FERRERON TEKNISET JA ORGANISATORISET TURVATOIMENPITEET

1. YLEISET TURVATOIMENPITEET
1.1 Ferrero on ottanut käyttöön asianmukaisesti dokumentoidut ja säännöllisesti päivitettävät henkilötietojen käsittelyä koskevat periaatteet.
1.2 Ferreron henkilötietojen käsittelyä koskevat menettelyt ovat muodollisesti dokumentoituja ja niiden päivitystarve arvioidaan tarvittaessa säännöllisesti ja dokumentoidaan asianmukaisilla asiakirjoilla (esim. kokouspöytäkirjat, luettelot, IT-lokit), joista ilmenevät käytettävät henkilötietojen käsittelyn turvatoimenpiteet.
1.3 Ferrero on nimittänyt sekä turvallisuusvastaavan että tietosuojavastaavan (DPO) koordinoimaan tietosuojaa koskevia ohjeita ja menettelyitä ja valvomaan niiden noudattamista.

2. REKISTERÖIDYN OIKEUDET (ART. 15 ja myöhemmät artiklat, GDPR)
2.1 Ferreron työntekijät ovat tietoisia menettelyistä, joilla rekisteröidyt voivat käyttää oikeuttaan saada pääsy tietoihin ja rekisteröityjen oikeuksia koskevien pyyntöjen viestimisestä rekisterinpitäjälle.
2.2 Ferrero ylläpitää yleistä rekisteriä, johon nämä rekisteröityjen oikeuksien käyttämistä koskevat pyynnöt kirjataan.
2.3 Ferrero on nimittänyt henkilön/vastaavan (DPO), jonka tehtävänä on toimittaa rekisterinpitäjälle kirjalliset selostukset rekisteröityjen pyynnöistä.
2.4 Ferrero on asettanut aikarajan pyyntöjen viestimiseksi rekisterinpitäjälle.
2.5 Ferrerolla on käytössä menettely, jonka avulla dokumentoidaan kirjallisesti kaikki kielteiset vastaukset pyyntöihin, jotka koskevat rekisteröidyn oikeutta saada pääsy tietoihin, tietojen käsittelyn rajoittamista tai tietojen siirtoa. Nämä dokumentoidut tiedot jaetaan rekisterinpitäjän kanssa.

3. TIETOSUOJAPERIAATTEET (ART. 13 GDPR) (kun tämä soveltuu)
3.1 Ferreron työntekijät ja muut henkilöt, joiden vastuulla on tietosuojaperiaatteiden/henkilötietojen suojaa koskevien ilmoitusten tarjoaminen rekisteröidyille ja/tai rekisteröityjen suostumuksen hankkiminen (myös rekisterinpitäjän lukuun) ovat saaneet erityisen henkilötietojen suojaa koskevia sääntöjä käsittelevän koulutuksen.
3.2 Ferrero tarkistaa säännöllisesti näiden työntekijöiden tai muiden henkilöiden toiminnan käsiteltäessä rekisteröityjä koskevia asioita.
3.3 Tarjotessaan rekisteröidyille tietosuojaperiaatteita/henkilötietojen suojaa koskevia ilmoituksia Ferreron työntekijät ja muut vastaavat henkilöt osaavat kertoa rekisteröidyille selkeästi heidän oikeutensa, joko suullisesti tai kirjallisesti.
3.4 Ferrero säilyttää arkistot kaikista lähteistä, joista henkilötietoja kerätään.

4. VALTUUTETUT HENKILÖT (ART. 29 GDPR)
4.1 Ferrero on tehnyt muodollisen nimityksen kaikkien valtuutettujen henkilöiden kohdalla, joko yksittäin tai osana yhtenäisiä kategorioita.
4.2 Kaikki nimitetyt valtuutetut henkilöt ovat saaneet erityiset henkilötietojen käsittelyä ja suojausta koskevat kirjalliset ohjeet.
4.3 Ferrero ylläpitää luetteloa valtuutetuista henkilöistä, ja kaikki valtuutetut henkilöt saavat asianmukaisen koulutuksen henkilötietojen suojausta varten. Nämä koulutukset dokumentoidaan asianmukaisesti.
4.4 Valtuutetuille henkilöille myönnetyt pääsyoikeudet ovat riittävät ja ajan tasalla. Valtuutettujen henkilöiden ohjeistus päivitetään. Tämä vahvistetaan säännöllisesti.

