinnosti vyplývajúce z tejto Zmluvy.

10.3            CROSSUITE vedie aktualizovaný register tretích strán a sub-spracovávateľov, ktorých angažoval, do ktorého sa zaznamenáva totožnosť, umiestnenie a popis činností vykonávaných tretími stranami alebo sub-spracovávateľmi, ako aj všetky ďalšie podmienky, ktoré ukladá ORDINÁCIA. Tento register je priložený k tejto Zmluve o spracovaní osobných údajov ako príloha 4 a CROSSUITE ho udržiava aktualizovaný. Ak má CROSSUITE v úmysle zmeniť sub-spracovávateľov, bude o tom vopred informovať ORDINÁCIU a ORDINÁCIA môže proti tomu do piatich pracovných dní písomne vzniesť námietku, v ktorej uvedie svoje dôvody namietania. Ak v uvedenej lehote nebude prijatá písomná námietka, má sa za to, že ORDINÁCIA súhlasila so zmenou.

 

 

Článok 11. Zákonná zodpovednosť

 

 

11.1           CROSSUITE nesie výhradnú zodpovednosť za Spracovanie Osobných údajov prostredníctvom služby, ktorú ponúka na základe Zmluvy, za podmienok stanovených v Zmluve o spracovaní osobných údajov. CROSSUITE výslovne nenesie zodpovednosť za akékoľvek ďalšie Spracovanie Osobných údajov, ktoré v každom prípade zahŕňa, ale nie je obmedzené na, zhromažďovanie Osobných údajov ORDINÁCIOU a/alebo tretími stranami.

11.2           Zodpovednosť za účely a zákonnosť spracovania Osobných údajov, ktoré sa spracúvajú pomocou služby poskytovanej spoločnosťou CROSSUITE, plne nesie ORDINÁCIA.

11.3            Ak ORDINÁCIA požaduje od spoločnosti CROSSUITE odškodnenie z dôvodu nedodržania tejto Zmluvy o spracovaní osobných údajov alebo platných právnych predpisov, potom bude celková zodpovednosť na strane spoločnosti CROSSUITE obmedzená na celkovú sumu fakturovaných služieb za predchádzajúci kalendárny rok, pokiaľ nie je suma, na ktorú je spoločnosť a/alebo odborná zodpovednosť spoločnosti CROSSUITE poistená, nižšia (do 125 000 eur). Na účely využitia tohto článku sa séria súvisiacich udalostí považuje za jednu udalosť.

11.4            CROSSUITE nezodpovedá za žiadne formy nepriameho poškodenia, ako je napríklad, ale nielen, prerušenie podnikania, zníženie dobrej povesti, strata úspor, ušlý zisk, poškodenie reputácie alebo akákoľvek iná forma nepriamej, náhodnej alebo následnej straty, bez ohľadu na povahu činu.

11.5            Po dobu platnosti Zmluvy o spracovaní osobných údajov budú zmluvné strany primerane poistené a budú si toto poistenie udržiavať. Poistné podmienky sú k dispozícii na požiadanie.

Článok 12. Riešenie sporov

 

12.1          Na Zmluvu o spracovaní osobných údajov sa vzťahuje výlučne právo krajiny, v ktorej má CROSSUITE svoje sídlo.

12.2         Všetky spory, ktoré vzniknú v dôsledku tejto Zmluvy o spracovaní osobných údajov, sa budú riešiť rovnakým spôsobom, aký je uvedený v Zmluve.

 

Článok 13. Poradie priority

 

Táto Zmluva sa vzťahuje na Zmluvu o spracovaní osobných údajov. Ak dôjde ku konfliktu medzi (licenčnou) Zmluvou a Zmluvou o spracovaní osobných údajov, prednosť má to uvedené v Zmluve o spracovaní osobných údajov.

PRÍLOHA 1

A. Kategórie Dotknutých osôb

Osobami, ktorých sa Osobné údaje týkajú, sú v každom prípade:

  • pacienti
  • nájomcovia

B. Typ Osobných údajov

Osobné údaje spracovávané SPRACOVÁVATEĽOM/spoločnosťou CROSSUITE sú v každom prípade:

  • Meno a adresa, telefónne čísla, e-mailová/-é adresa/-y

  • Zdravotná poisťovňa

  • Identifikačné číslo sociálneho zabezpečenia

  • Popis patológie

  • Dátum narodenia

  • Meno praktického lekára Profesia

  • Záľuby a športy

  • Rodinné usporiadanie

C. Povaha a účel spracovania

Povaha spracovania: na účely ošetrovania osôb sú zdokumentované ich záznamy o vyšetrení a ošetrení.

