top of page

Dohoda o zpracování údajů

Poslední aktualizace: 1. května 2024

Tato Smlouva o zpracování údajů TopLeader a její přílohy („DPA“) tvoří součást Podmínek a podmínek služeb TopLeader nebo jakékoli náhradní Hlavní servisní smlouvy („Smlouva“) uzavřené mezi Zákazníkem (jak je definován ve Smlouvě) a společností TopLeader, aby odrážely dohodu Stran ohledně zpracování Osobních údajů společností TopLeader jménem Zákazníka v souvislosti se Službami.

Tato DPA je účinná od Data účinnosti.

V případě jakéhokoli konfliktu nebo nesrovnalosti s podmínkami Smlouvy bude mít tato DPA přednost před podmínkami Smlouvy v rozsahu takového konfliktu nebo nesrovnalosti.

1. Definice

Velká písmena, která nejsou jinak definována v této DPA, budou mít význam uvedený ve Smlouvě.

1.1 „Osobní údaje zákazníka“ nebo „Osobní informace zákazníka“ znamenají Osobní údaje a Osobní informace zpracovávané společností TopLeader jménem Zákazníka podle této DPA a Smlouvy v souvislosti se Službami;

1.2 „Zákony o ochraně údajů“ znamenají všechny zákony o ochraně údajů a soukromí, které jsou pro příslušnou stranu použitelné při zpracování Osobních údajů zákazníka podle Smlouvy, včetně, pokud je to relevantní, (i) Nařízení 2016/679 Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Obecné nařízení o ochraně osobních údajů) („GDPR“) spolu s jakýmikoli národními prováděcími zákony v jakémkoli členském státě EU, (ii) GDPR, jak je součástí zákona Spojeného království podle oddílu 3 Zákona o vystoupení z Evropské unie z roku 2018 („UK GDPR“) a Zákona o ochraně údajů Spojeného království z roku 2018 (společně „Zákony o ochraně údajů Spojeného království“); (iii) Švýcarského federálního zákona o ochraně údajů ze dne 19. června 1992; a (iv) zákonů a předpisů Spojených států amerických, včetně Kalifornského zákona o ochraně spotřebitelských údajů z roku 2018, Kal. Civil Code Sec. 1798.100 a násl. („CCPA“); v každém případě ve znění pozdějších předpisů, zrušení, konsolidace nebo nahrazení;

1.3 „EEA“ znamená Evropský hospodářský prostor;

1.4 „EU“ znamená Evropskou unii;

1.5 „Porušení ochrany osobních údajů“ znamená jakýkoli incident vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo přístupu k Osobním údajům zákazníka. Porušení ochrany osobních údajů nezahrnuje neúspěšné pokusy nebo aktivity, které neohrožují bezpečnost Osobních údajů zákazníka, včetně neúspěšných pokusů o přihlášení, pingů, skenů portů, útoků na odmítnutí služby a jiných útoků na firewally nebo síťové systémy;

1.6 „Standardní smluvní doložky“ znamenají standardní smluvní doložky připojené k Rozhodnutí Evropské komise (EU) 2021/914 ze dne 4. června 2021 dostupné na https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en, ve znění pozdějších změn, nahrazení nebo nahrazení;

1.7 „Sub-procesor“ znamená třetí stranu angažovanou společností TopLeader jako dalšího zpracovatele podle této DPA pro zpracování Osobních údajů zákazníka za účelem poskytování částí Služeb;

1.8 „UK Addendum“ znamená Mezinárodní dodatkovou doložku o přenosu údajů vydanou Úřadem pro informace a předloženou Parlamentu v souladu s oddílem 119(A) Zákona o ochraně údajů Spojeného království z roku 2018 dne 2. února 2022 (jak je revidována podle oddílu 18) k usnadnění mezinárodního přenosu Osobních údajů v souladu s UK GDPR, a která je aktuálně k nalezení na https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-DPA.pdf;

1.9 Pojmy „Osobní údaje“, „Subjekt údajů“, „zpracování“, „Správce“ a „Zpracovatel“ použité v této DPA mají významy uvedené v GDPR. Pojmy „Podnik“, „Obchodní účel“, „Spotřebitel“, „Osobní informace“, „Prodej“, „Sdílení“ a „Poskytovatel služeb“ použité v této DPA mají významy uvedené v CCPA.

