GDPR part 2: To Papaki πιστοποιήθηκε με ISO 27001:2013!

Στο Papaki έχουμε εδώ και πάνω από ένα χρόνο μπει σε ρυθμούς GDPR με μεγάλη όρεξη! Δεν αντιμετωπίσαμε αυτόν τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων διεκπεραιωτικά αλλά ως μια εξαιρετική αφορμή να γίνουμε ακόμα καλύτεροι.

Στο πλαίσιο αυτό λοιπόν, όπως έχουμε αναφέρει σε προηγούμενο άρθρο, αποκτήσαμε νέους συνεργάτες για την ασφάλεια και την προστασία δεδομένων, μεταβήκαμε σε νέα εφαρμογή αποθήκευσης κωδικών, ενώ κάναμε εσωτερικά σεμινάρια για να ενημερωθούμε για τα νέα δεδομένα και να τα εφαρμόσουμε στη πράξη χωρίς δυσκολία. Αυτά ήταν μόνο η αρχή, όμως! Έχουμε προβεί και σε άλλες ενέργειες τις οποίες θα μοιραστούμε παρακάτω, στο πλαίσιο του ανοιχτού διαλόγου που διατηρούμε μαζί σου αλλά και για να σε βοηθήσουμε να πάρεις ιδέες ώστε να αξιοποιήσεις και εσύ το GDPR υπέρ σου.

1. Ανανέωση όρων χρήσης

Θέλουμε να καταλαβαίνεις απόλυτα πώς λειτουργούμε! Γι’ αυτό και φροντίσαμε, με τη βοήθεια της νομικής μας συμβούλου και όλων των επιμέρους τμημάτων μας, να κάνουμε μια ολιστική αναθεώρηση στους όρους χρήσης μας. Αποφύγαμε την “ξύλινη” γλώσσα, ενώ κάναμε και έναν επιμέρους διαχωρισμό με βάση τις υπηρεσίες μας. Έτσι, κάθε πελάτης θα μπορεί να ανατρέχει στους όρους που αφορούν αποκλειστικά την υπηρεσία που χρησιμοποιεί, και να μην αφιερώνει χρόνο σε κείμενα που δεν σχετίζονται με αυτή.

2. Καταγραφή συστημάτων & risk assessment

Kαταγράψαμε αναλυτικά όλα τα προγράμματα, τις εφαρμογές, τις υπηρεσίες και τον εξοπλισμό που χρησιμοποιούμε. Μετά, με τη μέθοδο Binary Risk Assessment, κάναμε μια πρώτη εκτίμηση κινδύνου, ώστε να είμαστε σίγουροι ότι γνωρίζουμε ποια συστήματα και υπηρεσίες έχουν μεγαλύτερη σημασία για εμάς, καθώς και για να είμαστε προετοιμασμένοι για κάθε ενδεχόμενο.

3. Συμβάσεις με τους προμηθευτές

Ο νέος Γενικός Κανονισμός Προστασίας Δεδομένων, μας οδήγησε να κοιτάξουμε όχι μόνο τις δικές μας διαδικασίες εσωτερικά, αλλά και τις συνεργασίες μας. Θέλαμε να μπορούμε να εγγυηθούμε στους πελάτες μας ότι τα δεδομένα τους είναι προστατευμένα και από αυτή την πλευρά. Έτσι, εισάγαμε μια νέα διαδικασία διαχείρισης των σχέσεων και των συμβάσεων με βασικούς προμηθευτές μας, και εφαρμόσαμε το due diligence στην επιλογή τους: διερευνήσαμε, δηλαδή, από πριν ότι συμμορφώνονται με συγκεκριμένα standards που είχαμε θέσει. Η τιμή αγοράς μπορεί να είναι ένας σημαντικός παράγοντας σε μια τέτοια σχέση, δεν είναι, όμως, ο σημαντικότερος!

4. Πιστοποίηση ISO 27001:2013!

Όλα τα παραπάνω μας βοήθησαν να γίνουμε καλύτεροι και έγιναν στο πλαίσιο και της προσπάθειάς μας να πάρουμε το ISO 27001:2013. Πρόκειται για μια πιστοποίηση η οποία είναι συναφής με το GDPR, καθώς διερευνά σε βάθος τα συστήματα και τις διαδικασίες που ακολουθούνται σε μια εταιρεία, και την πιστοποιεί σε επίπεδο ασφάλειας. Πριν από μερικές εβδομάδες υποδεχτήκαμε στα γραφεία μας τους ελεγκτές του φορέα και πριν από μερικές ημέρες μας ανακοινώθηκε ότι περάσαμε με επιτυχία τον έλεγχο και πλέον κατέχουμε την πιστοποίηση! Οι διαδικασίες που μεταβάλαμε ήταν πολλές και είχαν όλες ως αποτέλεσμα την ενδυνάμωση των συστημάτων μας και την παροχή ακόμη μεγαλύτερης ασφάλειας. Σε ό,τι αφορά τον εσωτερικό έλεγχο, τα ευρήματα έδειξαν διαφορετικές ανάγκες τις οποίες και καλύψαμε. Οι σημαντικότερες είναι οι παρακάτω:

• Ο Chief Technology Officer μας, σχεδίασε ένα νέο σύστημα υποστήριξης της υποδομής μας, με καινούριους ρόλους και αρμοδιότητες, ώστε να ελεγχεται αποτελεσματικότερα η πρόσβαση σε κρίσιμα συστήματα.
• Ανανεώθηκε το σχέδιο ανάκαμψης από σοβαρές βλάβες που έχει δημιουργήσει η εταιρία.
• Καταγράφηκαν λεπτομερώς οι ρόλοι και οι αρμοδιότητες όλου του προσωπικού και θεσπίστηκαν νέες διαδικασίες στη διαχείριση του ανθρώπινου δυναμικού.
• Βελτιώθηκαν σε επίπεδο ασφάλειας διαδικασίες backup, τόσο για την διατήρηση, όσο και την επαναφορά τους.

Και φυσικά δε σταματάμε εδώ. Οι διαδικασίες βελτίωσης στο πλαίσιο του GDPR συνεχίζονται! Συντονίσου για το part 3 και γράψε μας στα σχόλια τις ενέργειες που έχεις κάνει για την δική σου επιχείρηση.