SYSTÉM ŘÍZENÍ BEZPEČNOSTNÍCH A PROVOZNÍCH RIZIK
přijatý v souladu s ustanovením § 100 odst. 1 písm. d) zák. č. 370/2017 Sb., o platebním styku
1. ÚVODNÍ USTANOVENÍ 2
1.1. Definice 2
1.2. Působnost 2
1.3. Předmět 2
1.4. Informační systém 2
2. ŘÍZENÍ BEZPEČNOSTNÍCH A PROVOZNÍCH RIZIK 3
2.1. Podmínky přístupu k Informačnímu systému a rozsah přístupových práv 3
2.2. Zálohování dat 3
2.3. Bezpečností incidenty 3
3. ŘÍZENÍ VZTAHŮ S KLIENTY 7
4. ZÁVĚREČNÁ USTANOVENÍ 7
1. ÚVODNÍ USTANOVENÍ
1.1. Definice
Pro účely tohoto předpisu se rozumí:
1.1.1. „Poskytovatelem“ společnost PAA CAPITAL SE jako vydavatel elektronických peněz malého rozsahu;
1.1.2. „Klientem“ zákazník Poskytovatele, se kterým Poskytovatel uzavřel smlouvu o koupi Privée Card, popř. se kterým uzavření takové smlouvy zvažuje;
1.1.3. „Předpisem“ tento vnitřní předpis Systém řízení bezpečnostních a provozních rizik;
1.1.4. „Spolupracující společností“ společnost, s níž bude v případě, že dojde k outsourcování činností IT servisu Poskytovatel spolupracovat;
1.1.5. „Pracovníkem“ každý pracovník anebo zaměstnanec Spolupracující společnosti;
1.1.6. „Odpovědným pracovníkem“ statutární ředitel Poskytovatele; v případě, že dojde k outsourcování činností IT servisu, je statutární ředitel Poskytovatele povinen zajistit, aby byl tento Předpis závazný také pro Spolupracující společnost, a aby Spolupracující společnost určila svého Pracovníka jako Odpovědného pracovníka dle tohoto Předpisu;
1.1.7. „Informačním systémem“ informační systém a další informační technologie používané při zpracování a evidenci informací shromažďovaných v rámci poskytování služeb vydavatele elektronických peněz malého rozsahu;
1.1.8. „Zákonem“ zákon č. 370/2017 Sb., o platebním styku, v účinném znění.
1.2. Působnost
1.2.1. Tento Předpis upravuje řízení bezpečnostních a provozních rizik Poskytovatele s cílem zajistit zavedení a udržování účinného systému kontrolních a bezpečnostních opatření zabezpečujících řádný, efektivní a bezpečný provoz a fungování Informačního systému používaného při zpracování a evidenci informací shromažďovaných v rámci činností Poskytovatele tak, aby nemohlo dojít k jeho zneužití nebo k jinému ohrožení či poškození Informačního systému včetně informací uchovávaných v Informačním systému.
1.2.2. Tento Předpis je vytvořen v souladu s právními předpisy Evropské unie a České republiky a navazuje na předpisy České národní banky.
1.3. Předmět
1.3.1. Předmětem tohoto Předpisu je popis kontrolních a bezpečnostních opatření specifikovaných v čl. 1.2.1. tohoto Předpisu a souvisejících zásad a postupů, a to tak, aby všechny dané zásady a postupy byly v souladu s právními předpisy a respektovaly též požadavky relevantních pokynů České národní banky.
1.4. Informační systém
1.4.1. Za Informační systém je pro účely tohoto Předpisu považován zejména operační systém Poskytovatele a software, ve kterém Poskytovatel realizuje prakticky veškerou svou činnost. Jedná se o software, ve kterém je zaznamenávána veškerá aktivita ve společnosti Poskytovatele týkající se činnosti Poskytovatele. V případě, že jsou IT služby outsourcovány, je za Informační systém považován také operační systém a software Spolupracující společnosti, ve kterém se realizuje jakákoliv činnost Poskytovatele anebo pro Poskytovatele.
2. ŘÍZENÍ BEZPEČNOSTNÍCH A PROVOZNÍCH RIZIK
2.1. Podmínky přístupu k Informačnímu systému a rozsah přístupových práv
2.1.1. K Informačnímu systému má přístup pouze Odpovědný pracovník. V případě, že jsou IT služby outsourcovány, má každý Pracovník k Informačnímu systému přístup pouze v rozsahu, který odpovídá jeho pracovnímu zařazení.
