Ferrero
search the site...

FERREROS TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER

1. ALLMÄNNA KONTROLLER
1.1 Ferrero har infört vederbörligen dokumenterade policyer för skydd av personuppgifter, och dessa uppdateras regelbundet.
1.2 Ferreros rutiner för skydd av personuppgifter är formellt dokumenterade. Vid behov granskas de och stäms av mot formella handlingar (t.ex. mötesprotokoll, listor, it-loggar), så att oavbruten aktsamhet och vaksamhet vid all behandling av personuppgifter kan visas.
1.3 Ferrero har utsett både en säkerhetsansvarig och ett dataskyddsombud (DPO) som ansvarar för att samordna och övervaka att såväl säkerhetsbestämmelser och säkerhetsrutiner som dataskyddsbestämmelser efterlevs.

2. DE REGISTRERADES RÄTTIGHETER (ART. 15 och följande i GDPR)
2.1 Ferreros anställda är medvetna om hur de ska gå till väga för att utöva sin rätt till tillgång och hur de förmedlar begäranden om att få utöva sina rättigheter till den personuppgiftsansvariga.
2.2 Ferrero för ett allmänt register där dessa begäranden registreras, exempelvis om att utöva rätten till tillgång.
2.3 Ferrero har utsett en person/funktion (dataskyddsombudet) som ansvarar för skriftliga förklaringar till den personuppgiftsansvariga om begäranden från de registrerade.
2.4 Ferrero har fastställt en tidsgräns för förmedling av begäranden till den personuppgiftsansvariga.
2.5 Ferrero har en rutin för att skriftligen dokumentera eventuella avslag på begäranden från de registrerade om att utöva sin rätt att radera eller begränsa behandlingen av eller portabiliteten av uppgifter samt för att dela denna dokumentation med den personuppgiftsansvariga.

3. INTEGRITETSPOLICY (ART. 13 GDPR) (i tillämpliga fall)
3.1 Ferreros anställda och andra personer som ansvarar för att förse de registrerade med meddelanden om integritetspolicyer/skydd av personuppgifter och/eller för att samla in de registrerades samtycke, även för den personuppgiftsansvarigas räkning, har fått särskild utbildning när det gäller bestämmelserna för skydd av personuppgifter.
3.2 Ferrero gör regelbundna kontroller av hur dessa anställda eller andra personer interagerar med de registrerade.
3.3 När Ferreros anställda och andra personer tillhandahåller meddelanden om skydd av personuppgifter till de registrerade har dessa den kompetens som krävs för att underrätta de registrerade om deras rättigheter på ett tydligt och klart sätt, antingen muntligen eller skriftligen.
3.4 Ferrero för register över alla källor från vilka personuppgifter hämtas.

4. BEHÖRIGA PERSONER (ART. 29 GDPR)
4.1 Ferrero har formellt utsett alla behöriga personer, antingen individuellt eller som en del av homogena kategorier.
4.2 Alla utsedda behöriga personer har fått specifika skriftliga anvisningar om hur personuppgifter behandlas och skyddas.
4.3 Ferrero har en aktuell förteckning över behöriga personer, och alla behöriga personer får adekvat utbildning om skydd av personuppgifter. Denna utbildning dokumenteras väl.
4.4 Åtkomsträttigheter som beviljas behöriga personer är adekvata och aktuella. De instruktioner som ges till behöriga personer är aktuella. Detta kontrolleras regelbundet.

5. UTBILDNING
5.1 Nyanställda får lämpliga instruktioner innan de börjar behandla personuppgifter.
5.2 Anställdas integritet och pålitlighet bedöms innan de anförtros arbetsuppgifter som ger tillgång till personuppgifter.
5.3 Alla behöriga personer får regelbundna operativa uppdateringar om säkerhet.
5.4 Ferrero förser alla behöriga personer med säkerhetsriktlinjer.
5.5 Ferrero för dokumentation för att stödja och belägga de utbildningsaktiviteter som genomförs.

6. POLICYER FÖR INFORMATIONSSÄKERHET
6.1 Ferrero har formulerat en uppsättning kriterier och policyer för att klargöra sin hållning och sitt stöd när det gäller informationssäkerhet och tillämpar även säkerhetskontroller av mobila enheter och olika former av distansarbete, som fjärråtkomst och digitala arbetsplatser.
6.2 Ferrero har definierat separata roller och ansvarsområden när det gäller säkerhet och fördelat dem mellan lämpliga personer för att undvika intressekonflikter och förhindra olämpliga aktiviteter.
6.3 Ferrero har ingått adekvata avtal med underbehandlare som innebär att dessa måste vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för skydd av personuppgifter.

