Adatfeldolgozói tájékoztató

A GDPR: Európai Parlament és a Tanács (EU) 2016/679 rendelete alapján Ügyfeleink számára tájékoztatást nyújtunk a NAVAR Consulting Kft tárhelyszolgáltatása kapcsán megvalósuló adatfeldolgozói tevékenységéről.

A tárhelyszolgáltatás igénybevételével a NAVAR Consulting Kft. szervereire az Előfizető részéről olyan adatok kerülhetnek, melyek egy része személyes adatnak minősül. Az Adatkezelő feladata a személyes adatok oly módon történő kezelése, mely megfelel a GDPR rendelkezéseinek. Adatfeldolgozóként csak az adatmentés és tárolás technikai műveletét biztosítjuk. Az adatok adattartalmát, formáját további feldolgozását és így a további beépített biztonsági fokokat is az Előfizető, mint Adatkezelő határozza meg.

Az alábbiakban a GDPR rendelkezéseinek megfelelő adatkezeléshez kívánunk segítséget nyújtani:

Definíciók:

Titkosított elérés: Olyan adatforgalom a szervereink és az Előfizető vagy további felhasználók között, mely megakadályozza harmadik fél részére az eredeti tartalom megismerését. Minden modern internet alapú adatforgalmi típus rendelkezik a titkosítatlan mellett, titkosított eléréssel is. Ezek: Https (web), IMAPS/POP3S (email fogadás), SMTPS/ESMTPS (email küldés), FTPS/SFTP/SCP (fájl átvitel és másolás).

Tanúsítvány: A titkosított elérésű protokollok aktiválásához szükséges SSL kulcs és kísérő adatok szabványos módon csomagolt formája. A tanúsítványokat az Előfizetők is előállíthatják, de azok minimális adattartalmú változatát a rendszereink automatikusan is elő tudják állítani az Előfizető domain nevei alapján.

Hiteles tanúsítvány: Olyan tanúsítvány, mely kísérő adatait egy külső szervezet ellenőrizte és hitelesnek találta. Hiteles tanúsítvány nélkül a levelező és böngészőprogramok figyelmeztetik a felhasználót, hogy az adat forrása nem hiteles. Ez nem jelenti azt, hogy az adat biztos hamisított, vagy lehallgatható.

Titkosított adattárolás: Mind az adatbázisok esetében, mind a nyílt fájloknál lehetőség van az adatok titkosítására. A titkosítás tipikusan egy titkosító függvény (program) és kulcs (jelszó) használatával valósítható meg.

Biztonsági rések: A tárhelyre telepített nyílt forráskódú alkalmazások rendelkezhetnek olyan hibákkal, melyek alkalmasak jogosulatlan hozzáférés megszerzésére. A biztonsági réseket az elkövetőnek nem a célrendszeren kell kikísérleteznie, hanem elég azt elvégezni a nyílt szoftver bármely példányán. Az egyedi alkalmazások esetében a hibákat helyben kell kikísérletezni.

A tárhely üzemeltetésével kapcsolatos GDPR megfontolások:

A szerverek, felhő szerverek, tárhelyek, email címek és az ügyfélkapu jelszóval vannak védve. Javasolt egyedi (máshol nem használt) véletlen karaktersorozat használata és a telepítéskor kapott jelszó azonnali megváltoztatása. A jelszót harmadik fél számára nem tanácsos kiadni. A rendszerünk a tárhelyek és adatbázisok esetében lehetőséget biztosít másodlagos elérések létrehozására és így a felelősségi körök elkülönítésére. A hozzáférések létrehozásának időpontjáról, a hozzáférésre jogosultak személyéről és felelősségi köréről az Előfizető nyilvántartást vezethet.

A szolgáltatásainkkal kapcsolatban műszaki és adminisztrációs segítséget csak a regisztrált kapcsolattartó jogosult kérni. Információt csak a regisztrált kapcsolattartói email címre tudunk küldeni. Telefonos azonosítás is használható, ha a hívó száma megegyezik a regisztrált kapcsolattartási telefonszámmal. Ezen felül a szolgáltatással kapcsolatban az ügyfélkapun történő hiteles belépés után vagy papír alapon hitelesítve vagy személyesen is el lehet járni.