2. Rozsah, role stran a podrobnosti o zpracování

2.1 Tato DPA se vztahuje na jakékoli zpracování Osobních údajů zákazníka společností TopLeader podléhající zákonům o ochraně údajů.

2.2 Zákazník a TopLeader souhlasí a uznávají, že s ohledem na zpracování Osobních údajů zákazníka jménem Zákazníka:

2.2.1 TopLeader je zpracovatel takových Osobních údajů zákazníka a Zákazník je správce;

2.2.2 Pro účely CCPA (pokud je relevantní) je Zákazník podnikem a TopLeader je poskytovatelem služeb a přijímá Osobní údaje zákazníka za účelem poskytování Služeb Zákazníkovi v souladu se Smlouvou;

2.2.3 Příloha 1 popisuje předmět a podrobnosti o zpracování.

2.3 Na žádost Zákazníka může být platforma TopLeader integrována s produkty třetích stran prostřednictvím speciálního API k umožnění sdílení Osobních údajů nebo Osobních informací z produktu třetí strany na platformu TopLeader. Strany uznávají, že v tomto případě TopLeader zůstává zpracovatelem Zákazníka a jedná podle pokynů Zákazníka. Strany dále uznávají, že TopLeader nenese odpovědnost za produkty třetích stran.

3. Povinnosti Zákazníka

3.1 Zákazník při používání Služeb bude dodržovat Zákony o ochraně údajů.

3.2 Zákazník bude výhradně odpovědný za (i) přesnost, kvalitu a zákonnost Osobních údajů zákazníka a způsoby, kterými Zákazník tyto údaje získal; (ii) dodržování všech nezbytných požadavků na transparentnost a zákonnost podle Zákonů o ochraně údajů, včetně získání jakýchkoli nezbytných souhlasů a oprávnění a mít jakékoli a všechny požadované právní základy pro shromažďování, zpracování a přenos Osobních údajů zákazníka společnosti TopLeader, a pro autorizaci zpracování společností TopLeader, a pro zpracovatelské činnosti společnosti TopLeader jménem Zákazníka, včetně plnění Obchodních účelů podle CCPA; a (iii) zajištění, že jeho pokyny společnosti TopLeader týkající se zpracování Osobních údajů zákazníka jsou v souladu s platnými zákony, včetně Zákonů o ochraně údajů.

3.3 Zákazník bude okamžitě informovat společnost TopLeader, pokud Zákazník zjistí jakékoli chyby nebo nesrovnalosti v operacích zpracování údajů, které ovlivňují dodržování Zákonů o ochraně údajů.

4. Zpracování Osobních údajů zákazníka jménem Zákazníka

4.1 TopLeader bude zpracovávat Osobní údaje zákazníka pouze za účely popsané v této DPA nebo jak jinak dohodnuté v rozsahu dokumentovaných a zákonných pokynů Zákazníka, s výjimkou případů, kdy a v rozsahu, jak to vyžadují platné zákony („Povolené účely“).

4.2 Strany souhlasí, že Smlouva (včetně této DPA), spolu s používáním Služeb Zákazníkem v souladu se Smlouvou, představují kompletní pokyny Zákazníka společnosti TopLeader ve vztahu ke zpracování Osobních údajů zákazníka. Jakýkoli další pokyn od Zákazníka musí být učiněn písemně, s uvedením příslušného účelu a prováděné operace, s tím, že realizace jakéhokoli dalšího pokynu může být podmíněna přijetím odpovídajícího odhadu nákladů vydaného společností TopLeader.

4.3 TopLeader bude okamžitě informovat Zákazníka, pokud podle jeho názoru pokyn Zákazníka porušuje Zákony o ochraně údajů. TopLeader může, bez jakékoliv odpovědnosti vůči Zákazníkovi, dočasně zastavit veškeré zpracování dotčených Osobních údajů zákazníka (jiné než bezpečné ukládání těchto údajů), dokud Zákazník nevydá nové pokyny, které bude TopLeader schopen dodržet.