7. PERSONALSÄKERHET
7.1 Hänsyn tas till informationssäkerhetsansvaret före anställning, vid rekrytering eller val av anställda, underleverantörer och tillfälligt anställda (t.ex. genom lämpliga beskrivningar av lediga tjänster eller screening före anställning) och detta ansvar ingår i anställningsavtal och andra tjänsteavtal (t.ex. i anställningsvillkor och andra undertecknade avtal som definierar roller och ansvar i förhållande till säkerheten, bland annat genom skyldighet till efterlevnad).
7.2 Under anställningen har Ferreros chefer möjlighet att säkerställa att anställda, underleverantörer och tillfälligt anställda under sin anställningstid eller avtalstid är medvetna om och instrueras om att uppfylla sina skyldigheter när det gäller informationssäkerhet samt informeras om att de kan bli föremål för formella disciplinära åtgärder i händelse av att de orsakar informationssäkerhetsincidenter.
7.3 Ferrero har formella disciplinära förfaranden som kan utlösas i händelse av att informationssäkerhetsincidenter orsakas av anställda, underleverantörer eller tillfälligt anställda.
7.4 När en person lämnar Ferrero, eller om personens roller och ansvarsområden förändras avsevärt, hanteras alla säkerhetsaspekter genom exempelvis skyldighet att återlämna all företagsinformation och företagsutrustning, uppdatering av åtkomsträttigheter och behörigheter samt påminnelser till berörda personer om deras fortsatta skyldigheter avseende integritet, immateriell äganderätt, avtalsvillkor som fortsätter gälla och andra villkor, inklusive etiska förväntningar.
7.5 Behörig personal får specifika anvisningar om hur de ska radera eller förstöra information i lagringsmedia före återanvändning.

8. FÖRVALTNING AV INFORMATIONSTILLGÅNGAR
8.1 Ferrero har en fullständig förteckning över alla sina informationstillgångar, och personer som innehar dessa tillgångar identifieras på ett sätt som säkrar deras redovisningsskyldighet för tillgångarnas säkerhet. Ferrero har definierat policyer för ”godtagbar användning” för dessa tillgångar.
8.2 Informationslagringsmedia hanteras, kontrolleras, transporteras och kasseras på ett sätt som inte äventyrar det lagrade informationsinnehållet.
8.3 Ferrero har ett lämpligt antal säkerhetsutrymmen som är utplacerade på lämpligt sätt och är tillgängliga för personer som ansvarar för (även tillfälligt) personuppgifter i någon form (pappersform, elektronisk form eller annan form).
8.4 Ferrero har implementerat kontroller för att undvika att dokument som innehåller särskilda kategorier av personuppgifter lämnas utan tillsyn när de anförtros åt behöriga personer och tas ut från sina skyddade arkiv.
8.5 Det är lätt för behöriga personer att få tillgång till och använda dokumentförstörare.
8.6 Ferrero har implementerat en lämplig policy för användning, förvaring och förstöring av pappersdokument.
8.7 Pappersdokument som innehåller särskilda kategorier av personuppgifter raderas eller – föredraget – förstörs före återvinning.

9. ÅTKOMSTKONTROLL
9.1 Ferreros gällande organisatoriska krav när det gäller åtkomstkontroll för informationstillgångar finns klart dokumenterade i en kontrollpolicy/ett kontrollförfarande, och åtkomsten till Ferreros nätverk och anslutningar är begränsad.
9.2 Användarna underrättas om sitt ansvar när det gäller att upprätthålla en effektiv åtkomstkontroll, exempelvis att välja starka lösenord och hålla dessa konfidentiella.
9.3 Åtkomsten till information är begränsad i enlighet med Ferreros kontrollpolicy/kontrollförfarande, t.ex. med säkra inloggningssystem, lösenordshantering, privilegierad åtkomstkontroll och begränsad åtkomst till källkod.
9.4 Ferrero kontrollerar åtkomsten till känsliga områden. Personer som får åtkomst till dessa känsliga områden måste först erhålla behörighet för detta.
9.5 Känsliga områden är försedda med elektroniska verktyg för åtkomstkontroll eller övervakas på annat lämpligt sätt.
9.6 Ferrero granskar regelbundet åtkomstloggarna för känsliga områden som serverrum för att upptäcka omotiverad åtkomst.

10. FYSISK SÄKERHET OCH MILJÖSÄKERHET
10.1 Ferrero har tydligt definierade fysiska gränser med fysiska åtkomstkontroller och interna rutiner för att skydda sina anläggningar, kontor, utrymmen, lastnings- och lossningsområden osv. mot obehörig åtkomst (skydd mot brand, översvämning, jordbävningar, bomber osv.).
10.2 Ferrero kan bekräfta att utrustning och/eller information inte förs bort från Ferreros område utan föregående bemyndigande och skyddas på lämpligt sätt utanför Ferreros område.
10.3 Information i informationslagringsmedia förstörs innan dessa media kasseras eller återanvänds.
10.4 All obevakad utrustning skyddas, och det finns särskilda utrymmen och en klar kontrollpolicy för sådan utrustning.