O podmínkách přístupu každého Pracovníka k Informačnímu systému a o rozsahu jeho přístupových práv, jakož i o změnách podmínek přístupu pracovníka k Informačnímu systému a rozsahu jeho přístupových práv, rozhoduje po pečlivém uvážení a posouzení všech relevantních skutečností Odpovědný pracovník.
2.1.2. Všechny servery jsou chráněny uživatelským jménem a heslem.
2.1.3. Hesla jsou měněna v pravidelném intervalu 6 měsíců.
2.2. Zálohování dat
2.2.1. Zálohování celého Informačního systému s veškerými daty, které obsahuje, je prováděno automaticky a pravidelně. Za provedení zálohy zodpovídá Odpovědný pracovník, který kontroluje, zda se záloha vytvořila. Vytvořené soubory se zálohami Informačního systému jsou ukládány na speciální server, který je oddělený od serveru, ze kterého se Informační systém provozován. Server se zálohami je zabezpečený šifrováním a je přístupný pouze pro Odpovědného pracovníka.
2.2.2. Jakákoliv data uložená v zálohovém souboru je možné zpětně obnovit, rekonstruovat do původní podoby, tak aby se zobrazovaly v uživatelském náhledu Informačního systému. V případě potřeby je též možné ze zálohových souborů extrahovat jednotlivé informace.
2.2.3. V případě jakékoliv poruchy, která je hlášena Odpovědnému pracovníkovi, je Odpovědný pracovník schopen z příslušné zálohy obnovit systém do plně funkčního použití během limitu 24 hodin v pracovnímu dnu, 48 hodin v nepracovním dnu.
2.2.4. Veškeré vytvořené zálohy jsou uchovávány na speciálním serveru vždy jeden měsíc od jejích vytvoření, poté jsou kompletně vymazány.
2.3. Bezpečností incidenty
2.3.1. Poskytovatel v rámci své činnosti identifikoval následující rizika, která jsou spojená s technickým zajištěním vydávání elektronických peněz malého rozsahu, a to jak na straně Informačního systému, tak v případě hardwaru, a nakonec na základě jiných nepředvídaných okolností:
Výpadek proudu
2.3.2. V případě krátkodobého výpadku Poskytovatel vyhodnotil riziko jako malé, kdy pravděpodobně nedojde ke ztrátě dat ani k poklesu vydávání elektronických peněz malého rozsahu. I v případě dlouhodobého výpadku hrozí riziko větší ztráty dat, riziko poklesu vydávání elektronických peněz malého rozsahu vyhodnotil Poskytovatel jako malé.
2.3.3. Jakmile Odpovědný pracovník zjistí, že došlo k výpadku proudu, je povinen v co nejkratším čase uložit rozpracované aktivity. V případě, že jsou IT služby outsourcovány informuje Odpovědný pracovník všechny Pracovníky a statutárního ředitele Poskytovatele. Všichni jsou povinni v co nejkratším čase uložit rozpracované aktivity.
2.3.4. Odpovědný pracovník zajistí, aby po obnovení dodávky proudu byl celý Informační systém funkční v co nejkratším čase. Funkčnost systému vždy zkontroluje.
2.3.5. V případě, že jsou IT služby outsourcovány a že se jedná o plánovaný výpadek proudu, Odpovědný pracovník udělí Pracovníkům a statutárnímu řediteli Poskytovatele předem pokyny, jak se v takové konkrétní situaci chovat.
Přerušení telekomunikačních služeb
2.3.6. Přerušení telekomunikačních služeb, zejména internetového připojení, s sebou nese riziko, že Klienti se nebudou moci jednoduše a okamžitě spojit se zákaznickou podporou Poskytovatele.
2.3.7. Pro zajištění telefonických hovorů a internetového připojení disponuje Odpovědný pracovník mobilním telefonem, který dokáže vytvořit hotspot pro pevné počítače tak, aby bylo možné kontinuálně pokračovat v práci. Vzhledem k možnosti plně pokrýt, a to i po delší dobu, telekomunikační služby pomocí mobilního internetu, vyhodnocuje Poskytovatel riziko spojené s přerušení telekomunikačních služeb jako malé.
2.3.8. Odpovědný pracovník vede evidencí případů, kdy bylo nutné využití mobilního internetu při výpadku telekomunikačních služeb. Vždy jednou za 12 měsíců zhodnotí, zda využití mobilního internetu postačovalo pro pokrytí výpadku, případně zda je nutné zvolit jinou více vyhovující službu. Z počtu výpadků telekomunikačních služeb během 12 měsíců též Odpovědný pracovník vyhodnotí, zda na trhu není jiný dodavatel telekomunikačních služeb, který by byl schopen zajistit plynulejší provoz telekomunikačních služeb.