5. KOULUTUS
5.1 Uusille työntekijöille annetaan asianmukainen koulutus, ennen kuin he aloittavat henkilötietojen käsittelyn.
5.2 Työntekijöiden integriteetti ja luotettavuus arvioidaan, ennen kuin heille annetaan tehtäviä, joihin kuuluu pääsy henkilötietoihin.
5.3 Kaikki valtuutetut henkilöt saavat säännöllisesti turvallisuuspäivitykset.
5.4 Ferrero toimittaa tietoturvaohjeet kaikille valtuutetuille henkilöille.
5.5 Ferrero säilyttää asiakirjat, joista ilmenevät suoritetut koulutukset.

6. TIETOSUOJAPERIAATTEET
6.1 Tietosuojan varmistamiseksi Ferrero on laatinut tietosuojaperiaatteet ja mobiililaitteita ja etätyötä (mm. etäkäyttö, virtuaalityö) koskevat turvajärjestelyt.
6.2 Ferrero on määrittänyt erilliset tietoturvaa koskevat roolit ja vastuut ja kohdistanut ne asianmukaisille henkilöille intressikonfliktien välttämiseksi ja asiattomien toimintojen estämiseksi.
6.3 Ferrero on tehnyt alikäsittelijöiden kanssa asianmukaiset sopimukset, joissa edellytetään soveltuvien henkilötietojen suojaa koskevien teknisten ja organisatoristen turvatoimenpiteiden käyttöönottoa.

7. HENKILÖSTÖRESURSSIT JA TIETOTURVA
7.1 Tietoturvallisuusvastuut otetaan huomioon ennen palkkaamista rekrytoitaessa tai valittaessa työntekijöitä, urakoitsijoita ja tilapäistyöntekijöitä (esim. asianmukaisten tehtäväkuvausten tai palkkausta edeltävien tarkistusten avulla) ja ne sisällytetään työsopimuksiin tai muihin palvelusopimuksiin (esim. työehtoihin ja muihin allekirjoitettaviin sopimuksiin, joissa määritetään tietoturvaan liittyvät roolit ja vastuut noudattamisvelvollisuuksilla jne.).
7.2 Ferreron johtajat voivat varmistaa, että työntekijät, urakoitsijat ja tilapäistyöntekijät ovat tietoisia tietoturvavastuistaan ja että heitä ohjeistetaan siitä, että heihin voidaan soveltaa muodollisia kurinpidollisia toimenpiteitä, jos he aiheuttavat tietoturvaloukkauksia.
7.3 Ferrerolla on käytössä muodollinen kurinpitomenettely, joka voidaan aloittaa, jos työntekijä, urakoitsija tai tilapäistyöntekijä aiheuttaa tietoturvaloukkauksen.
7.4 Kun henkilö lähtee Ferrerolta tai rooleissa ja vastuissa tapahtuu olennaisia muutoksia, kaikki tietoturvaan liittyvät asiat käsitellään esim. velvoitteella palauttaa kaikki yhtiön tiedot ja laitteet, päivittämällä oikeudet/valtuudet ja muistuttamalla kyseessä olevia henkilöitä heidän yhä jatkuvista yksityisyyttä, immateriaalioikeuksia ja voimaan jääviä sopimusehtoja koskevista velvoitteistaan ja mm. heihin kohdistuvista eettisistä odotuksista.
7.5 Valtuutetut henkilöt saavat täsmällisen ohjeistuksen siihen, miten tallennusmedioilla olevat tiedot poistetaan tai tuhotaan ennen tallennusmedioiden uudelleenkäyttöä.

8. TIETOVARANTOJEN HALLINTA
8.1 Ferrerolla on täydellinen luettelo kaikista sen tietovarannoista ja tietoja hallinnoivat henkilöt on määritetty näiden tietojen turvallisuutta koskevan vastuun varmistamiseksi. Ferrero on määrittänyt “hyväksyttävän käytön” periaatteet näille tietovarannoille.
8.2 Tietojen tallennusmedioita hallitaan, käsitellään ja siirretään ja ne hävitetään siten, että tallennettujen tietosisältöjen turvallisuus ei vaarannu.
8.3 Ferrerolla on asianmukainen ja oikealla tavalla sijoitettu määrä turvallisia säilytyspaikkoja, jotka ovat henkilötiedoista vastaavien henkilöiden (myös tilapäistyöntekijät) käytettävissä kaikkia säilytystapoja varten (paperi, sähköinen tai muu).
8.4 Ferrero on ottanut käyttöön menettelyitä sen varmistamiseksi, että erityisiin henkilötietokategorioihin lukeutuvia henkilötietoja sisältäviä asiakirjoja ei jätetä ilman valvontaa silloin, kun ne otetaan pois suojatuista arkistoista ja annetaan valtuutettujen henkilöiden haltuun.
8.5 Valtuutetuilla henkilöillä on helposti käytettävissään asiakirjantuhoojia.
8.6 Ferrero on ottanut käyttöön soveltuvat periaatteet paperiasiakirjojen käyttöä, säilytystä ja tuhoamista varten.
8.7 Erityisiin henkilötietokategorioihin lukeutuvia henkilötietoja sisältävien paperiasiakirjojen tiedot poistetaan tai – mieluiten – asiakirjat tuhotaan ennen uudelleenkäyttöä.

