Otázky a odpovede

Odpovede na často kladené otázky a ďalšie užitočné informácie

Pokračujte nižšie
SOC DanubePay - otázky a odpovedeSOC DanubePay - otázky a odpovedeSOC DanubePay - otázky a odpovede

12 krokov k dosiahnutiu súladu s GDPR

1. Awareness

You should make sure that decision makers and key people in your organisation are aware that the law is changing to the GDPR. They need to appreciate the impact this is likely to have.

2. Information you hold

You should document what personal data you hold, where it came from and who you share it with. You may need to organise an information audit.

3. Communicating privacy information

You should review your current privacy notices and put a plan in place for making any necessary changes in time for GDPR implementation.

4. Individuals’ rights

You should check your procedures to ensure they cover all the rights individuals have, including how you would delete personal data or provide data electronically and in a commonly used format.

5. Subject access requests

You should update your procedures and plan how you will handle requests within the new timescales and provide any additional information.

6. Lawful basis for processing personal data

You should identify the lawful basis for your processing activity in the GDPR, document it and update your privacy notice to explain it.

7. Consent

You should review how you seek, record and manage consent and whether you need to make any changes. Refresh existing consents now if they don’t meet the GDPR standard.

8. Data breaches

You should make sure you have the right procedures in place to detect, report and investigate a personal data breach.

9. Children

You should start thinking now about whether you need to put systems in place to verify individuals’ ages and to obtain parental or guardian consent for any data processing activity.

10. Data Protection by Design and Data Protection Impact Assessments

You should familiarise yourself now with the ICO’s code of practice on Privacy Impact Assessments as well as the latest guidance from the Article 29 Working Party, and work out how and when to implement them in your organisation.

11. Data Protection Officers

You should designate someone to take responsibility for data protection compliance and assess where this role will sit within your organisation’s structure and governance arrangements. You should consider whether you are required to formally designate a Data Protection Officer.

12. International

If your organisation operates in more than one EU member state (ie you carry out cross-border processing), you should determine your lead data protection supervisory authority. Article 29 Working Party guidelines will help you do this.

Čo znamená skratka SOC

Pojem SOC (Security Operations Centre) sa používa pre „centrum prevádzkovej bezpečnosti“, v ktorom sa monitorujú, vyhodnocujú a chránia informačné systémy organizácie (servery, databázy, aplikácie, webstránky, siete, koncové zariadenia..).

Používajú sa aj názvy ako Managed Security Service Provider (MSSP), Security Defense Center (SDC), Network Security Operations Center (NSOC), Cyber Security Center (CSC), Threat Defense Center (TDC) alebo Security Intelligence and Operations Center (SIOC).

Prečo uprednostniť SOC ako službu

Nakúpiť, implementovať a dlhodobo prevádzkovať vlastné technológie na správu logov a na bezpečnostný monitoring IT prostredia, navyše v režime 24/7 a s kvalifikovaným personálom je veľmi nákladné. Preto začal vo svete významne posilňovať trend outsourcingu security služieb označovaný aj ako MSS (Managed Security Services) alebo MSSP (Managed Security Service Provider).

Základnou myšlienkou je vybudovať jedno kompetenčné centrum na vysokej úrovni, ktoré bude poskytovať služby, zdieľať know-how, ale aj náklady medzi väčší počet organizácií. Počet útokov na komerčné spoločnosti, ale aj verejné organizácie rastie a tie na to musia reagovať. Koncept SOC ako služba je pre mnohé z nich najlepším a často aj jediným riešením.

Pre koho je určená služba DanubePay SOC

Služba DanubePay SOC je určená pre firmy a organizácie, ktoré pracujú s citlivými informáciami (osobné údaje, zdravotné, bankové dáta, platobné karty, výrobné tajomstvo, citlivé zmluvné dokumenty..) alebo spravujú kritickú infraštruktúru (voda, energetika, doprava..) a ich ohrozenie alebo únik údajov by mohol spôsobiť vysoké škody. Okrem poškodenia reputácie a priamych škôd sú to aj pokuty vyplývajúce z nedodržania GDPR a iných zákonov.

Naša služba vám poskytne permanentný dohľad nad vašou IT infraštruktúrou a v prípade podozrenia na incident na to budete môcť efektívne reagovať. Jedná sa o kľúčové bezpečnostné opatrenie, ktoré pri správnom nasadení významne zvýši bezpečnosť vašej infraštruktúry a dát s ktorými pracujete.