5. Zaměstnanci společnosti TopLeader

5.1 Zaměstnanci společnosti TopLeader jsou povinni chovat se v souladu se zásadami společnosti týkajícími se důvěrnosti, obchodní etiky, vhodného používání a profesionálních standardů. TopLeader provádí přiměřeně vhodné kontroly pozadí zaměstnanců, pokud to je právně přípustné a v souladu s platnými místními zákony o práci a statutárními předpisy.

5.2 Zaměstnanci jsou povinni podepsat dohodu o důvěrnosti a musí potvrdit příjem a dodržování zásad společnosti TopLeader týkajících se důvěrnosti a ochrany soukromí. Zaměstnanci, kteří pracují s Osobními údaji zákazníka, jsou poskytováni školením o bezpečnosti. Zaměstnanci společnosti TopLeader nebudou zpracovávat Osobní údaje zákazníka bez povolení a vždy na základě potřeby vědět.

6. Bezpečnost

6.1 S přihlédnutím k aktuálnímu stavu techniky, nákladům na implementaci a povaze, rozsahu, kontextu a účelům zpracování, stejně jako k riziku různých pravděpodobností a závažnosti pro práva a svobody fyzických osob, TopLeader implementuje a udržuje vhodná technická a organizační opatření k ochraně Osobních údajů zákazníka, jak je popsáno v Příloze 2 této DPA („Bezpečnostní opatření“).

6.2 Zákazník potvrzuje a souhlasí, že Bezpečnostní opatření poskytují úroveň bezpečnosti přiměřenou riziku ve vztahu k Osobním údajům zákazníka.

6.3 TopLeader může aktualizovat Bezpečnostní opatření čas od času, za předpokladu, že tyto aktualizace nesníží celkovou ochranu Osobních údajů zákazníka.

6.4 Zákazník potvrzuje, že Služby nejsou navrženy, určeny ani autorizovány pro zpracování zvláštních kategorií Osobních údajů („Citlivé údaje“). Rozsah jakéhokoli předložení Citlivých údajů určuje a kontroluje Zákazník podle svého uvážení a na své vlastní riziko.

7. Práva subjektů údajů

7.1 V případě, že TopLeader obdrží žádost od Subjektu údajů podle jakéhokoli Zákona o ochraně údajů ve vztahu k Osobním údajům zákazníka, TopLeader, pokud to je legálně přípustné, neprodleně informuje Zákazníka a nebude přímo odpovídat, pokud to nebude legálně vyžadováno.

7.2 V rozsahu, v jakém Zákazník není schopen samostatně řešit žádost Subjektu údajů prostřednictvím Služby, pak na písemnou žádost TopLeader poskytne přiměřenou pomoc Zákazníkovi k odpovědi na jakékoli žádosti Subjektu údajů. Zákazník uhradí společnosti TopLeader přiměřené náklady vzniklé z této pomoci.

7.3 TopLeader nenese odpovědnost, pokud Zákazník neodpoví nebo neodpoví správně nebo včas na jakoukoli žádost Subjektu údajů.

7.4 Pokud jsou podle článku 82 GDPR proti TopLeaderu vzneseny nároky Subjektem údajů, Zákazník pomůže TopLeaderu při obraně proti těmto nárokům.

8. Porušení ochrany osobních údajů

8.1 TopLeader neprodleně po zjištění jakéhokoli Porušení ochrany osobních údajů informuje Zákazníka a poskytne včasné informace týkající se Porušení ochrany osobních údajů, jakmile budou známy nebo rozumně požadovány Zákazníkem, aby pomohl Zákazníkovi splnit jeho povinnosti k hlášení Porušení ochrany osobních údajů podle Zákonů o ochraně údajů. Takové oznámení nebude vykládáno jako přiznání viny nebo odpovědnosti společnosti TopLeader.

8.2 TopLeader vynaloží přiměřené úsilí k identifikaci příčiny takového Porušení ochrany osobních údajů a přijme všechna opatření, která TopLeader považuje za nezbytná a rozumná k nápravě příčiny takového Porušení ochrany osobních údajů v rozsahu, v jakém to je v rozumné kontrole TopLeader.