Osobné údaje sú v každom prípade spracovávané na nasledujúce účely:

Účely spracovávania:

  • Spracovávanie, aby bolo možné poskytnúť primeranú liečbu a jej monitorovanie a hodnotenie;
  • Spracovávanie, aby bolo možné zastihnúť pacienta a/alebo praktického lekára;
  • Spracovávanie, aby bolo možné dohodnúť si termín liečby pacienta;
  • Spracovávanie, aby bolo možné zaznamenať ošetrenie/-a;
  • Spracovávanie, aby náklady na ošetrenie/-a mohli byť účtované zdravotnej poisťovni;
  • Spracovávanie, aby bolo možné so súhlasom pacienta poslať správu tretím stranám.

 

PRÍLOHA 2
Prehľad bezpečnostných opatrení

 

Bezpečnosť informácií a ochrana osobných údajov

Naše zásady bezpečnosti informácií a ochrany osobných údajov sú v súlade s GDPR a so všetkými pokynmi vydanými úradmi a sú v súlade s normami ISO 27001 a NEN 7510 pre bezpečnosť informácií. Táto politika je interne komunikovaná a implementovaná konkrétnymi spôsobmi prostredníctvom zdokumentovaných postupov.

 

 

Certifikácia

Je zavedený systém riadenia bezpečnosti informácií (ISMS), ktorý bol vytvorený a zavedený v súlade s normami ISO 27001 a NEN 7510 pre bezpečnosť informácií. Systém bol certifikovaný nezávislým audítorom Dekra.

 

Zamestnanci 

Zamestnanci sú informovaní o svojich zodpovednostiach v súvislosti s ochranou súkromia a informácií a ich plnenie týchto povinností monitorujeme. Zamestnanci, ktorí majú prístup k údajom o klientovi/pacientovi, sú viazaní mlčanlivosťou.

 

Správa zmlúv pre (sub-)spracovávateľov

S každým povoleným (sub-)spracovávateľom sa uzatvára dohoda o spracovaní údajov, ktorá zmluvne zaväzuje (sub-)spracovávateľa k dodržiavaniu rovnakých povinností týkajúcich sa Spracovania, ako sú uvedené v zmluve o spracovaní údajov.

 

Bezpečnostné incidenty a reakcia

Je zavedený zdokumentovaný plán reakcie na bezpečnostné incidenty, ktorý je schopný odhaliť, napraviť a nahlásiť porušenie ochrany osobných údajov v súlade s povinnosťami obsiahnutými v zmluve o spracovaní osobných údajov.

 

 

Šifrovanie prenášaných údajov

Celý online dátový prenos na Crossuite prebieha cez pripojenie šifrované SSL (Secure Socket Layer alebo zabezpečený prenos informácií a ochrana osobných údajov) a akceptujeme iba prenos cez port 443.

Pri prvej návšteve našej webstránky Crossuite odošle do vášho prehliadača Strict Transport Security Header (HSTS), čo znamená, že vaše pripojenie bude odteraz zabezpečené prostredníctvom HTTPS, najbezpečnejšieho internetového protokolu – aj keď na našu webstránku kliknete pomocou nezašifrovaného odkazu, ktorý konkrétne začína na „https://“.

 

 

Spravovanie opráv / Zabezpečenie sietí a systémov

Pravidelne vyhodnocujeme, či v aplikáciách, systémoch a sieťach, ktoré používame, existujú zraniteľné miesta. Sú nainštalované opravy a aktualizácie zistených chýb.

Na ukladanie údajov Crossuite používa Amazon Web Services (AWS). Tieto servery pravidelne podliehajú hodnoteniu, aby vyhovovali najnovším štandardom. Pretože používame AWS ako dátové centrum, naša infraštruktúra je akreditovaná pre:

    • ISO 27001
    • SOC 1 a SOC 2/SSAE 16/ISAE 3402 (teraz SAS 70 typ II)
    • PCI Level 1
    • C5 prevádzková bezpečnosť
    • ENS High
    • IT-Grundschutz

Ďalšie informácie o bezpečnosti AWS sú k dispozícii prostredníctvom tohto odkazu.

 

Pravidlá a ukladanie hesiel

Ak si chcete vytvoriť Crossuite účet, musíte si zvoliť heslo, ktoré obsahuje minimálne 6 znakov. Neukladáme používateľské heslá v textovom formáte a používame iba nerozlúštiteľné haše hesiel, ktoré boli zašifrované pomocou Bcrypt-u (vrátane per-user-random-salt). To znamená, že chránime používateľov pred útokmi využívajúcimi dúhové tabuľky a pred pokusmi o dekódovanie šifrovacej syntaxe. 

