Hlásenie incidentov a bezpečnostných udalostí

Staffino berie bezpečnosť veľmi vážne a skúma všetky potenciálne a nahlásené zraniteľnosti. Spozorovaný bezpečnostný incident alebo podozrenie na bezpečnostný incident je každý zamestnanec povinný bezodkladne nahlásiť podpore. Ak dôjde k incidentu, zákazník alebo zamestnanec môže doručiť informácie e-mailom na adresu [email protected] alebo telefonicky kontaktovať tím podpory (+421907539484 alebo +421948082282). Tím Staffino odpovie v časoch popísaných nižšie na vašu e-mailovú požiadavku (alebo telefonát v naliehavých prípadoch) a postará sa o to ihneď po potvrdení žiadosti. Každá požiadavka bude kategorizovaná bezpečnostným manažérom na úroveň závažnosti a riešená podľa pokynov poskytnutých pre túto úroveň. V prípade IT bezpečnostných incidentov bude každý zákazník informovaný emailom. Na strane AWS je na https://aws.amazon.com/security/vulnerability-reporting/ dostupný podrobný prehľad o tom, ako AWS hlási zraniteľnosti. Stav služieb Amazon je dostupný na https://status.aws.amazon.com/.

Základné povinnosti a zodpovednosti zamestnancov

1. Zamestnanec je povinný nahlásiť pozorovaný bezpečnostný incident alebo bezpečnostnú zraniteľnosť.

2. Po spozorovaní bezpečnostného incidentu je zakázané vykonávať akúkoľvek činnosť, ktorá by mohla viesť k znehodnoteniu dôkazu alebo zhoršeniu jeho následkov.

3. Po spozorovaní bezpečnostnej zraniteľnosti je zamestnanec povinný oznámiť SM.

4. Zamestnanci sú povinní spolupracovať s príjemcom hlásenia o bezpečnostnom incidente pri preverovaní, či ide o bezpečnostný incident.

5. Ak v súvislosti so vznikom bezpečnostnej udalosti mohol byť alebo bol spáchaný trestný čin, zamestnanec je povinný o tom bezodkladne informovať orgány činné v trestnom konaní a svojho priameho nadriadeného alebo riaditeľa.

6. Za zamestnancov, ktorí spôsobili bezpečnostný incident, mohli byť vyvodené dôsledky v zmysle platného disciplinárneho konania.

Klasifikácia bezpečnostných incidentov

Čo sa týka incidentov, rozlišujeme tri úrovne naliehavosti a priority problému (kritické, závažné, bežné):

• Medzi kritické problémy patria bezpečnostné incidenty, pri ktorých hrozí únik osobných údajov alebo zlyhanie služby.
• Závažné problémy zahŕňajú incidenty, pri ktorých existuje reálne riziko úniku dát, ale toto riziko nie je bezprostredné (napr. používanie emailového servera na rozosielanie spamu), alebo existuje riziko poškodenia dobrého mena spoločnosti
• Bežné problémy zahŕňajú štandardné bezpečnostné varovania pred možnými bezpečnostnými incidentmi (informačné varovania, varovania zo strany dodávateľov, napr. Microsoft Security Notifications)

Všeobecná klasifikácia incidentov

Čo sa týka incidentov, rozlišujeme päť úrovní naliehavosti a priority problému (výpadok, kritický, naliehavý, menej naliehavý, nenaliehavý):

• Problémy s výpadkami zahŕňajú nedostupnosť služby
• Medzi kritické problémy patrí nedostupnosť základnej funkcionality (zanechávanie spätnej väzby, zobrazovanie kľúčových informácií a pod.), nedostupnosť aktuálnych dát, IT bezpečnostné incidenty či únik dát. Vo všeobecnosti kritická úroveň zahŕňa problémy, ktoré znemožňujú prácu s aplikáciou
• Naliehavé problémy sú viditeľnejšie chyby a nedostupnosť stredne dôležitej funkcionality (správa profilov atď.)
• Menej naliehavé sú menej viditeľné chyby, problémy, ktoré môžu sťažiť prácu s aplikáciou, ale aplikácia zostáva plnohodnotná
• Nenaliehavé problémy zahŕňajú neviditeľné (alebo takmer neviditeľné) chyby a vylepšenia.

Časy riešenia incidentov

Staffino garantuje nasledujúce časy odozvy/rozlíšenia:

• Výpadok – doba odozvy do 1 hodiny, doba rozlíšenia do 6 hodín
• Kritické – doba odozvy až 12 hodín, doba rozlíšenia až 24 hodín
• Stredne naliehavá – doba odozvy do 24 hodín, doba riešenia do 72 hodín
• Menej naliehavé – čas odozvy až 72 hodín, čas riešenia do ďalšieho vydania
• Nie súrne – doba odozvy až 72 hodín, doba riešenia závisí od plánu vývoja

Staffino poskytuje technickú podporu počas pracovných dní v pracovnom čase (od 8:00 do 17:00). Ak sa poskytuje rozšírená technická podpora, všetky dohody sú spísané v zmluve o technickej podpore.