PhotoRobot tehničke i organizacijske mjere (TOM)
Ovaj dokument definira tehničke i organizacijske mjere (TOM) PhotoRobot-a u skladu s člankom 32 GDPR-a: Verzija 1.0 – PhotoRobot Edition, uni-Robot Ltd., Češka Republika. Dokument je posljednji put ažuriran 31. prosinca 2025. i podržava usklađenost s ugovornim obvezama PhotoRobot-a prema DPA-u i SLA-u.
1. Uvod - PhotoRobot TOM-ovi
Ovaj dokument opisuje tehničke i organizacijske mjere (TOM) koje provodi uni-Robot Ltd. (PhotoRobot) kako bi osigurao odgovarajuću razinu sigurnosti za obradu osobnih podataka u skladu s člankom 32. Opće uredbe o zaštiti podataka (GDPR).
Ove mjere primjenjuju se na rad PhotoRobot usluga, uključujući, ali ne ograničavajući se na:
- PhotoRobot upravlja oblakom
- PhotoRobot Cloud 2.0
- PhotoRobot upravlja lokalno (kada je povezan na cloud usluge)
- API-ji i povezane online usluge
- Potporna infrastruktura i unutarnji sustavi
Ovaj dokument služi kao autoritativni opis PhotoRobot-ovih TOM-ova i može se koristiti u Sporazumima o obradi podataka (DPA), revizijama i sigurnosnim pregledima poduzeća.
2. Opseg i primjenjivost
TOM-ovi opisani ovdje primjenjuju se na:
- Osobni podaci obrađeni u ime korisnika kao dio PhotoRobot usluga
- Interni operativni podaci potrebni za pružanje, održavanje i zaštitu usluga
Mjere su osmišljene uzimajući u obzir:
- Stanje tehnologije
- Troškovi implementacije
- prirodu, opseg, kontekst i svrhe obrade
- rizici za prava i slobode fizičkih osoba
3. Organizacijske sigurnosne mjere
3.1. Upravljanje informacijskom sigurnošću
PhotoRobot održava interne politike i procedure koje reguliraju informacijsku sigurnost, zaštitu podataka i prihvatljivu upotrebu sustava.
Odgovornosti za sigurnost i zaštitu podataka jasno su definirane unutar organizacije, uključujući određene kontakte za privatnost i pravna pitanja.
3.2. Povjerljivost i svijest zaposlenika
- Zaposlenici i izvođači obvezuju se na povjerljivost
- Pristup sustavima omogućen je na temelju potrebe za znanjem
- Svijest o sigurnosti i zaštiti podataka promovira se kao dio uvođenja i tekućih operacija
4. Kontrola pristupa i autorizacija
4.1. Kontrola pristupa temeljena na ulogama (RBAC)
Pristup sustavima i podacima korisnika kontrolira se pomoću načela kontrole pristupa temeljene na ulogama (RBAC).
- Korisnicima se dodjeljuju minimalne privilegije potrebne za obavljanje svojih zadataka
- Administrativni pristup ograničen je na ovlašteno osoblje
4.2. Autentifikacija
- Snažni mehanizmi autentifikacije koriste se za interne i vanjske sustave
- Politike lozinki i pristupne vjerodajnice upravljaju se sigurno
- Pristupne vjerodajnice ne smiju se dijeliti
5. Infrastruktura i sigurnost mreže
5.1. Hosting i cloud infrastruktura
PhotoRobot usluge hostirane su na profesionalnim pružateljima cloud infrastrukture (npr. Google Cloud Platform), koji implementiraju industrijske standarde fizičkih i okolišnih sigurnosnih kontrola.