V čom sme iní od konkurencie

Našou hlavnou náplňou nie je služba SOC ale prevádzka infraštruktúry, systémov a aplikácií, ktoré spracúvajú extrémne citlivé informácie (osobné údaje, bankové dáta, platobné karty). Nie sme teoretici, ale naopak máme reálne skúsenosti z praxe. SOC prevádzkujeme hlavne pre vlastné potreby a získané informácie budeme radi zdieľať s našimi zákazníkmi.

Navyše celá infraštruktúra SOC spadá pod certifikáciu PCI DSS, ktorá vám garantuje že vami poskytnuté dáta budú chránené na všetkých úrovniach - od fyzickej brezpečnosti, cez IT infraštruktúru až po ľudí a procesy. A v neposlednom rade sme členom skupiny Asseco, ktorá nám poskytuje výborné IT zázemie a je garantom kvality a dlhodobej spolupráce.

Ako prebieha spolupráca

Kontaktujte nás cez formulár, mailom alebo telefonicky a dohodneme si stretnutie, na ktorom si prejdeme vašu situáciu, vaše potreby a navrhneme ďalšie kroky.

Štandardný postup je taký, že na začiatku spravia naši security špecialisti v spolupráci s vaším personálom analýzu IT prostredia, kategorizáciu IT aktív a vašich potrieb (hrozby, compliance požiadavky) za účelom zadefinovania priorít. Výsledkom analýzy môže byť aj optimalizácia logovania niektorých vašich systémov a aplikácií za účelom zníženia nákladov na SOC, kedže cena sa počíta podľa objemu spracovaných logov a tzv. „udalostí za sekundu“ (EPS - Event Per Second).

Následne môže dôjsť k samotnej „inštalácii služby“ - nastavenie sieťového spojenia (site-to-site VPN, MPLS), zberu logov a ich šifrovania až po konfiguráciu SOC systémov, monitorovacích scenárov (na mieru) až po nastavenie procesov (SLA). Inštaláciou to samozrejme nekončí, ale skôr začína. Počítame s rozvojom vašich systémov a potrieb do budúcnosti.

Kontaktujte nás

Ako sa počíta cena za službu SOC

Jednou z hlavných výhod služby SOC je, že platíte iba za to čo dostávate. Kedykoľvek môžete zvýšiť alebo znížiť parametre služby a tým pádom aj cenu.

Hlavnou zložkou ceny je mesačný paušál, ktorý bude zodpovedať vašim potrebám a požiadavkám. Do jeho výpočtu vstupujú nasledovné parametre služby:

  • Vstupy od zákazníka - objem logov (GB/deň), počet vašich IP adries a počet udalostí za sekundu (EPS -Event Per Second), ktoré sú vstupom pre SIEM

  • Výstupy SOC služby - počet SIEM scenárov, ktoré budeme pre vás monitorovať a vyhodnocovať v reálnom čase, a počet denných reportov, ktoré vám budeme posielať

  • Analytická podpora našich security špecialistov, môžete si vybrať režim 8/5 alebo 24/7

Nad rámec paušálu sa počítajú implementačné/zmenové náklady, náklady na sieťovú konektivitu a prípadné ďalšie náklady na vaše špeciálne požiadavky, ktoré nie sú súčasťou paušálu (napr. dlhodobá archivácia logov).

Zo skúseností vieme, že každý zákazník má špecifické potreby. Ozvite sa nám a spravíme vám cenovú ponuku na mieru.

Kontaktujte nás

Ako sa pripraviť na službu SOC

Na začiatku budeme potrebovať nasledovné informácie:

  • Základné informácie o vašom IT prostredí - aké systémy a aplikácie používate (typovo) a počet zariadení (IP adries), ktoré budeme monitorovať

  • Kategorizácia IT aktív - ktoré systémy a aplikácie sú pre vás najdôležitejšie, aké citlivé informácie spracúvajú alebo uchovávajú, ich zneužitie by pre vás znamenalo zhruba aké škody

  • Aká sú vaše hlavné priority, potreby a očakávania od bezpečnostného monitoringu - ochrana voči hrozbám napadnutia infraštruktúry, úniku citlivých informácií, splnenie zákonných požiadaviek a podobne

Po implementácii služby SOC budeme potrebovať kontaktné osoby, ktorým budeme posielať reporty a nahlasovať podozrenia na incidenty. V rámci organizácie by ste si mali nastaviť eskalačné mechanizmy - tzv. IRT (Incident Response Team), ktorý bude s nami komunikovať a v prípade potreby bude vedieť prijímať opatrenia (zablokovanie užívateľa, IP adresy a podobne).

