PhotoRobot tehnilised ja organisatsioonilised meetmed (TOM-id)
See dokument määratleb PhotoRobot'i tehnilised ja organisatsioonilised meetmed (TOM-id) vastavalt artiklile 32 GDPR: versioon 1.0 – PhotoRobot Edition, uni-Robot Ltd., Tšehhi Vabariik. Dokument on viimati uuendatud seisuga 31. detsember 2025 ning toetab PhotoRobot'i lepinguliste kohustuste täitmist DPA ja SLA raames.
1. Sissejuhatus - PhotoRobot TOM-id
See dokument kirjeldab uni-Robot Ltd. (PhotoRobot) poolt rakendatud tehnilisi ja organisatsioonilisi meetmeid (TOM), et tagada isikuandmete töötlemisel sobiv turvalisuse tase vastavalt üldise andmekaitsemääruse (GDPR) artiklile 32.
Need meetmed kehtivad PhotoRobot teenuste toimimise kohta, sealhulgas, kuid mitte ainult:
- PhotoRobot juhib pilve
- PhotoRobot Cloud 2.0
- PhotoRobot juhib lokaalset (kui on ühendatud pilveteenustega)
- API-d ja seotud veebiteenused
- Toetav infrastruktuur ja sisemised süsteemid
See dokument on autoriteetne kirjeldus PhotoRobot'i TOM-idele ning seda võib viidata andmetöötluslepingutes (DPA), auditites ja ettevõtte turvaülevaatustes.
2. Ulatus ja rakendatavus
Siin kirjeldatud TOM-id kehtivad:
- Isikuandmete töötlemine klientide nimel osana PhotoRobot teenustest
- Sisemised operatiivandmed, mis on vajalikud teenuste pakkumiseks, hooldamiseks ja turvamiseks
Meetmed on koostatud arvestades:
- Tipptase
- Rakenduskulud
- töötlemise olemus, ulatus, kontekst ja eesmärgid
- Füüsiliste isikute õiguste ja vabaduste ohud
3. Organisatsiooni turvameetmed
3.1. Infoturbe juhtimine
PhotoRobot haldab sisemisi poliitikaid ja protseduure, mis reguleerivad infoturbe, andmekaitset ja süsteemide aktsepteeritavat kasutamist.
Turvalisuse ja andmekaitse vastutus on organisatsioonis selgelt määratletud, sealhulgas määratud kontaktid privaatsuse ja juriidiliste küsimuste jaoks.
3.2. Töötajate konfidentsiaalsus ja teadlikkus
- Töötajad ja alltöövõtjad on seotud konfidentsiaalsuskohustusega
- Ligipääs süsteemidele antakse vastavalt vajadusele teada
- Turvalisuse ja andmekaitse teadlikkust edendatakse osana sisseelamisest ja käimasolevatest tegevustest
4. Juurdepääsukontroll ja autoriseerimine
4.1. Rollipõhine juurdepääsukontroll (RBAC)
Juurdepääsu süsteemidele ja kliendiandmetele kontrollitakse rollipõhise juurdepääsukontrolli (RBAC) põhimõtete abil.
- Kasutajatele antakse minimaalsed õigused, mis on vajalikud oma ülesannete täitmiseks
- Administratiivne ligipääs on piiratud volitatud isikutele
4.2. Autentimine
- Tugevaid autentimismehhanisme kasutatakse nii sisemiste kui ka väliste süsteemide jaoks
- Paroolipoliitikad ja ligipääsu mandaadid on turvaliselt hallatavad
- Ligipääsu mandaadid ei tohi olla jagatud
5. Infrastruktuur ja võrguturvalisus
5.1. Majutus ja pilveinfrastruktuur
PhotoRobot teenused on majutatud professionaalsetes pilvetaristu pakkujates (nt Google Cloud Platform), kes rakendavad tööstusharu standardseid füüsilise ja keskkonna turvameetmeid.
