ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ
Η WIKIFARMER, η οποία δραστηριοποιείται στο πεδίο της παροχής υπηρεσιών διαδικτυακού εμπορίου γεωργικών προϊόντων, χονδρικής και λιανικής, λειτουργώντας παράλληλα ως βιβλιοθήκη, για την αναζήτηση στοιχείων που σχετίζονται με τη γεωργία, Wikipedia of Farming, έχοντας ξεπεράσει τα 9 εκατομμύρια μοναδικούς χρήστες, σε πολλαπλές γλωσσικές εκδόσεις, θεωρεί στρατηγικής σημασίας την ασφάλεια των πληροφοριών και δεδομένων που διαχειρίζεται στο πλαίσιο των παρεχόμενων προς τους πελάτες της υπηρεσιών. Η Διοίκηση της εταιρείας αναγνωρίζοντας την κρισιμότητα των πληροφοριών και πληροφοριακών συστημάτων στην εκτέλεση των επιχειρησιακών λειτουργιών της εταιρείας, υποστηρίζει και προάγει ενέργειες που σκοπό έχουν τη διασφάλιση της ασφαλούς λειτουργίας των συστημάτων, εφαρμόζοντας Σύστημα Ασφάλειας των Πληροφοριών βάσει των απαιτήσεων του Προτύπου ISO 27001.
Για το λόγο αυτό η εταιρεία έχει αναπτύξει και εφαρμόζει Πολιτική Ασφάλειας των Πληροφοριών στοχεύοντας:
- Στη συμμόρφωση με τις νομικές και κανονιστικές απαιτήσεις στις οποίες υπόκειται η λειτουργία της
- Στη διασφάλιση της εμπιστευτικότητας, διαθεσιμότητας και ακεραιότητας των πληροφοριών που διαχειρίζεται και στη χρήση αυτών για τον σκοπό και μόνο που προορίζονται
- Στην προστασία των δεδομένων των πελατών, των εργαζομένων καθώς και λοιπών τρίτων ενδιαφερόμενων μερών
- Στην άμεση και αποτελεσματική διαχείριση και αντιμετώπιση περιστατικών που ενδέχεται να παραβιάσουν την ασφάλεια πληροφοριών
Στο πλαίσιο αυτό, συμμορφώνεται με τις βασικές αρχές επεξεργασίας προσωπικών δεδομένων, σέβεται τα δικαιώματα των φυσικών προσώπων και διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα τα οποία έχει στην κατοχή της:
- συλλέγονται για καθορισμένους, ρητούς και νόμιμους σκοπούς
- συλλέγονται έπειτα από συγκατάθεση του φυσικού προσώπου, όπου απαιτείται
- υφίστανται επεξεργασία μόνο για τους σκοπούς, για τους οποίους έχουν συλλεχθεί ή/ και για νομικούς και κανονιστικούς λόγους ή/ και για την προάσπιση του δημοσίου συμφέροντος
- δεν υποβάλλονται σε περαιτέρω επεξεργασία πέραν του ορισμένου σκοπού
- είναι κατάλληλα, συναφή και περιορίζονται στα ελάχιστα απαραίτητα για τους σκοπούς επεξεργασίας
- υπόκεινται σε νόμιμη επεξεργασία σύμφωνα με τα δικαιώματα των φυσικών προσώπων, είναι ακριβή και επικαιροποιούνται, όταν απαιτείται και ειδικά πριν τη λήψη κρίσιμων αποφάσεων για τα φυσικά πρόσωπα
- δεν τηρούνται για χρονικό διάστημα μεγαλύτερο από αυτό που απαιτείται για το σκοπό της επεξεργασίας ή/ και για τη συμμόρφωση της εταιρείας με νομικές και κανονιστικές υποχρεώσεις
- διατηρούνται ασφαλή από μη εξουσιοδοτημένη πρόσβαση, απώλεια ή καταστροφή
- διαβιβάζονται σε τρίτους μόνο για την εξυπηρέτηση του σκοπού της συνεργασίας και υπό την προϋπόθεση ότι εξασφαλίζεται επαρκές επίπεδο προστασίας αυτών
Η εταιρεία για να διασφαλίσει τα παραπάνω:
- παρακολουθεί και ελέγχει την εφαρμογή της παρούσας πολιτικής, καθώς και την αξιολόγηση της αποτελεσματικότητάς της ως προς τη συμμόρφωση με το κανονιστικό πλαίσιο και τις βέλτιστες πρακτικές για την προστασία των προσωπικών δεδομένων