8.3 Povinnosti uvedené zde se nevztahují na incidenty způsobené Zákazníkem nebo jeho oprávněnými uživateli.

9. Pomoc

9.1 Pokud je podle Zákonů o ochraně údajů Zákazník povinen provést hodnocení dopadu ochrany údajů nebo předchozí konzultaci s dozorovým úřadem pro ochranu údajů, na žádost Zákazníka poskytne TopLeader takové dokumenty, které jsou obecně dostupné pro Služby (např. tuto DPA, Smlouva, Zprávy z auditů a certifikace). Jakákoli další pomoc bude vzájemně dohodnuta mezi Stranami.

9.2 TopLeader může pomoci Zákazníkovi, na žádost a náklady Zákazníka, při zajištění souladu s povinnostmi Zákazníka podle Zákonů o ochraně údajů.

10. Stahování nebo mazání Osobních údajů zákazníka

10.1 Zákazník může kdykoli před vypršením nebo ukončením Smlouvy (i) stáhnout Osobní údaje zákazníka dostupné na platformě nebo (ii) požádat TopLeader o poskytnutí kopie těchto údajů.

10.2 Po ukončení Smlouvy TopLeader neprodleně smaže všechny Osobní údaje zákazníka a v každém případě do šesti (6) měsíců.

10.3 TopLeader může uchovávat Osobní údaje zákazníka v rozsahu povoleném nebo vyžadovaném Zákony o ochraně údajů a pouze v rozsahu a po dobu povolenou nebo vyžadovanou Zákony o ochraně údajů, za předpokladu, že TopLeader zajistí důvěrnost všech takových Osobních údajů zákazníka a zajistí, že takové Osobní údaje zákazníka budou zpracovávány pouze v nezbytném rozsahu pro účel(y) uvedené v Zákonech o ochraně údajů, které povolují nebo vyžadují jejich uchování, a pro žádný jiný účel.

11. Informace a audit

11.1 TopLeader zpřístupní Zákazníkovi, na své vlastní náklady, veškeré informace, které může Zákazník rozumně požadovat k prokázání souladu s touto DPA a Zákony o ochraně údajů.

11.2 TopLeader umožní a přispěje k auditům, včetně inspekcí, činností zpracování pokrytých touto DPA, v souladu s následujícími postupy:

11.2.1 TopLeader se zavazuje pravidelně testovat a hodnotit technická a organizační opatření implementovaná v souladu s touto DPA. Výsledky těchto testů a hodnocení budou zaznamenány v auditní zprávě („Auditní zpráva“).

11.2.2 Na písemnou žádost Zákazníka poskytne TopLeader Zákazníkovi nebo jeho pověřenému auditorovi kopii nejnovější Auditní zprávy.

11.2.3 TopLeader také poskytne Zákazníkovi nebo jeho pověřenému auditorovi jakékoli další informace, které může požadovat ohledně technických a organizačních opatření, aby Zákazník porozuměl rozsahu těchto opatření.

11.2.4 Pokud Zákazník potřebuje další informace k dodržení vlastních auditních povinností nebo na žádost příslušného dozorového úřadu pro ochranu údajů, Zákazník informuje TopLeader písemně, aby TopLeader mohl poskytnout takové informace nebo umožnit Zákazníkovi přístup k nim.

11.3 Pokud Auditní zpráva nebo další informace poskytnuté TopLeaderem v souladu s oddíly 11.2.1 až 11.2.4 odhalí materiální porušení této DPA, může Zákazník provádět audity v souladu s následujícími zásadami:

11.3.1 Audit musí být předcházen dokumentovým auditem za podmínek oddílu 11.2, který odhalil materiální body nevyhovující TopLeaderu.

11.3.2 Audit musí být proveden nezávislým, renomovaným, třetím stranou auditorem společně vybraným Stranami pro jeho odbornost, nezávislost a nestrannost. Jakýkoli auditor vybraný Stranami k provedení auditu nesmí být konkurentem TopLeaderu, nesmí být v konfliktu s TopLeaderem a musí být vázán povinnostmi zachování důvěrnosti ne méně přísnými než povinnosti Zákazníka podle Smlouvy.