5.2. Võrgukaitse
- Võrguliiklus on kaitstud tulemüüride ja juurdepääsukontrollidega
- Avalikud teenused on sisemistest süsteemidest eraldatud
- Taristukomponente jälgitakse saadavuse ja turvasündmuste osas
6. Krüpteerimine ja andmekaitse
6.1. Andmed transiidis
- Kliendi ja PhotoRobot teenuste vahel edastatavad andmed krüpteeritakse TLS/HTTPS-i abil
- Turvalised suhtluskanalid on kehtestatud API-de ja pilveliideste jaoks
6.2. Andmed puhkeolekus
- Pilveinfrastruktuuris salvestatud andmed on kaitstud majutusteenuse pakkuja poolt pakutavate krüpteerimismehhanismidega
- Juurdepääs salvestatud andmetele on piiratud volitatud süsteemide ja töötajatega
7. Logimine, jälgimine ja intsidentide tuvastamine
7.1. Logimine
- Süsteemilogid genereeritakse operatiivsete ja turvalisusega seotud sündmuste jaoks
- Logisid kasutatakse tõrkeotsinguks, jälgimiseks ja intsidentide analüüsiks
7.2. Jälgimine
- Teenuseid jälgitakse saadavuse, jõudluse ja anomaaliate osas
- Hoiatused käivituvad ebanormaalse käitumise või teenuse häirete korral
8. Intsidentidele reageerimine ja lekkete juhtimine
PhotoRobot haldab protseduure turvaintsidentide, sealhulgas isikuandmete lekkete käsitlemiseks.
Need protseduurid hõlmavad:
- Juhtumite tuvastamine ja hindamine
- Leevendamis- ja piiramismeetmed
- Sisemine eskalatsioon
- Suhtlemine klientidega, kus see oli vajalik
- GDPR-i rikkumise teavitamise kohustuste täitmine (GDPR artiklid 33 ja 34)
9. Varundus, kättesaadavus ja ärijärjepidevus
9.1. Varukoopiad
- Andmete varundamine toimub osana tavapärastest pilvetoimingutest
- Varukoopiaid kasutatakse katastroofide taastamise ja teenuse järjepidevuse tagamiseks
9.2. Saadavus
- Tehakse mõistlikke jõupingutusi, et tagada teenuste kõrge kättesaadavus
- Planeeritud hooldustegevused võivad põhjustada ajutisi teenuse katkestusi
Kättesaadavuse eesmärkide ja reageerimisaegade üksikasjad on eraldi kirjeldatud vastavates teenindustaseme kokkulepetes (SLA-des).
10. Turvaline areng ja muutuste juhtimine
10.1. Turvalised arendustavad
PhotoRobot järgib struktureeritud arendus- ja juurutusprotsesse, sealhulgas:
- arendus-, testimis- ja tootmiskeskkondade eraldamine vastavalt vajadusele
- Kontrollitud paigaldusprotseduurid
- Versioonijuhtimine ja muudatuste jälgimine
10.2. Uuendused ja parandused
- Tarkvarakomponente uuendatakse, et lahendada turvaauke
- Kriitilised uuendused prioriteediks antakse riskihindamise põhjal
11. Alamtöötlejad ja kolmandad osapooled
PhotoRobot võib kaasata alamprotsessoreid teenuse osutamise toetamiseks (nt majutus, e-posti teenused).
- Alamprotsessorid valitakse nende turvalisuse ja andmekaitse põhimõtete põhjal
- Praegune alamprotsessorite nimekiri hoitakse eraldi ja tehakse avalikkusele kättesaadavaks
12. Füüsiline turvalisus
Füüsilist ligipääsu serveritele ja andmekeskustele haldab pilveinfrastruktuuri pakkuja ning see hõlmab:
- Juurdepääsukontrollid
- Jälgimine ja jälgimine
- Keskkonnakaitse
PhotoRobot ei halda oma andmekeskusi.
13. Andmete minimeerimine ja säilitamine
- Töödeldakse ainult teenuse osutamiseks vajalikke andmeid
- Isikuandmeid hoitakse ainult nii kaua, kui see on vajalik lepingulistel, juriidilistel või operatiivsetel eesmärkidel
- Andmete kustutamise ja säilitamise perioodid on määratletud asjakohastes poliitikates ja lepingutes
14. Ülevaade ja uuendused
Need tehnilised ja organisatsioonilised meetmed vaadatakse perioodiliselt üle ja uuendatakse vastavalt vajadusele, et kajastada:
- Tehnoloogia muutused
- Teenuste muutused
- Arenevad turva- ja regulatiivsed nõuded
Olulised muudatused võidakse klientidele vastavalt vajadusele edastada.
15. Kontaktandmed
Küsimustele nende tehniliste ja organisatsiooniliste meetmete kohta:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tšehhi Vabariik
E-post: legal@photorobot.com
Lõppmärkus
Need TOM-id kirjeldavad PhotoRobot'i praeguseid tehnilisi ja organisatsioonilisi meetmeid ning on mõeldud klientidele läbipaistvuse ja kindlustunde tagamiseks. Need ei taga katkestusteta teenust ega absoluutset turvalisust, vaid peegeldavad riskipõhist ja proportsionaalset lähenemist andmekaitsele ja infoturbele.