FERREROS TEKNISKE & ORGANISATORISKE SIKKERHEDSFORANSTALTNINGER

1. GENERELLE FORANSTALTNINGER
1.1 Ferrero har implementeret behørigt dokumenterede og jævnligt opdaterede retningslinjer for beskyttelse af personoplysninger.
1.2 Ferreros procedurer for beskyttelse af personoplysninger er formelt dokumenterede og bliver ved behov jævnligt gennemgået og underbygget med objektive dokumenter (f.eks. mødereferater, lister, IT-logfiler), der demonstrerer konstant omhu og årvågenhed vedrørende beskyttelse af personoplysninger i de behandlingsaktiviteter, der udføres.
1.3 Ferrero har både udpeget en sikkerhedsansvarlig og en databeskyttelsesansvarlig (DPO), som er ansvarlige for at koordinere og overvåge sikkerhedsreglerne samt overholdelsen af reglerne om databeskyttelse.

2. DEN REGISTREREDES RETTIGHEDER (ART. 15 et ff. i GDPR)
2.1 Ferreros medarbejdere er bevidste om procedurerne for de registreredes udøvelse af deres indsigtsret og for viderekommunikation af anmodninger om udøvelse af de registreredes rettigheder til den dataansvarlige.
2.2 Ferrero fører et generelt register, hvor disse anmodninger – f.eks. om udøvelse af indsigtsret – noteres.
2.3 Ferrero har udpeget en person/funktion (DPO'en), som er ansvarlig for at forsyne den dataansvarlige med skriftlige forklaringer vedrørende anmodninger fra registrerede.
2.4 Ferrero har fastsat en tidsfrist for kommunikation af anmodninger til den dataansvarlige.
2.5 Ferrero har en procedure for skriftlig dokumentation af eventuelle afslag på de registreredes anmodninger om at udøve deres ret til sletning, begrænsning af behandling eller dataportabilitet, og for deling af denne dokumentation med den dataansvarlige.

3. RETNINGSLINJER FOR DATABESKYTTELSE (ART. 13 i GDPR) (hvor relevant)
3.1 Ferreros medarbejdere og øvrige personer, som er ansvarlige for at tilbyde retningslinjer for databeskyttelse/meddelelser om beskyttelse af personoplysninger til registrerede og/eller indhente registreredes samtykke, også på vegne af den dataansvarlige, er specielt uddannet vedrørende regler for beskyttelse af personoplysninger.
3.2 Ferrero tjekker med jævne mellemrum disse medarbejderes eller øvrige personers adfærd under deres behandling af de registrerede.
3.3 Når Ferreros medarbejdere og øvrige ansvarlige personer tilbyder de registrerede retningslinjer for databeskyttelse/meddelelser om beskyttelse af personoplysninger, er de i stand til klart at informere disse registrerede om deres rettigheder, enten mundtligt eller skriftligt.
3.4 Ferrero fører protokoller over alle kilder, hvorfra der indhentes personoplysninger.

4. AUTORISEREDE PERSONER (ART. 29 i GDPR)
4.1 Ferrero har gennemført formelle udnævnelser for alle autoriserede personer, enten individuelt eller som en del af homogene kategorier.
4.2 Alle udnævnte autoriserede personer har modtaget specifikke skriftlige anvisninger på, hvordan de skal behandle og beskytte personoplysninger.
4.3 Ferrero fører en opdateret liste over autoriserede personer, og alle autoriserede personer modtager passende træning og undervisning i beskyttelse af personoplysninger. Uddannelsen dokumenteres korrekt.
4.4 Adgangsprivilegier, som er tildelt autoriserede personer, er passende og bliver opdateret. De anvisninger, som gives til autoriserede personer, bliver opdateret. Dette bekræftes med jævne mellemrum.

5. UNDERVISNING
5.1 Nyansatte medarbejdere bliver behørigt instrueret, før de begynder at behandle personoplysninger.
5.2 Medarbejdernes integritet og pålidelighed vurderes, før de bliver betroet aktiviteter, som involverer adgang til personoplysninger.
5.3 Alle autoriserede personer modtager jævnligt driftsmæssige opdateringer om sikkerhed.
5.4 Ferrero distribuerer sikkerhedsretningslinjer til alle autoriserede personer.
5.5 Ferrero opbevarer dokumentation til understøttelse og påvisning af de udførte undervisningsaktiviteter.

6. RETNINGSLINJER FOR INFORMATIONSSIKKERHED
6.1 Ferrero har fastlagt et sæt kriterier og retningslinjer for at afklare virksomhedens holding til og understøttelse af informationssikkerheden samt sikkerhedsforanstaltninger vedrørende mobile enheder og fjernarbejde (som f.eks. telekommunikation, fjernadgang og virtuelle arbejdspladser).
6.2 Ferrero har fastlagt særskilte roller og ansvarsområder for informationssikkerhed og tildelt dem til de relevante personer med henblik på at undgå interessekonflikter og forhindre eventuelle upassende aktiviteter.
6.3 Ferrero har indgået passende aftaler med underdatabehandlere, som pålægger disse at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger vedrørende beskyttelse af personoplysninger.