11.3.3 Audity mohou zahrnovat inspekce v prostorách nebo fyzických zařízeních společnosti TopLeader, za předpokladu, že auditoři nebudou mít právo nahlížet nebo přistupovat k žádným systémům, údajům, záznamům nebo jiným informacím souvisejícím s jinými zákazníky společnosti TopLeader.

11.3.4 Audity mohou být prováděny jednou ročně s přiměřeným oznámením alespoň dvaceti (20) pracovních dnů (které může být v případě nouze, jako je Porušení ochrany osobních údajů, zkráceno na tři (3) pracovní dny).

11.3.5 Zákazník uznává, že provedení auditu během určitých vytížených období pravděpodobně ovlivní řádné plnění Služeb společnosti TopLeader a zásadně naruší jeho podnikání se všemi svými klienty. Proto může Zákazník uplatnit své právo na audit pouze v období od 1. března do 31. května každého roku, aby se snížil počet paralelních auditů (kromě případů Porušení ochrany osobních údajů).

11.3.6 Audity budou prováděny během běžných pracovní hodin a pouze způsobem, který způsobí minimální narušení podnikání společnosti TopLeader, s výhradou koordinace načasování takové návštěvy a v souladu s případnými platnými auditními postupy, aby se snížilo riziko pro ostatní zákazníky společnosti TopLeader. Za žádných okolností nesmí audit provedený zhoršit nebo zpomalit Služby poskytované společností TopLeader nebo ovlivnit organizační řízení společnosti TopLeader.

11.3.7 Informace získané společností TopLeader během auditních operací budou považovány za důvěrné informace a mohou být použity pouze pro účely auditu a nezbytné nápravné opatření, s vyloučením jakéhokoli jiného použití Zákazníkem.

11.3.8 Identická kopie auditní zprávy bude poskytnuta Zákazníkovi a TopLeaderu po dokončení auditu. Strany mohou k této auditní zprávě připojit své připomínky. Tato zpráva může, pokud je to nutné, podléhat dalšímu přezkoumání řídícím výborem.

11.3.9 Náklady na audit souladu nese výhradně Zákazník.

11.3.10 V případě, že auditní zpráva odhalí porušení ze strany společnosti TopLeader s podmínkami této DPA, má TopLeader lhůtu šesti (6) měsíců od komunikace konečné auditní zprávy na poskytnutí a implementaci plánu nápravy, bez nákladů pro Zákazníka. Pokud je to nutné, může TopLeader výjimečně prodloužit tuto lhůtu o tři (3) měsíce po výslovném informování Zákazníka a objektivním odůvodnění takového prodloužení.

11.3.11 Strany zpřístupní informace uvedené v této Klauzuli, včetně výsledků jakýchkoli auditů, na žádost příslušným dozorovým úřadům pro ochranu údajů.

12. Mezinárodní přenosy údajů

12.1 Osobní údaje zákazníka mohou být přenášeny z EU/EEA a Spojeného království do zemí, které nabízejí odpovídající úroveň ochrany údajů podle nebo na základě rozhodnutí o odpovídající ochraně zveřejněného příslušnými dozorovými úřady pro ochranu údajů EEA, EU, členských států nebo Evropské komise („Rozhodnutí o odpovídající ochraně“), bez nutnosti dalšího ochranného opatření.

12.2 Pokud zpracování Osobních údajů zákazníka zahrnuje přenosy z EU/EEA do zemí, které nebyly předmětem Rozhodnutí o odpovídající ochraně, a takový přenos není povolen prostřednictvím alternativních prostředků schválených Evropskou komisí nebo platnými Zákony o ochraně údajů, TopLeader přijme veškeré přiměřené kroky k zajištění, že Osobní údaje zákazníka jsou zpracovávány bezpečně a v souladu se Zákony o ochraně údajů, včetně podpisu smlouvy o přenosu údajů řízené příslušnými Standardními smluvními doložkami.