11. OPERATIV SÄKERHET
11.1 Kontroller för sabotageprogram har införts och underhålls.
11.2 Lämplig säkerhetskopiering utförs och upprätthålls i enlighet med Ferreros policy för säkerhetskopiering.
11.3 Säkerhetskopieringsfunktionerna testas. Resultaten dokumenteras och registreras.

12. AUTENTISERING OCH ÖVERVAKNING
12.1 Tidshållningssystem synkroniseras för att säkerställa en enhetlig tidshantering vid spårning av data.
12.2 Ferrero följer principenen för begränsad behörighet och tillåter behörig åtkomst för användare baserat på deras arbetsuppgifter.

13. HANTERING AV TEKNISK SÅRBARHET
13.1 Ferrero kan bekräfta att en process för hantering av sårbarhet har utvecklats för att identifiera säkerhetssvagheter med användning av betrodda externa källor till sårbarhetsinformation och tilldelning av en riskklassificering till säkerhetssårbarheter.
13.2 Systemkomponenter och programuppdateringar för att åtgärda kända sårbarheter utvärderas med avseende på tillämplighet, testas före installation om de uppfyller kraven och implementeras utan onödigt dröjsmål.
13.3 Regler för användarnas installation av programvaror har införts för att förhindra att nya sårbarheter skapas.
13.4 Ferrero har utformat och infört en process för penetrationstestning på applikationsnivå och infrastrukturnivå.

14. KOMMUNIKATIONSSÄKERHET
14.1 Säkerheten hos Ferreros nätverk och nätverkstjänster skyddas med bland annat nätverkssegregering.
14.2 Ferrero har infört skyddsåtgärder för att kontrollera kommunikation vid infrastrukturens interna och externa gränser.
14.3 Ferrero har infört policyer, rutiner och avtal (t.ex. sekretessavtal, avtal om behandling av personuppgifter) när det gäller överföring av information till/från tredjeparter, inklusive genom elektroniska meddelanden.
14.4 Ferrero har infört säkra kanaler (t.ex. krypterade protokoll vid anslutning till företagsnätverket och/eller VPN vid fjärranslutning) för kommunikation mellan informationssystemen och företagsnätverket.

15. FÖRVÄRV, UTVECKLING OCH UNDERHÅLL AV SYSTEM
15.1 Ferrero analyserar och specificerar kraven för säkerhetskontroll, inklusive för nätapplikationer och nättransaktioner.
15.2 Regler som styr programvarusäkerhet/systemutveckling formuleras i enlighet med Ferreros interna policy.
15.3 Förändringar hanteras, genomförs, granskas och godkänns (helst med ett verktyg) i en dedikerad miljö innan de migreras till produktionen.
15.4 Förändringar av konfigurationen av applikationsparametrar bemyndigas före implementering och valideras efter genomförandet.
15.5 Programvarupaket modifieras inte, och tekniska principer för systemsäkerhet respekteras.
15.6 Utvecklings-, testnings- och produktionsmiljöer separeras för att undvika obehörig åtkomst eller förändringar av produktionssystem eller kodkataloger.
15.7 Alla testdata väljs, generas och kontrolleras noga.

16. RELATIONER TILL LEVERANTÖRER
16.1 Ferrero har infört policyer, rutiner, medvetandehöjande aktiviteter m.m. för att skydda organisationsinformation som är tillgänglig för it-leverantörer och andra externa leverantörer (oavsett om dessa är underbehandlare eller inte) i hela leveranskedjan. Dessa återspelas i skriftliga avtal som ingåtts med dessa aktörer.

17. HANTERING AV INFORMATIONSSÄKERHETSINCIDENTER
17.1 Ferrero har infört ansvarsförhållanden och rutiner för att hantera (rapportera, bedöma, reagera på och lära av) händelser, incidenter och sårbarheter som gäller säkerheten, inklusive personuppgiftsincidenter, på ett sammanhängande och effektivt sätt för att det både ska gå att rapportera snabbt till den personuppgiftsansvariga och vid behov samla in lämpliga forensiska bevis.

18. INFORMATIONSSÄKERHETSASPEKTER SOM AVSER DRIFTSKONTINUITET
18.1 Ferrero har planer för informationssäkerhetskontinuitet som har implementerats, testats och granskats som en integrerad del av hanteringssystemen för driftskontinuitet.
19.2 Ferrero har tillräcklig redundans för att uppfylla åtkomstkraven.

19. EFTERLEVNAD
19.1 Ferrero har identifierat och dokumenterat sina skyldigheter gentemot myndigheterna (även tillsynsmyndigheterna) och övriga tredjeparter när det gäller informationssäkerhet, inklusive avseende immateriell äganderätt, företagsregister och andra register, integritet och kryptering.

Senaste uppdatering: juni 2018

Integritetspolicy

ANVANDARVILLKOR

Sekretess och cookiepolicy

Webbplatskarta

Kontakt

www.ferrerocsr.com

www.ferrerocareers.com

www.ferrero.com

copyright © Ferrero 2024