Porucha hardwaru
2.3.9. Poucha hardwaru může narušit plynulý provoz při výkonu činnosti Poskytovatele, riziko ztráty dat však Poskytovatel vyhodnotil vzhledem k pravidelné tvorbě záloh, které jsou skladovány mimo servery, ze kterých je provozován Informační systém, jako malé.
2.3.10. Poskytovatel se snaží rizika spojená s poruchou hardwaru snížit přijetím preventivních opatření:
• Vytváření záloh celého Informačního systému i zálohování disků;
• Náročné požadavky na kvalitní hardwarové vybavení.
2.3.11. Odpovědný pracovník je povinen prověřit závadu a určit, zda je možné hardware opravit či ne. V případě krátkodobé opravy zajistí Odpovědný pracovník zprovoznění pevného počítače nejpozději do 48 hodin v pracovním dni a do 72 hodin v nepracovním dni.
2.3.12. Kontrolu hardwaru vykonává Odpovědný pracovník, který vždy nejméně jednou za 12 měsíců provede inspekci veškerého hardwaru na pracovišti a zhodnotí, za je vše funkční a nevyskytuje se zvýšeno riziko selhání hardwaru.
Porucha Informačního systému
2.3.13. Porucha Informačního systému s sebou nese vyšší riziko ztráty dat nebo jejich špatného zápisu v rámci Informačního systému. Dlouhodobější porucha Informačního systému vede k vyššímu riziku nemožnosti vydávání elektronických peněz malého rozsahu.
2.3.14. K prevenci poruch Informačního systému Poskytovatel pravidelně instaluje aktualizace Informačního systému.
2.3.15. Za stav Informačního systému odpovídá Odpovědný pracovník.
2.3.16. V případě zjištění jakékoliv poruchy Informačního systému Odpovědný pracovník zajistí jeho opravu, a to nejpozději ve lhůtě 48 hodin, pokud je závada objevena v pracovní den a ve lhůtě 72 hodin v případě nepracovního dnu. V případě, že jsou IT služby outsourcovány ohlásí Odpovědný pracovník předpokládanou dobu opravy bez zbytečného odkladu statutárnímu řediteli Poskytovatele.
2.3.17. Kontrolu stavu Informačního systému provádí Odpovědný pracovník, a to:
• Průběžnou kontrolu stavu, kdy se zaměřuje zejména na to, zda jsou všechny programy, včetně operačního systému aktualizované, všechny licence zaplacené, kdy toto je možné sledovat v živém čase;
• Jednou za 12 měsíců nechá provést celkovou analýzu stavu Informačního systému a všech funkcionalit, které Poskytovatel využívá a zhodnotí, zda je nutné připojit nějakou funkcionalitu, případě zrušit nějakou a pokud je to třeba, navrhne změny, které povedou ke zlepšení funkcí Informačního systému.
Neoprávněný přístup k informacím, útok počítačovým virem
2.3.18. Neoprávněný přístup může vést ke ztrátě nebo změně dat, případně ke ztrátě funkčnosti Informačního systému, riziko takového stavu však Poskytovatel vyhodnotil jako malé. Útok počítačovým virem může vést k narušení celého systému Poskytovatele, riziko úroku vyhodnotil Poskytovatel jako malé, ale v případě, že by taková situace nastala, mohlo by to mít pro Poskytovatele dalekosáhlé následky. Největší riziko v průniku k datům vidí Poskytovatel v případě, že jsou IT služby outsourcovány, a to na pracovních stanicích jednotlivých Pracovníků, a proto v takovém případě vyžaduje některá preventivní opatření, která by měla zabránit jakémukoliv neoprávněnému přístupu a snížila riziko důsledků útoku počítačovým virem:
• Všechny dokumenty týkající se činnosti Poskytovatele musí být ukládány přímo na příslušný server Poskytovatele, nikoliv na pevné disky počítačů jednotlivých Pracovníků;
• V síti musí být instalovány firewally a organizační a procedurální pojistky;
• Musí být využíván rozsáhlý antivirový program, který je pravidelně aktualizován;
• Musí využíván systém sběru, monitoringu a zpětné vazby v případě jakýchkoliv incidentů týkající se Informačního systému;
• Uživatelská práva musí být udělována pouze v souladu s tímto Předpisem;
• V případě, že jakýkoliv Pracovník má byť pouze podezření, že došlo k neoprávněnému přístupu k datům nebo útoku počítačovým virem, je povinen bez zbytečného odkladu nahlásit tuto skutečnost Odpovědnému pracovníkovi;
• Pracovníci musejí být minimálně jednou za 12 měsíců ze strany Odpovědného pracovníka proškoleni ohledně bezpečnostních a provozních rizik v rámci pracovní činnosti.