12.3 Pro přenosy údajů řízené Zákony o ochraně údajů Spojeného království bude použita UK Addendum.

13. Požadavky CCPA

13.1 Zákazník a TopLeader tímto uznávají a souhlasí, že za žádných okolností nebude přenos Osobních informací zákazníka ze Zákazníka na TopLeader podle Smlouvy považován za prodej informací společnosti TopLeader, a že nic v této Smlouvě nebude vykládáno jako poskytování prodeje Osobních údajů zákazníka společnosti TopLeader.

13.2 TopLeader má zakázáno používat nebo zveřejňovat Osobní informace zákazníka k jinému účelu než pro Povolené účely.

13.3 TopLeader nesmí prodávat nebo sdílet Osobní informace zákazníka.

13.4 V rozsahu použitelném na Služby, TopLeader tímto potvrzuje, že rozumí a bude dodržovat požadavky této DPA týkající se CCPA.

14. Odpovědnost

14.1 Jakékoli nároky vznesené podle této DPA budou podléhat podmínkám, včetně, ale nejen, vyloučení a omezení uvedených ve Smlouvě.

14.2 Zákazník uznává, že TopLeader je závislý na Zákazníkovi ohledně pokynů, do jaké míry je TopLeader oprávněn používat a zpracovávat Osobní údaje zákazníka jménem Zákazníka při plnění Služeb. Následně nebude TopLeader odpovědný podle Smlouvy za jakýkoli nárok vznesený Subjektem údajů vyplývající z jakéhokoli jednání nebo opomenutí společnosti TopLeader, v rozsahu, v jakém takové jednání nebo opomenutí bylo přímým důsledkem pokynů Zákazníka nebo nedodržení povinností Zákazníka podle Zákonů o ochraně údajů a TopLeader jednal v souladu s pokyny Zákazníka.

Příloha 1: Předmět a podrobnosti o zpracování údajů

  1. Předmět

Poskytování Služeb společnosti TopLeader Zákazníkovi.

  1. Doba trvání zpracování

Zpracování je prováděno po dobu trvání Smlouvy.

  1. Povaha a účel zpracování

TopLeader bude zpracovávat Osobní údaje zákazníka za účelem poskytování Služeb Zákazníkovi v souladu se Smlouvou. To zejména zahrnuje následující operace zpracování: shromažďování, zaznamenávání, organizace, strukturování, ukládání, přizpůsobování nebo změny, získávání, konzultace, používání, zpřístupnění přenosem, šířením nebo jiným způsobem zpřístupňování, zarovnávání nebo kombinování, omezení, mazání nebo ničení.

  1. Kategorie údajů

Identifikační údaje: jméno, titul a pozice, kontaktní informace (firemní e-mail, telefonní číslo například pro funkci přihlášení), oslovení (Pan/Paní)

Údaje platformy TopLeader:

Přihlašovací údaje, společnost Koučovaného, profilová fotografie Koučovaného (volitelné), IP adresa;

Údaje Koučovacího sezení: přidělený Kouč, počet Koučovacích sezení, zprávy (mezi Koučem a Koučovaným, stejně jako mezi Koučovaným a podporou: datum, obsah, odesílatel, příjemce), koučovací cíle (název, popis, milníky), kritéria výběru Kouče (např. zkušenosti v určitých oblastech), oblasti zaměření koučování (např. řízení času, odolnost, delegování, komunikace), koučovací aktivity (čas, datum, trvání, účastníci)

Token ověření Koučování: „TopLeader-access-token“ pro ověření přihlášeného uživatele;

Informace během videohovorů (pokud nejsou koncově šifrované): Audio-Video-Transmise, ID Koučovaného platformy TopLeader, User Agent, IP adresa Koučovaného, umístění Koučovaného za účelem poskytnutí co nejlepší kvality videa a zvuku - videohovory nejsou nahrávány.

Protokoly zpracování údajů mohou obsahovat:

IP adresa

Metadata Koučovacích sezení včetně sezení přidělených uživateli

ID uživatele

Události autorizace a ověření: Neúspěšné pokusy o přihlášení, udělená práva, odstraněná práva.