Ak používateľ zadá nesprávne heslo viackrát (viac ako päťkrát), účet je uzamknutý, aby sa zabránilo útokom hrubou silou (metóda prelomenia hesiel pomocou mnohých pokusov). Používateľ sa potom môže znova prihlásiť iba po vyžiadaní nového hesla.

Na ďalšie zabezpečenie vášho účtu používame tiež dvojfaktorové overenie (dodatočná vrstva ochrany, ktorá je k dispozícii iba používateľovi) prostredníctvom e-mailu, aplikácie Google Authenticator alebo SMS.

Náš tím používa pre účty Crossuite silné a jedinečné heslá a na každé zariadenie a službu používa dvojfaktorové overenie. Tiež odporúčame všetkým našim zamestnancom, aby na vytváranie silných hesiel a ich ukladanie na bezpečnom mieste používali správcov hesiel, ako napríklad LastPass.

Šifrujeme aj lokálne pevné disky a automaticky sa spúšťajú šetriče obrazovky.

 

 

 

 

Spravovanie prístupov

K správcovským funkciám našej aplikácie má prístup iba vybraná skupina.
V prípade akýchkoľvek zmien statusu zamestnancov, dodávateľov, klientov, obchodných partnerov alebo tretích strán je používateľský prístup včas odvolaný alebo zmenený

 

 

Fyzická kontrola prístupu

Na zabezpečenie miestností, v ktorých sa spracúvajú osobné údaje, proti neoprávnenému prístupu sú zavedené vhodné opatrenia (napríklad zámky a poplašné systémy).

 

Zaznamenávanie prihlásení

Zaznamenávanie sa používa na zistenie toho, ktorí používatelia sú prihlásení a kedy, aby bolo možné skontrolovať, aké spracovanie osobných údajov daný používateľ vykonáva.

 

Application development – security principles

Aby sme vyhoveli všetkým bezpečnostným normám, využívame pri každej zmene alebo doplnení našej aplikácie prísne kontroly kódu.

Zverejnenie zraniteľností
Už od spustenia Crossuite sme aktívne vyzývali používateľov, aby rýchlo hlásili akékoľvek problémy v našej aplikácii a pomáhali nám zaručiť bezpečnosť a spoľahlivosť našej platformy. Všetky oznámenia vybavujeme a reagujeme na ne čo najrýchlejšie.

 

PRÍLOHA 3
Prehľad informácií, ktoré budú poskytnuté v prípade incidentu

 

CROSSUITE v každom prípade poskytne ORDINÁCII nasledujúce informácie v prípade incidentu, ktorý sa týka Osobných údajov Kontrolóra: 

  • (predpokladaná) príčina porušenia;
  • (známe a/alebo predpokladané) dôsledky;
  • (navrhované) riešenie;
  • kontaktné údaje na účely následného sledovania oznámenia;
  • počet osôb, ktorých Osobné údaje boli porušením dotknuté (ak nie je známy presný počet, minimálny a maximálny počet osôb, ktorých Osobné údaje boli porušením dotknuté);
  • popis skupiny osôb, ktorých Osobné údaje boli porušením dotknuté;
  • druh alebo druhy Osobných údajov dotknutých porušením;
  • dátum, ku ktorému došlo k porušeniu (ak nie je známy presný dátum, lehota, v ktorej k porušeniu došlo);
  • dátum a čas, keď sa o porušení dozvedel Spracovávateľ alebo tretia strana alebo sub-spracovávatelia angažovaní Spracovávateľom;
  • či boli alebo neboli údaje šifrované, hašované alebo urobené nepochopiteľnými alebo neprístupnými pre tretie strany iným spôsobom;
  • aké opatrenia už boli prijaté na nápravu porušenia alebo na obmedzenie jeho následkov.

 

 

PRÍLOHA 4

Prehľad sub-spracovávateľov

 

Sub-spracovávateľ 1:

Bart.SK SRO

Opis činností

Dodávateľský partner

Sub-spracovávateľ 2:

LINK Mobility Sp. z o.o.

Opis činností

Posielanie SMS správ

Sub-spracovávateľ 3:

AWS Europe

Opis činností

Hosting partner

 

Sub-spracovávateľ 4:

Stripe

Opis činností 

Spracovávanie platieb