Nýjasta bloggið
Danskur dagur Stefnu
Aðilar samnings:
Ábyrgðaraðili: Þjónustukaupi
Vinnsluaðili: Stefna ehf
Verkumsjónarkerfi - Verkumsjónarkerfi frá Atlassian þar sem haldið er utan um verkbeiðnir og tengiliði ábyrgðaraðila. Hugbúnaðurinn sem notaður er er eftirfarandi: Jira, Jira service desk og Confluence.
Moya - Vefumsjónarkerfið Moya og allar einingar þess.
Starfsfólk vinnsluaðila Með starfsfólki vinnsluaðila er átt við starfsmenn Stefnu með beint ráðningarsamband sem starfs síns vegna hafa aðgang að gögnum eða kerfum þjónustukaupa til að geta veitt umsamda þjónustu í samræmi við samning þennan.
Samningur þessi gildir milli ábyrgðaraðila og vinnsluaðila vegna þjónustu við vefi ábyrgðaraðila og um vinnslu upplýsinga í vefumsjónarkerfinu Moya og verkumsjónarkerfi Atlassian. Þær persónuupplýsingar sem vinnsla þessi nær yfir teljast í flestum tilvikum almennar.
Hlutverk vinnsluaðila er að smíða, setja upp, þjónusta og hýsa vefi fyrir ábyrgðaraðila. Vinnsluaðili sér einnig um viðhald og þjónustu á vefumsjónarkerfi vefa ábyrgðaraðila.
Vinnsluaðili mun einungis nota aðgang sinn að kerfum þjónustukaupa þegar verkbeiðni liggur fyrir eða ef um nauðsynlegar uppfærslur kerfisins er að ræða. Öll gögn, þ.á.m. persónuupplýsingar og aðrar þær upplýsingar sem vinnsluaðili hefur aðgang að gegnum ábyrgðaraðila teljast trúnaðarupplýsingar. Starfsmenn vinnsluaðila eru bundnir þagnarskyldu um þau atriði sem þeir komast að vegna vinnslu á upplýsingum frá ábyrgðaraðila.
Vinnsluaðila er óheimilt að framsenda, selja, afhenda eða gefa þriðja aðila upplýsingar um starfsemi ábyrgðaraðila eða önnur gögn sem hann fær í hendur á grundvelli samnings þessa nema á grundvelli úrskurðar dómara eða annars lögbærs yfirvalds á grundvelli laga. Þagnarskyldan helst eftir að samningssambandi lýkur og vinnsluaðili lætur af störfum fyrir ábyrgðaraðila.
Ábyrgðaraðili ber ábyrgð á því að upplýsa notendur um þá vinnslu sem fer fram og bregðast við erindum vegna réttinda þeirra s.s. vegna réttar til leiðréttingar, eyðingar og afhendingu gagna. Vinnsluaðili mun aðstoða ábyrgðaraðila að því marki sem hægt er að bregðast við beiðnum notenda. Komi beiðni frá notendum um að neyta réttinda sinna til vinnsluaðila verður hún tafarlaust áframsend til ábyrgðaraðila.
Vinnsluaðili tilkynnir ábyrgðaraðila um öryggisbrot eins fljótt og hægt er og eigi síðar en 24 klukkustundum eftir að hann verður var við brotið. Með tilkynningunni fylgja öll tiltæk gögn sem nauðsynleg eru til þess að ábyrgðaraðili geti tilkynnt um brotið til viðeigandi eftirlitsstofnunar.
Vinnsluaðili notar verkumsjónarkerfi til að halda utan um og geyma verkbeiðnir, verklýsingar, samskipti við ábyrgðaraðila og tengiliða upplýsingar ábyrgðaraðila. Það er á ábyrgð ábyrgðaraðila að upplýsa vinnsluaðila um breytingar sem kunna að verða á tengiliðum ábyrgðaraðila og réttindum þeirra. Vinnsluaðili sendir upplýsingar um breytingar skilmála, kerfis eða aðrar mikilvægar tilkynningar á uppgefna tengiliði ábyrgðaraðila. Verkbeiðnir eru ekki teknar gildar nema notandi með viðeigandi réttindi gefi skriflegt leyfi fyrir þeim.