  1. Subjekty údajů

Koučovaní

Protikladní partneři Koučovaného (omezeno na případy definované výše v oddílu „Kategorie údajů“, odst. e) Údaje z psychometrického hodnocení)

Příloha 2: Bezpečnostní opatření

  1. Bezpečnost lidí

1.1 Řízení bezpečnosti zaměstnanců

TopLeader udržuje zavedené zásady a postupy navržené k standardizaci nástupu a výstupu zaměstnanců pomocí automatizovaných procesů, umožněných použitím správy identit a přístupu (IAM). Kontroly pozadí jsou prováděny u nových zaměstnanců v souladu s postupy náboru TopLeader a platnými zákony před nástupem. Dohody o důvěrnosti a podmínky přijatého použití jsou v platnosti pro každou stranu.

1.2 Školení o bezpečnostním povědomí

Za účelem podpory kultury, která umožňuje členům pracovní síly TopLeader zabezpečit data a informace bezpečným způsobem, TopLeader udržuje komplexní program školení o bezpečnostním povědomí k pokrytí obecného a rolového školení o bezpečnosti.

1.3 Komunikace a vymáhání zásad

Všechny zásady informační bezpečnosti jsou interně komunikovány a dostupné ke kontrole na centralizovaném místě. Známé porušení zásad podléhá zavedenému disciplinárnímu a vymáhacímu procesu.

  1. Bezpečnost údajů

2.1 Šifrování

Údaje TopLeader jsou šifrovány během přenosu a ukládání pomocí standardních šifer a metod v průmyslu. To zahrnuje použití šifrování AES-256 a šifrování TLS. Klíče šifrování jsou bezpečně uloženy s omezeným přístupem. Pokročilé šifrování je aplikováno na různé vrstvy aplikační infrastruktury, a může zahrnovat diskové, aplikační a databázové šifrování. Sdílení šifrovacích klíčů je zakázáno a postupy správy klíčů jsou přezkoumávány každý rok.

2.2 Kontroly přístupu k produktu

TopLeader poskytuje řadu mechanismů, které pomáhají zákazníkům udržet jejich data bezpečná a ovládat přístup. To zahrnuje řadu kontrol založených na principu nejmenšího oprávnění. Doporučujeme všem zákazníkům, aby povolili integraci do svého Federovaného poskytovatele identity prostřednictvím SAML. Platforma TopLeader je plně responzivní na stolních a přenosných zařízeních. Zabezpečení událostí a protokoly z auditů jsou shromažďovány a průběžně monitorovány k detekci a reakci na anomální chování.

2.3 Síťové kontroly

Platforma TopLeader je postavena na izolovaných, soukromých sítích pomocí bezpečnostních skupin a firewallů v rámci GCP. Veškerý příchozí a interní provoz je omezen na specifické porty. Veškeré sazby, zdroje a typy provozu jsou aktivně monitorovány na různých místech v síti, nad rámec vstupních bodů a firewallů. TopLeader logicky izoluje data zákazníků pomocí technologie aplikačních kontejnerů a jedinečných identifikátorů, což zajišťuje, že přístup k datům zákazníků je omezen pouze na tohoto zákazníka.

2.4 Uchovávání a likvidace údajů

Data zákazníků budou smazána na základě písemné žádosti nebo standardně na konci smluvního vztahu podle Zásad pro mazání údajů společnosti TopLeader. Určité údaje mohou být přímo přístupné/smazatelné Koučovaným přímo v aplikaci TopLeader. Data jsou uchovávána podle potřeby k uspokojení klasifikace údajů a/nebo externích požadavků. Procesy jsou zavedeny pro bezpečnou likvidaci hmotného majetku obsahujícího data zákazníků a berou v úvahu dostupnou technologii, aby data zákazníků nemohla být prakticky čtena nebo obnovena.

  1. SDLC (Životní cyklus bezpečného vývoje)

3.1 Agile Development

TopLeader má specializovaný křížově funkční tým, který řídí Životní cyklus bezpečného vývoje (SDLC), který podporuje principy agilního vývoje. Tato skupina je odpovědná za koordinaci, komunikaci, zjemňování, vývoj a dodržování bezpečnostních kontrol v našich procesech. Aby bylo možné dodávat bezpečné, vysoce kvalitní produkty rychle, TopLeader využívá automatizované bezpečnostní testování k identifikaci jakýchkoli potenciálních zranitelností ve zdrojovém kódu, závislostech a základní infrastruktuře před uvolněním našim zákazníkům.

