Bezpečnost

Hlášení incidentů a bezpečnostních událostí

Staffino bere bezpečnost velmi vážně a zkoumá všechny potenciální a nahlášené zranitelnosti. Zpozorovaný bezpečnostní incident nebo podezření na bezpečnostní incident je každý zaměstnanec povinen neprodleně nahlásit podpoře. Pokud dojde k incidentu, zákazník nebo zaměstnanec může doručit informace e-mailem na adresu [email protected] nebo telefonicky kontaktovat tým podpory (+421 951 619 551 nebo +421 948 082 282). Tým Staffino odpoví v dobách popsaných níže na váš e-mailový požadavek (nebo telefonát v naléhavých případech) a postará se o to ihned po potvrzení žádosti. Každý požadavek bude kategorizován bezpečnostním manažerem na úroveň závažnosti a řešen podle pokynů poskytnutých pro tuto úroveň. V případě IT bezpečnostních incidentů bude každý zákazník informován emailem. Na straně AWS je na https://aws.amazon.com/security/vulnerability-reporting/ dostupný podrobný přehled o tom, jak AWS hlásí zranitelnosti. Stav služeb Amazon je dostupný na https://status.aws.amazon.com/.

Základní povinnosti a odpovědnosti zaměstnanců

1. Zaměstnanec je povinen nahlásit pozorovaný bezpečnostní incident nebo bezpečnostní zranitelnost. 2. Po zpozorování bezpečnostního incidentu je zakázáno vykonávat jakoukoli činnost, která by mohla vést ke znehodnocení důkazu nebo zhoršení jeho následků. 3. Po zpozorování bezpečnostní zranitelnosti je zaměstnanec povinen oznámit RS. 4. Zaměstnanci jsou povinni spolupracovat s příjemcem hlášení o bezpečnostním incidentu při prověřování, zda jde o bezpečnostní incident. 5. Pokud v souvislosti se vznikem bezpečnostní události mohl být nebo byl spáchán trestný čin, zaměstnanec je povinen o tom neprodleně informovat orgány činné v trestním řízení a svého přímého nadřízeného nebo ředitele. 6. Za zaměstnance, kteří způsobili bezpečnostní incident, mohly být vyvozeny důsledky ve smyslu platného disciplinárního řízení.

Klasifikace bezpečnostních incidentů

Co se týče incidentů, rozlišujeme tři úrovně naléhavosti a priority problému (kritické, závažné, běžné):
  • Mezi kritické problémy patří bezpečnostní incidenty, při kterých hrozí únik osobních údajů nebo selhání služby.
  • Závažné problémy zahrnují incidenty, při kterých existuje reálné riziko úniku dat, ale toto riziko není bezprostřední (např. používání emailového serveru k rozesílání spamu), nebo existuje riziko poškození dobrého jména společnosti
  • Běžné problémy zahrnují standardní bezpečnostní varování před možnými bezpečnostními incidenty (informační varování, varování ze strany dodavatelů, např. Microsoft Security Notifications)

Všeobecná klasifikace incidentů

Co se týče incidentů, rozlišujeme pět úrovní naléhavosti a priority problému (výpadek, kritický, naléhavý, méně naléhavý, nenaléhavý):
  • Problémy s výpadky zahrnují nedostupnost služby
  • Mezi kritické problémy patří nedostupnost základní funkcionality (zanechávání zpětné vazby, zobrazování klíčových informací apod.), nedostupnost aktuálních dat, IT bezpečnostní incidenty či únik dat.
  • Obecně kritická úroveň zahrnuje problémy, které znemožňují práci s aplikací
  • Naléhavé problémy jsou viditelnější chyby a nedostupnost středně důležité funkcionality (správa profilů atd.)
  • Méně naléhavé jsou méně viditelné chyby, problémy, které mohou ztížit práci s aplikací, ale aplikace zůstává plnohodnotná
  • Nenaléhavé problémy zahrnují neviditelné (nebo téměř neviditelné) chyby a vylepšení.

Časy řešení incidentů

Staffino garantuje následující časy odezvy/rozlišení:
  • Výpadek – doba odezvy do 1 hodiny, doba rozlišení do 6 hodin
  • Kritické – doba odezvy až 12 hodin, doba rozlišení až 24 hodin
  • Středně naléhavá – doba odezvy do 24 hodin, doba řešení do 72 hodin
  • Méně naléhavé – doba odezvy až 72 hodin, doba řešení do dalšího vydání
  • Ne naléhavé – doba odezvy až 72 hodin, doba řešení závisí na plánu vývoje
Staffino poskytuje technickou podporu během pracovních dnů v pracovní době (od 8:00 do 17:00). Pokud je poskytována rozšířená technická podpora, všechny dohody jsou sepsány ve smlouvě o technické podpoře.