2.3.19. Odpovědnou osobou za zabezpečení proti neoprávněnému přístupu k internetu je Odpovědný pracovník.
2.3.20. Každý nahlášený incident musí být ze strany Odpovědného pracovníka prošetřen. Řešení, případně přijetí bezpečnostních opatření se pak budou lišit v závislosti na konkrétním typu narušení. Nápravu by měl Odpovědný pracovník zjednat nejpozději do 48 hodin v pracovním dnu, do 72 hodin pak nepracovním dnu.
2.3.21. V případě ztráty dat bude nutné zajistit náhradu dat ze zálohovaných kopií. Odpovědný pracovník zajistí obnovení plného fungování nejpozději do 48 hodin v pracovním dnu, do 72 hodin pak nepracovním dnu. V případě, že by se jednalo o velice závažný zásah do Informačního systému a bylo by nutné celý systém znovu vytvořit ze záloh, Odpovědný pracovník toto zajistí nejpozději do 72 hodin v pracovním dnu, do 96 hodin v nepracovních dnech.
Zásahy Pracovníků v případě outsourcingu IT služeb
2.3.22. Riziko, že by Pracovníci způsobili závažný zásah do fungování Poskytovatele z hlediska IT systémů, je nízké, i přesto Poskytovatel přijímá řadu preventivních opatření k zabránění vzniku škod:
• Striktně omezený přístup do Informačního systému na základě přihlašovacích údajů a pouze z místa pracoviště;
• Omezená oprávnění jednotlivých Pracovníků v dispozici s Informačním systémem i v rámci operačního systému;
• Proškolení ze strany Odpovědného pracovníka;
• Zálohování veškerých dat na zvláštní server.
2.3.23. V případě, že jakýkoliv Pracovník zjistí, že je prováděna jakákoliv nepatřičná aktivita, je povinen bez zbytečného odkladu nahlásit situaci Odpovědnému pracovníkovi. V případě, že by šlo o aktivitu Odpovědného pracovníka, bude aktivita hlášena statutárnímu řediteli Poskytovatele.
2.3.24. Odpovědný pracovník vždy situaci řádně prošetří. Pokud vznikne nutnost opravy v Informačním systému, Odpovědný pracovník zajistí její provedení nejpozději do 48 hodin v pracovním dnu, do 72 hodin v nepracovním dnu.
2.3.25. O veškerých nahlášených aktivitách se vedou záznamy. Záznamy jsou průběžně revidovány Odpovědným pracovníkem, který pravidelně vyhodnocuje rizika, kterým byl Poskytovatel vystaven a může navrhnout opatření, která by měla zabránit opakování jednou nastalých situací.
Přírodní katastrofy a jiné obdobné speciální situace
2.3.26. Riziko vlivu přírodních katastrof na provoz Poskytovatele Poskytovatel vyhodnotil jako malé, v tomto ohledu jsou nejvíce ohrožena data Poskytovatele, proto Poskytovatel přijal následující preventivní opatření:
• Tvorba digitálních kopií všech dokumentů, které Poskytovatel obdrží v písemné podobě;
• Zabezpečení pracoviště do takové míry, aby bylo uchráněno přírodních vlivů.
3. ŘÍZENÍ VZTAHŮ S KLIENTY
3.1. Poskytovatel za účelem zvýšení povědomí Klientů o bezpečnostních rizicích spojených s platebními službami pravidelně zasílá na emailové adresy Klientů registrované v evidenci Poskytovatele informační emaily s ohledem na nové bezpečnostní hrozby.
3.2. Klient je oprávněn v případě zájmu o poradenství ohledně řízení bezpečnostních a provozních rizik vznést na Poskytovatele dotaz prostřednictvím interaktivního formuláře na webu: https://priveecard.com/contact/.
4. ZÁVĚREČNÁ USTANOVENÍ
4.1. Tento Předpis nabývá platnosti a účinnosti dne 1.9.2018.
4.2. Poskytovatel si vyhrazuje právo změnit tento Předpis v návaznosti na změnu příslušných právních norem a na změnu své obchodní politiky.