Ak ešte nemáte všetky zmienené informácie alebo nastavené interné procesy nevadí, pozrieme sa na to čo máte a zvyšok spolu doladíme.

Aký prínos má certifikácia PCI DSS

Payment Card Industry Data Security Standard (PCI DSS) je bezpečnostný štandard, ktorý musia spĺňať všetky spoločnosti pracujúce s platobnými kartami, kedže sa jedná o extrémne citlivé údaje. V našom prípade súlad s týmto štandardom preveruje každý rok hĺbkovým auditom nezávislý auditor (tzv. Qualified Security Assessor - QSA), ktorý nám spolu s kartovými asociáciami udeľuje certifikáciu najvyššej úrovne PCI DSS Level 1 Service Provider. Pre vás je to garancia, že vaše dáta budú u nás v bezpečí.

PCI DSS zahŕňa komplexnú bezpečnosť organizácie od fyzických priestorov, dataceniter, IT infraštruktúry, aplikácií, dát, procesov až po dokumentáciu a pravidelne trénovaný personál. Služba SOC je každý rok súčasťou auditu PCI DSS z pohľadu funkčnosti (scenárov) aj zabezpečenia infraštruktúry a dát.

Za vznikom PCI DSS stoja najväčšie kartové asociácie American Express, Discover, JCB, MasterCard a Visa, ktoré založili organizáciu Payment Card Industry Security Standards Council (PCI SSC) vydávajúcu štandard PCI DSS. Tento štandard sa každý rok vyvíja a aktualizuje podľa aktuálnych potrieb a hrozieb, čomu sa prispôsobujú aj nároky auditu.

Oficiálne stránky PCI SSC →

Najdôležitejšie zmeny vyplývajúce z GDPR

  • Rovnocenná vymáhateľnosť práva v celej EÚ

  • Rozšírenie definície osobných údajov

  • Rozšírenie povinností aj na sprostredkovateľov

  • Nová povinnosť oznamovať a dokumentovať bezpečnostné incidenty do 72 hodín

  • Zavedenie nových práv dotknutých osôb ako „právo byť zabudnutý“ a „právo na prenosnosť údajov“

  • Zmeny v spracovaní osobných údajov neplnoletých osôb

  • Zrušenie povinnosti mať zodpovednú osobu za ochranu osobných údajov

  • Nové pravidlo jednotného kontaktného miesta

  • Zmeny pri cezhraničnom prenose osobných údajov

GDPR Key Changes →Právna analýza kancelárie Steiniger →

Aké sú pokuty za nedodržanie GDPR

Maximálna výška pokuty sa zvýšila na 20.000.000 EUR alebo 4 % z celkového globálneho ročného obratu spoločnosti (podľa toho, ktorá suma je vyššia).

Výška pokuty bude závisieť od viacerých faktorov, medzi ktoré patria napr. povaha, závažnosť a dĺžka porušovania pravidiel GDPR, počet poškodených občanov a miera škody, ktorá im bola spôsobená, kroky podniknuté prevádzkovateľom alebo sprostredkovateľom na zmiernenie škôd, kategórie osobných údajov, o ktoré sa jedná a ďalšie.

Základné fakty o skupine Asseco

Materskou spoločnosťou DanubePay je Asseco Central Europe (Asseco CE), ktorá je jedným z najsilnejších softvérových domov v strednej a východnej Európe. Sídlo má na Slovensku ale pôsobí aj v Českej republike, Maďarsku, Nemecku, Rakúsku a vo Švajčiarsku. Spoločnosť patrí medzi najvýznamnejších poskytovateľov komplexných riešení a služieb v oblasti informačných technológií.

História spoločnosti siaha až do roku 1990, kedy bola založená spoločnosť ASSET. V roku 1999 vytvorila strategické partnerstvo s poľskou spoločnosťou Comp Rzeszów, čím boli položené základy budúcej globálnej skupiny Asseco. V októbri 2006 vstúpila na Varšavskú burzu, čím sa stala prvou slovenskou firmou kótovanou na zahraničnej burze priamym spôsobom.

Pod globálnu skupinu Asseco patrí silná sieť spoločností pôsobiacich vo viac ako 50 krajinách sveta a zamestnávajúcich vyše 15 tisíc IT odborníkov.

Asseco Central Europe →Asseco Group →