Vinnsluaðili meðhöndlar persónuupplýsingar í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. um persónuvernd og meðferð persónuupplýsinga. Vinnsluaðili tryggir örugga vörslu gagna og upplýsinga. Haft er hliðsjón af ISO/IEC 27002:2013 staðlinum um upplýsingavernd. Meðhöndlun kerfa, upplýsinga og gagna fer eftir stöðluðum verklagsreglum vinnsluaðila sem segja til um meðhöndlun gagna og upplýsinga til að tryggja öryggi. Moya safnar sjálfkrafa einungis nauðsynlegum persónuupplýsingum á borð við Ip-tölur og innsendum beiðnum í þeim tilgangi að tryggja gæði og öryggi þjónustu. Moya er að öllu leyti í eigu vinnsluaðila og er þriðja aðila aldrei gefinn aðgangur að grunni þess. Vinnsluaðila er með öllu óheimilt að afhenda þriðja aðila persónuupplýsingar og aðrar trúnaðarupplýsingar, hvort sem er skriflega eða munnlega, nema með skriflegu samþykki ábyrgðaraðila. Ábyrgðaraðili hefur óskoraðan rétt til að óska eftir að vinnsluaðili afhendi ábyrgðaraðila lista yfir alla þá starfsmenn eða undirverktaka ef við á, sem hafa aðgang að kerfum ábyrgðaraðila.
Vinnsluaðili safnar ekki upplýsingum til notkunar í markaðslegum tilgangi, hvorki til eigin nota eða til þriðja aðila. Í grunninn nýtir Moya þrjár utanaðkomandi þjónustur sem eru nauðsynlegar til að viðhalda eðlilegri virkni vefsíðna. Þessar þjónustur veita eftirfarandi undirvinnsluaðilar.
Amazon AWS cloud hosting - vefhýsing (Privacy Shield vottað).
Bugsnag - villumeðhöndlun (Privacy Shield vottað).
New Relic - eftirlit með álagi og umferð vefþjóna (Privacy Shield vottað).
Moya ásamt gagnagrunnum þess er hýst á sýndarvélum hjá Amazon AWS í Írlandi. Ekki er nýtt nein önnur þjónusta hjá þeim svo það hefur enginn annar en starfsfólk vinnsluaðila aðgang að gagnagrunnum eða kóða. Aldrei er gefinn beinn aðgangur að gagnagrunnum og kóða kerfis. Viðskiptavinur eða aðrir aðilar geta ekki gert breytingar nema gegnum notandaviðmót Moya. Tengst er vefþjónum AWS gegnum SSH lykla sem er aðgangstýrt til starfsmanna vinnsluaðila, ekki er hægt að tengjast gegnum lykilorð og ekki er hægt að sækja gögn eða kóða beint af þjóni með öðrum leiðum. Hýsingarrýmið sjálft er búið öflugum kælibúnaði, rakastýringu, varaaflgjöfum og dísilrafstöð. Hámarksuppitími er því tryggður og vefir ábyrgðaraðila aðgengilegur hvenær sem er. Hýsingarumhverfi er með ISO – 27001 vottun í stjórnun upplýsingaöryggis og eru vélasalir og verkferlar uppbyggðir samkvæmt kröfum þess staðals.
Moya nýtir hugbúnað frá Bugsnag til að grípa villur og senda villuskilaboð áfram til starfsfólks vinnsluaðila. Slíkar villumeldingar eru einungis sendar þegar upp kemur villa en þær innihalda greiningargögn sem kunna að innihalda persónugreinanleg gögn (IP-tölur, innsendar upplýsingar og notendaupplýsingar fyrir innskráða notendur). Þessar villumeldingar eru einungis notaðar til að viðhalda og bæta kerfið og eru aldrei áframsendar á þriðja aðila. Villumeldingarnar eru nauðsynlegar til að tryggja gæði og öryggi kerfis.