5.2. Zaštita mreže
- Mrežni promet zaštićen je vatrozidima i kontrolama pristupa
- Javne usluge su izolirane od internih sustava
- Infrastrukturne komponente prate se radi dostupnosti i sigurnosnih događaja
6. Enkripcija i zaštita podataka
6.1. Podaci u tranzitu
- Podaci koji se prenose između klijenata i PhotoRobot usluga šifrirani su pomoću TLS/HTTPS
- Sigurni komunikacijski kanali se primjenjuju za API-je i cloud sučelja
6.2. Podaci u mirovanju
- Podaci pohranjeni unutar cloud infrastrukture zaštićeni su enkripcijskim mehanizmima koje pruža hosting pružatelj
- Pristup pohranjenim podacima ograničen je na ovlaštene sustave i osoblje
7. Evidentiranje, nadzor i otkrivanje incidenata
7.1. Logiranje
- Sistemski dnevnici generiraju se za operativne i sigurnosno relevantne događaje
- Zapisi se koriste za rješavanje problema, praćenje i analizu incidenata
7.2. Nadzor
- Usluge se prate zbog dostupnosti, performansi i anomalija
- Upozorenja se aktiviraju u slučaju abnormalnog ponašanja ili prekida usluge
8. Odgovor na incidente i upravljanje povredama
PhotoRobot održava procedure za rješavanje sigurnosnih incidenata, uključujući curenje osobnih podataka.
Ti postupci uključuju:
- Identifikacija i procjena incidenata
- mjere ublažavanja i suzbijanja
- Unutarnja eskalacija
- komunikacija s korisnicima gdje je to potrebno
- usklađenost s obvezama obavještavanja o kršenju GDPR-a (članci 33. i 34. GDPR)
9. Sigurnosna kopija, dostupnost i kontinuitet poslovanja
9.1. Sigurnosne kopije
- Sigurnosne kopije podataka izvode se kao dio standardnih operacija u oblaku
- Rezervne kopije koriste se za oporavak od katastrofa i kontinuitet usluge
9.2. Dostupnost
- Ulažu se razumni napori kako bi se održala visoka dostupnost usluga
- Planirane aktivnosti održavanja mogu uzrokovati privremene prekide u radu
Detalji o ciljevima dostupnosti i vremenima odgovora opisani su zasebno u važećim Sporazumima o razini usluge (SLA).
10. Siguran razvoj i upravljanje promjenama
10.1. Sigurne razvojne prakse
PhotoRobot slijedi strukturirane razvojne i implementacijske procese, uključujući:
- odvajanje razvojnih, testnih i produkcijskih okruženja gdje je to prikladno
- Kontrolirani postupci raspoređivanja
- Kontrola verzija i praćenje promjena
10.2. Ažuriranja i zakrpe
- Softverske komponente se ažuriraju kako bi se otklonile sigurnosne ranjivosti
- Kritična ažuriranja prioritetno se određuju na temelju procjene rizika
11. Podprocesori i treće strane
PhotoRobot može angažirati podprocesore za podršku pružanju usluga (npr. hosting, e-mail usluge).
- Podprocesori se biraju na temelju svojih sigurnosnih i praksi zaštite podataka
- Trenutni popis podprocesora održava se zasebno i javno je dostupan
12. Fizička sigurnost
Fizički pristup serverima i podatkovnim centrima upravlja pružatelj cloud infrastrukture i uključuje:
- Kontrole pristupa
- nadzor i praćenje
- Zaštita okoliša
PhotoRobot ne upravlja vlastitim podatkovnim centrima.
13. Minimizacija i zadržavanje podataka
- Obrađuju se samo podaci potrebni za pružanje usluge
- Osobni podaci čuvaju se samo onoliko koliko je potrebno za ugovorne, pravne ili operativne svrhe
- Razdoblja brisanja i zadržavanja podataka definirana su u relevantnim politikama i sporazumima
14. Pregled i novosti
Ove tehničke i organizacijske mjere povremeno se pregledavaju i ažuriraju prema potrebi kako bi odražavale:
- Promjene u tehnologiji
- Promjene u uslugama
- Razvijajući se sigurnosni i regulatorni zahtjevi
Materijalne promjene mogu se priopćiti kupcima prema potrebi.
15. Kontakt informacije
Za pitanja vezana uz ove tehničke i organizacijske mjere:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Prag 1
Češka Republika
Email: legal@photorobot.com
Završna bilješka
Ovi TOM-ovi opisuju trenutne tehničke i organizacijske mjere PhotoRobot-a i namijenjeni su pružanju transparentnosti i sigurnosti kupcima. Oni ne jamče neprekidnu uslugu ili apsolutnu sigurnost, već odražavaju pristup zaštiti podataka i informacijskoj sigurnosti temeljen na riziku i proporcionalnosti.