A cPanel és ISPconfig tárhelyeken és szervereken lehetőség van hitelesített tanúsítványok létrehozására és automatikus telepítésére. Ezzel bekapcsolható a titkosított kommunikáció. Javasolt minden webalkalmazás esetében a titkosított kommunikáció használata. Javasolt továbbá az adatok és alkalmazások titkosított csatornán történő feltöltése és telepítése. Szintén javasolt továbbá a levelezés esetében is titkosítás használata, legyen az ügyfél vagy szerver oldali, levélküldés avagy fogadás.

Javasolt minden személyes adatot adatbázisban, titkosított módon tárolni. Az adatbázis jelszóval védett és alapértelmezett módon tiltott a távoli elérése. Távoli elérés csak titkosított (SSH) csatornán oldható meg, vagy az Előfizetőnek kell azt egyedileg engedélyezni. Az aktuálisan aktív engedélyekről a szerver is vezet nyilvántartást, de az javasolt az Előfizető számára is.

A szervereinket Magyarországon üzemeltetjük, Ezért a hozzánk feltöltött személyes adatok nem hagyják el az EU területét.

A szervereink folyamatos biztonsági mentés alatt állnak, melynek eredményeképpen a tárhelyek esetében heti 3 és a felhő rendszerek esetében heti 1 mentést állítunk elő. Ezek közül az utolsó 2-4 darab érhető el a tárhely adminisztrációs felületéből. A GDPR értelmében az adatkezelő felelőssége a visszaállíthatóság biztosítása, ezért javasoljuk, hogy időről időre a mentéseket másolják a saját rendszereikre. Felhő szerverek esetében a mentést előre biztosított online vagy offline adattárolóra tudjuk biztosítani 48 órán belül. Felhő és fizikai szerverek esetében javasolt további saját funkcionális mentés megvalósítása is és az előálló mentések saját tárolása.

A beérkező leveleken spam és vírusszűrést végzünk. Végzünk továbbá statisztikai elemzéseket is, mely kimutathat jogosulatlan hozzáférést. Ez esetben értesítjük a hivatalos kapcsolattartót és az érintett jelszót megváltoztatjuk. Az eredeti jelszó visszaállítása tilos. A szűrés nem 100%-os hatásfokú, ezért érdemes további kliens oldali szűrő és antivírus használata is, illetve józan elemzés az ismeretlen típusú vagy forrású tartalmak megnyitása előtt.

A tárhelyre és szerverekre feltöltött alkalmazásokat az Előfizetők saját maguk választják meg. A biztonsági résekből eredő jogosulatlan hozzáférések többsége az alkalmazások naprakészen tartásával megelőzhető. Ne használjon elavult vagy lejárt támogatású szoftvert, mert azt robotok és tesztelőprogramok meg fogják találni. Fontos tudni, hogy ilyen esetben nem a szerver kompromittálódik, hanem csak az adott tárhely, illetve az azzal azonos jogosultság alatt tárolt többi tárhely. Ilyen esetben tehát szerver üzemeltetési oldalról a probléma nem hárítható el. Fontos tudni, hogy a tárhely feltörésével az email és adatbázis adatok is könnyen hozzáférhetővé válnak.

Adatvédelmi incidens: a GDPR előírja kötelezettségként az adatkezelők részére az adatvédelmi incidensek bejelentését. Az adatfeldolgozónak nincs ilyen kötelezettsége és csak a saját rendszereit érintő incidenst jelzi adatkezelő felé. Az adatkezelő feladata az általa a tárhelyre telepített programot érintő incidensek észlelése, de ettől függetlenül minden általunk érzékelt betörést és betörési kísérletet jelzünk. Az előfizető felelőssége eldönteni, hogy az incidens érinthetett-e személyes adatot és szükséges-e az adatvédelmi incidens bejelentése, erről nyilvántartás vezetése vagy szükség esetén a további érintettek tájékoztatása.