Til að mæla umferð og álag á vefþjóna vinnsluaðila er notað hugbúnað frá New Relic. Þangað eru sendar upplýsingar um Ip-tölur, upphleðslutíma, umferð og álag vefþjóna. Þetta er nauðsynlegt til að tryggja eðlilegan viðbragðstíma vefsíðu, upptíma, virkni vefsíðu og öryggi gagnvart álagsárásum.
Moya býður ábyrgðaraðila upp á stuðning við ýmsar leiðir til að safna saman upplýsingum, birta þær eða áframsenda. Öll slík vinnsla á persónuupplýsingingum er á ábyrgð ábyrgðaraðila og skylda hans að hafa lögmæta ástæðu fyrir vinnslu. Moya býður upp á tól til að auðvelda lögmæta vinnslu persónuupplýsinga s.s. skilmála, samþykki, og vafrakökuborða. Dæmi um leiðir til upplýsingasöfnunar eru síður, fyrirspurnarform, eyðublöð, vefverslanir, póstlistar og félagakerfi. Einnig er stuðningur fyrir ýmis tól þriðja aðila t.d. Google analytics, Mailchimp, Bókun, Youtube og Booking og er á ábyrgð ábyrgðaraðila að skilmálar og upplýst samþykki fyrir notkun slíkra tóla liggi fyrir.
Notendastýring og aðgerðir innskráðra notenda innan kerfis eru á ábyrgð ábyrgðaraðila. Allir innskráðir notendur vefumsjónarkerfisins Moya þurfa að samþykkja skilmála um notkun þess. Vinnsluaðili áskilur sér rétt til að loka á innskráða notendur sem ekki virða skilmála.
Aðeins skilgreindir starfsmenn hafa skriflegan aðgang að þeim kóðum sem þeir þurfa og aðrir hafa lesaðgang þar sem þarf. Allur kóði skal vera settur inn í kóðastjórnunartæki (Bitbucket, git) og tengist þar viðeigandi starfsmanni. Öll samskipti við bæði verkefnastjórnun og kóðarstjórnunartól eru dulkóðuð. Við innsetningu á kóða skal starfsmaður setja inn verknúmer úr verkefnastjórnunarkerfi til að mynda tengingu á milli kóða og verkefnis. Aðgangur að kóða er notendastýrður og skjalaður með hugbúnaðnum Puppet þar sem allar færslur á aðgöngum eru skráðar.
Staðlaðar verklagsreglur gilda um afritunarferli. Dagleg afritun er af gögnum og gagnagrunnum. Strax eftir afritunartöku eru afrit færð á auka þjón í öðru kerfisrými staðsett í öðru húsnæði. Afrit eru geymd í 80 daga og fyrir utan almennar varúðarráðstafanir og sjálfvirk villuboð fara fram reglulegar athuganir. Afritunarpróf fara fram að lágmarki einu sinni í mánuði og eru framkvæmd af kerfisstjóra og tæknistjóra vinnsluaðila. Þannig er tryggt að gögn tapist ekki.
Samningur þessi er ótímabundinn og tekur gildi við undirritun. Hvor aðili um sig getur sagt samningnum upp með þriggja mánaða fyrirvara. Við samningslok er ábyrgðaraðila veitt hans gögn úr gagnagrunnum sé þess óskað og persónugreinanlegum upplýsingum eytt. Útlit og beinagrind vefs er varðveitt í ár eftir uppsögn.
Um samning þennan gilda íslensk lög og reglur. Mál/ágreiningur sem kann að rísa vegna samnings þessa má bera undir Héraðsdóm norðurlands eystra.
Persóunuverndarstefnur og rafrænt samþykktir vinnslusamningar við undirvinnslu aðila:
Komdu í kaffi til okkar og við förum yfir þín mál og gerum tilboð sem hentar þinni starfssemi.
s. 464 8700