9. PÄÄSYN HALLINTA
9.1 Ferreron organisatoriset tietoihin pääsyä koskevat vaatimukset on dokumentoitu selkeästi tietoihin pääsyä koskevissa periaatteissa/menettelyissä ja pääsy Ferreron verkkoon ja viestintäyhteyksiin on rajoitettu.
9.2 Käyttäjät ovat tietoisia velvoitteistaan tehokkaan pääsynhallinnan ylläpitämisessä, esim. vahvojen salasanojen valinnassa ja niiden pitämisessä salaisina.
9.3 Pääsyä tietoihin on rajoitettu Ferreron tietoihin pääsyä koskevien periaatteiden/menettelyiden mukaisesti, esim. turvallisilla kirjautumisjärjestelmillä, salasanojen hallinnalla, pääsyoikeuksien hallinnalla ja pääsyn rajoittamisella lähdekoodeihin.
9.4 Ferrero valvoo pääsyä arkaluonteisiin tietoihin. Arkaluontoisia tietoja käsittelevien henkilöiden tulee hankkia etukäteinen valtuutus.
9.5 Arkaluontoisia tietoja sisältävät alueet on varustettu elektronisilla pääsynhallintatyökaluilla tai niitä valvotaan muuten asianmukaisesti.
9.6 Ferrero arvioi säännöllisesti pääsylokit arkaluontoisia tietoja sisältäville alueille kuten palvelinhuoneisiin luvattomien pääsyjen havaitsemiseksi.

10. FYYSINEN JA YMPÄRISTÖN TURVALLISUUS

10.1 Ferrerolla on selkeästi määritetyt fyysiset rajat ja fyysinen pääsynhallinta ja sisäiset menettelyt sen tilojen, työhuoneiden, huoneiden, lastaus/purkualueiden jne. suojaamiseksi luvattomalta pääsyltä (suoja tulipaloja, tulvia, maanjäristyksiä, pommeja jne. vastaan).
10.2 Ferrero voi vahvistaa, että laitteita ja/tai tietoja ei viedä pois toimitiloista ilman etukäteistä valtuutusta ja että ne suojataan toimitilojen ulkopuolella asianmukaisesti.
10.3 Tallennusmedioiden sisältämät tiedot tuhotaan ennen näiden tallennusmedioiden hävittämistä tai uudelleenkäyttöä.
10.4 Ilman valvontaa olevat laitteet ovat suojattuja ja näitä laitteita varten on olemassa määritetyt tilat ja niiden hallintaa varten on määritetty selkeät periaatteet.

11. TOIMINNALLINEN TURVALLISUUS
11.1 Haittaohjelmien hallintamenetelmät on otettu käyttöön ja niitä ylläpidetään.
11.2 Tiedot varmuuskopioidaan asianmukaisesti ja varmuuskopiot säilytetään Ferreron varmuuskopiointia koskevien periaatteiden mukaisesti.
11.3 Varmuuskopiot testataan. Tulokset dokumentoidaan ja arkistoidaan.

12. AUTENTIKOINTI JA VALVONTA
12.1 Ajanottojärjestelmät on synkronoitu seurantatietojen ajallisen yhdenmukaisuuden varmistamiseksi.
12.2 Ferrero noudattaa matalimman tarvittavan valtuustason periaatetta ja sallii käyttäjille pääsyn tietoihin heidän työtehtäviensä perusteella.

13. TEKNISTEN HAAVOITTUVUUKSIEN HALLINTA
13.1 Ferrero voi vahvistaa, että turvallisuuspuutteiden tunnistamiseksi on kehitetty haavoittuvuuksien hallintamenettely, jossa hyödynnetään luotettavia ulkoisia lähteitä haavoittuvuustietoja varten ja annetaan haavoittuvuuksille riskiluokitus.
13.2 Tunnettujen haavoittuvuuksien korjaamista varten tarkoitetut järjestelmäkomponentit ja ohjelmistopäivitykset arvioidaan niiden soveltuvuuden määrittämiseksi, testataan ennen asennusta ja toteutetaan oikea-aikaisesti.
13.3 Käyttäjien asentamia ohjelmia koskevat säännöt on otettu käyttöön uusien haavoittuvuuksien estämiseksi.
13.4 Ferrero on määrittänyt ja ottanut käyttöön tietomurtojen testausmenettelyn sovellustasolla ja infrastruktuuritasolla.