- εφαρμόζει διαδικασίες για την πλήρη ικανοποίηση των δικαιωμάτων των φυσικών προσώπων
- καθορίζει τις οργανωτικές δομές που είναι απαραίτητες για την παρακολούθηση θεμάτων σχετικών με την Ασφάλεια Πληροφοριών
- καθορίζει τον τρόπο διαβάθμισης των πληροφοριών ανάλογα με τη σπουδαιότητα και την αξία τους
- ενσωματώνει τις απαιτήσεις διαχείρισης δεδομένων προσωπικού χαρακτήρα σε όλες τις λειτουργίες και διεργασίες που σχετίζονται με την επεξεργασία τους
- έχει αναγνωρίσει όλα τα εσωτερικά και εξωτερικά εμπλεκόμενα μέρη και τις απαιτήσεις τους ως προς την προστασία των προσωπικών δεδομένων
- παρέχει σαφείς οδηγίες στο προσωπικό και τους τρίτους που εκτελούν εργασίες για λογαριασμό της για την ασφαλή χρήση και διαβίβαση των δεδομένων
- διασφαλίζει ότι η διαβίβαση δεδομένων σε τρίτους και η επεξεργασία από αυτούς για λογαριασμό της υλοποιείται σε συμμόρφωση με το κανονιστικό πλαίσιο για την προστασία δεδομένων καθώς και την παρούσα πολιτική
- επενδύει στη συνεχή κατάρτιση, ευαισθητοποίηση και εκπαίδευση των εργαζομένων του σε θέματα προστασίας δεδομένων προσωπικού χαρακτήρα καθώς και στη συνεχή βελτίωση της τεχνογνωσίας και τη διάχυσή της σε όλο το προσωπικό
- λαμβάνει κατάλληλα και επαρκή τεχνικά και οργανωτικά μέτρα για τη διασφάλιση της ασφάλειας των πληροφοριών και των προσωπικών δεδομένων που διαχειρίζεται, μέτρα τα οποία παρακολουθούνται συνεχώς ως προς την επάρκεια και την αποτελεσματικότητά τους, και επικαιροποιούνται είτε σε περιπτώσεις εμφάνισης συμβάντος, είτε όταν μεταβάλλονται υφιστάμενες στην εταιρεία συνθήκες
- διαθέτει όλους τους απαιτούμενους πόρους
- κοινοποιεί την παρούσα πολιτική σε όλο το προσωπικό και μεριμνά για τη συνεχή αναβάθμισή της, ώστε να επιτυγχάνεται η πλήρης συμμόρφωση με το ισχύον κανονιστικό πλαίσιο
- επικοινωνεί με τις αρμόδιες Αρχές σε περίπτωση εμφάνισης περιστατικού ασφαλείας, κατά περίπτωση, και παρέχει πληροφορίες για τη διαχείριση αυτού
- έχει εκπονήσει σχέδιο για την εκτίμηση των κινδύνων που σχετίζονται με την ασφάλεια στοιχείων, δεδομένων και πληροφοριών προσωπικού χαρακτήρα, αλλά και των πληροφοριακών συστημάτων, το οποίο παρακολουθεί συστηματικά και επικαιροποιεί αναλόγως των συνθηκών που επικρατούν. Το σχέδιο αυτό παρακολουθείται σε συνεχή βάση και επικυρώνεται, τακτικά, ως προς την ισχύ του σε ετήσια βάση προκειμένου να διασφαλίζεται ότι οι ενέργειες που γίνονται στο πλαίσιο ασφάλειας των πληροφοριών είναι επαρκής και ταυτόχρονα, εάν αυτό δεν συμβαίνει, να λαμβάνονται αποφάσεις για περαιτέρω ενέργειες. Εάν ωστόσο υπάρξει αλλαγή των υφιστάμενων συνθηκών ή και στις περιπτώσεις εμφάνισης περιστατικών ασφαλείας, η Διοίκηση της εταιρείας ελέγχει και επικαιροποιεί εκτάκτως το σχέδιο.
- μεριμνά για την ασφαλή συνέχεια των επιχειρησιακών λειτουργιών της εταιρείας σε περιπτώσεις δυσλειτουργίας πληροφοριακών συστημάτων ή σε περιπτώσεις καταστροφών
Το παρόν έντυπο αποτελεί εσωτερικό του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών και ανασκοπείται τακτικά σε ετήσια βάση ή και όποτε κρίνεται απαραίτητο από την Διοίκηση για την καταλληλότητά του, είναι δεσμευτικό για όλα τα μέλη της εταιρείας και μη τήρηση αυτού δύναται να επιφέρει κυρώσεις, αναλόγως των συνεπειών για την εταιρεία.