3.2 Skenerování závislostí a knihoven třetích stran

TopLeader analyzuje závislosti projektů za účelem stanovení zranitelností. Přísná kritéria hodnocení zabraňují odesílání zranitelných závislostí v produktu, dokud nejsou vyřešeny týmy inženýrů.

3.3 Statické testování bezpečnosti aplikací

TopLeader analyzuje zdrojový kód webové aplikace ročně, aby určil chyby, technický dluh a bezpečnostní zranitelnosti. Přísná kritéria hodnocení jsou dodržována inženýrskými týmy, aby byla zajištěna nejen bezpečnost kódu v našich produktech, ale také jeho kvalita. Jakýkoli kód, který nesplňuje tato kritéria, není odesílán, dokud není vyřešen.

3.4 Dynamické testování bezpečnosti aplikací

TopLeader pravidelně provádí automatizované webové aplikační zranitelnostní skeny proti platformě. To umožňuje včasné odhalení chyb, běžných exploitů, bezpečnostních zranitelností a problémů v procesu vývoje. Automatizací tohoto přístupu je TopLeader schopen zlepšit kvalitu a bezpečnost naší platformy pro naše zákazníky.

3.5 Standardy kódu a role-based access control

V souladu s průmyslovými osvědčenými postupy vyvinul TopLeader základní zásady ovládání zdrojového kódu pro zajištění správné hygieny kolem repozitářů kódu podporujících naši platformu. Tyto kontroly jsou vyvinuty v rámci společnosti. Automaticky vynucované kontroly zahrnují mimo jiné: role-based access control, nejmenší oprávnění, vlastnictví kódu a repozitáře, oddělení povinností, ochrany větví a správu tajemství.

  1. Monitorování a reakce na bezpečnostní incidenty

4.1 Protokolování a monitorování

Bezpečnostní protokoly společnosti TopLeader jsou shromažďovány, agregovány a korelovány pomocí centralizovaného řešení pro správu informací a událostí (SIEM). Mechanismy ochrany protokolů v souladu s průmyslovými standardy jsou zavedeny k zajištění integrity generovaných protokolů.

4.2 Reakce na incidenty

TopLeader má zavedené postupy reakce na bezpečnostní incidenty, které budou dodrženy v případě jakéhokoli bezpečnostního narušení. Tyto postupy zahrnují oblasti, které pokrývají role a odpovědnosti, vyšetřování, komunikaci, protokolování událostí a nápravná opatření, která mají být přijata.

4.3 Plánování krizových situací

Dostupnost dat je chráněna prostřednictvím replikace dat a zálohovacích služeb poskytovaných GCP. Zálohy dat jsou prováděny periodicky podle definovaného plánu. TopLeader využívá automatické škálování k centrálnímu nasazení zálohovacích politik k konfiguraci, správě a řízení zálohovacích aktivit napříč zdroji GCP společnosti TopLeader. Plány a procesy pro kontinuity podnikání a obnovy po havárii jsou udržovány pro reakci na nouzové nebo nepříznivé události, které by mohly poškodit data zákazníků nebo produkční systémy obsahující data zákazníků. Cvičení pro testování obnovení dat jsou prováděna dvakrát ročně s použitím metodik založených na osvědčených postupech a různých scénářích. Výsledky testů umožňují TopLeaderu ověřit integritu zálohovaných dat a zajistit dosažení bodů a cílů obnovy (RPO/RTO), jak je definováno v Plánu kontinuity podnikání společnosti TopLeader (BC Plan).

4.4 Penetrační testování

TopLeader využívá služby renomované třetí strany pro nezávislé penetrační testování naší webové aplikace a to tedy ročně. To vedlo k průběžným aktualizacím našich produktů a procesů pro zlepšení bezpečnosti a spolehlivosti. Tyto hodnocení jsou součástí průběžných požadavků na shodu a bezpečnost, aby byl TopLeader považován za důvěryhodného poskytovatele služeb. Zákazníkům je k dispozici redigovaný výkonný souhrn nejnovějšího penetračního testu za podmínky vzájemné dohody o mlčenlivosti.

bottom of page