14. VIESTINNÄN TURVALLISUUS
14.1 Ferreron verkko ja verkkopalvelut on suojattu esim. verkon segmentoinnin avulla.
14.2 Ferrero on ottanut käyttöön suojatoimenpiteet viestinnän hallitsemiseksi infrastruktuurin sisäisillä ja ulkoisilla rajoilla.
14.3 Ferrero on ottanut käyttöön periaatteet, menettelyt ja sopimukset (esim. salassapitosopimukset, henkilötietojen käsittelyä koskevat sopimukset) koskien henkilötietojen jakamista kolmansien osapuolien kanssa, myös sähköisen viestinnän kautta.
14.4 Ferrero on ottanut käyttöön suojatut kanavat (esim. salatut protokollat yhtiön verkossa ja/tai VPN etäyhteyksien kohdalla) tietojärjestelmien ja yhtiön verkon välistä viestintää varten.

15. JÄRJESTELMIEN HANKINTA, KEHITTÄMINEN JA YLLÄPITO
15.1 Ferrero analysoi ja määrittää turvallisuutta koskevat vaatimukset, myös verkkosovelluksia ja transaktioita varten.
15.2 Ohjelmistojen turvallisuutta ja järjestelmien kehittämistä koskevat säännöt on määritetty Ferreron sisäisten periaatteiden mukaisesti.
15.3 Muutokset hallitaan, tehdään, arvioidaan ja hyväksytään (mieluiten työkalun avulla) tätä varten tarkoitetussa ympäristössä ennen niiden siirtämistä tuotantoon.
15.4 Sovellusten parametrien konfiguraation muutokset hyväksytään ennen niiden toteutusta ja ne vahvistetaan toteutuksen jälkeen.
15.5 Ohjelmistopaketteihin ei tehdä muutoksia, ja järjestelmien turvallisuutta koskevia teknisiä periaatteita noudatetaan.
15.6 Kehitys-, testaus- ja tuotantoympäristöt erotetaan toisistaan luvattoman pääsyn ja tuotantojärjestelmiin ja koodivarastoihin tehtävien muutosten estämiseksi.
15.7 Kaikki testidata valikoidaan ja luodaan ja sitä hallitaan huolellisesti.

16. SUHTEET TOIMITTAJIIN
16.1 Ferrero on ottanut käyttöön periaatteet, menettelyt, tietoisuutta lisäävät toimenpiteet jne. suojatakseen sellaisia organisaation tietoja, joihin ulkoisilla IT-palveluiden ja muiden palveluiden toimittajilla on pääsy (riippumatta siitä, ovatko nämä alikäsittelijöitä) koko toimitusketjussa. Nämä sisältyvät näiden yksiköiden kanssa tehtäviin kirjallisiin sopimuksiin.

17. TIETOTURVALOUKKAUSTEN HALLINTA
17.1 Ferrero on määrittänyt vastuut ja menettelyt tietoturvaloukkausten ja haavoittuvuuksien yhdenmukaista ja tehokasta hallintaa (raportointi, arviointi, reagointi ja oppiminen) varten, mukaan lukien henkilötietojen tietoturvaloukkaukset. Tämä mahdollistaa oikea-aikaisen raportoinnin rekisterinpitäjälle ja soveltuvien todisteiden keräämisen tarvittaessa.

18. JATKUVUUDENHALLINTAAN LIITTYVÄT TIETOTURVANÄKÖKOHDAT
18.1 Ferrero on ottanut käyttöön tietoturvan jatkuvuutta koskevan suunnitelman, jota testataan ja arvioidaan ja joka muodostaa jatkuvuudenhallintajärjestelmien keskeisen osan.
18.2 Ferrerolla on riittävä redundanssi käytettävyyttä koskevien vaatimusten täyttämiseksi.

19. NOUDATTAMINEN
19.1 Ferrero on määrittänyt ja dokumentoinut tietoturvavelvoitteensa viranomaisia (mukaan lukien valvontaviranomaisia) ja muita kolmansia osapuolia kohtaan, mukaan lukien immateriaalioikeuksia, yhtiön arkistoja tai muita arkistoja sekä yksityisyyden suojaa ja salausta koskevat velvoitteet.

Viimeksi päivitetty: Kesäkuu 2018