7. HR-SIKKERHED
7.1 Informationssikkerhedsansvaret tages i betragtning forud for engagering, ved ansættelse eller udvælgelse af medarbejdere, underleverandører og midlertidigt personale (f.eks. ved hjælp af passende stillingsbeskrivelser eller sortering før ansættelse) og inkluderes i medarbejder- eller andre serviceaftaler (f.eks. i betingelser og vilkår for ansættelse og i alle andre underskrevne aftaler, som definerer roller og ansvarsområder relateret til sikkerhed, ved overholdelse af forpligtelser mv.).
7.2 Ferreros ledere er gennem hele ansættelsesforløbet i stand til at sikre, at medarbejdere, underleverandører og midlertidigt personale bliver gjort bekendt med og instrueret i at overholde deres informationssikkerhedsforpligtelser, og bliver informeret om muligheden for at blive gjort til genstand for formelle disciplinære foranstaltninger i tilfælde af hændelser omkring informationssikkerhed, som de er skyld i.
7.3 Ferrero har etableret formelle, disciplinære foranstaltninger, som kan blive udløst i tilfælde af informationssikkerhedshændelser forårsaget af medarbejdere, underleverandører og midlertidigt personale.
7.4 Når en person forlader Ferrero, eller når der opstår væsentlige ændringer af roller og ansvarsområder, bliver alle aspekter omkring sikkerhed håndteret, f.eks. ved hjælp af forpligtelser til at returnere alle virksomhedsinformationer og virksomhedsudstyr, opdatering af adgangsrettigheder/tilladelser samt påmindelser til de involverede personer om deres fortsatte forpligtelser vedrørende beskyttelse af personoplysninger, immateriel ejendomsret, stadig gældende kontraktvilkår og andet, herunder de etiske forventninger som påhviler dem.
7.5 Autoriserede personer modtager specifikke anvisninger på, hvordan de sletter eller tilintetgør informationer indeholdt i lagringsmedier, før disse genbruges.

8. HÅNDTERING AF AKTIVER
8.1 Ferrero fører en komplet fortegnelse over samtlige sine informationsaktiver, og personer, der er i besiddelse af disse aktiver, er identificeret med henblik på at sikre ansvarlighed for disse aktivers sikkerhed. Ferrero har defineret retningslinjer for "acceptabel brug" af disse aktiver.
8.2 Informationslagringsmedier håndteres, reguleres, transporteres og bortskaffes på en sådan måde, at indholdet af de lagrede oplysninger ikke kompromitteres.
8.3 Ferrero råder over et passende antal sikre containere, som er tilstrækkeligt distribueret og tilgængelige for personer, der har ansvaret for opbevaring (selv midlertidigt) af personoplysninger i nogen form (papir, elektronisk eller andet).
8.4 Ferrero har implementeret foranstaltninger for at undgå, at dokumenter indeholdende særlige kategorier af personoplysninger efterlades uden opsyn, når de overlades til autoriserede personer og fjernes fra deres beskyttede arkiver.
8.5 Autoriserede personer har nem adgang til og anvender papirmakulatorer.
8.6 Ferrero har implementeret passende retningslinjer for anvendelse, opbevaring og destruktion af papirdokumenter.
8.7 Papirdokumenter indeholdende særlige kategorier af personoplysninger bliver slettet, eller helst destrueret, før de genbruges.

9. ADGANGSKONTROL
9.1 Ferreros organisatoriske krav, når det gælder adgangskontrol til informationsaktiver, er tydeligt dokumenteret i en række retningslinjer/procedurer for adgangskontrol, og adgangen til Ferreros netværk og forbindelser er begrænset.
9.2 Brugere bliver gjort bekendt med deres ansvar vedrørende opretholdelse af effektiv adgangskontrol, som f.eks. at vælge stærke adgangskoder og holde disse fortrolige.
9.3 Adgang til informationer er begrænset i overensstemmelse med Ferreros retningslinjer/procedurer for adgangskontrol, f.eks. ved hjælp af sikre indlogningssystemer, adgangskodehåndtering, priviligeret adgangskontrol og begrænset adgang til kildekoder.
9.4 Ferrero styrer adgangen til følsomme områder. Personer, der ønsker adgang til disse følsomme områder, skal indhente forudgående tilladelse til dette.
9.5 Følsomme områder er udstyret med udstyr til elektronisk adgangskontrol eller er på anden måde underlagt passende overvågning.
9.6 Ferrero gennemgår hyppigt adgangslogfilerne til følsomme områder, såsom serverrum, for at opdage tilfælde af uberettiget adgang.

10. FYSISK OG MILJØMÆSSIG SIKKERHED
10.1 Ferrero har klart definerede fysiske rammer og barrierer, med fysisk adgangskontrol og interne procedurer til beskyttelse af lokaler, kontorer, rum, lastnings-/aflæsningsområder mv. mod uautoriseret adgang (beskyttelse mod brand, oversvømmelse, jordskælv, bomber mv.).
10.2 Ferrero kan bekræfte, at udstyr og/eller informationer ikke fjernes fra området uden forudgående tilladelse og er beskyttet på passende vis, hvad enten de befinder sig på området eller ej.
10.3 Informationer indeholdt i informationslagringsmedier destrueres, før disse medier bortskaffes eller genbruges.
10.4 Alt uovervåget udstyr er beskyttet, og der findes et specifikt sted og klare håndteringsretningslinjer for dette udstyr.

11. DRIFTSMÆSSIG SIKKERHED
11.1 Foranstaltninger mod malware er implementeret og vedligeholdes.
11.2 Passende sikkerhedskopieringer udføres og vedligeholdes i overensstemmelse med Ferreros retningslinjer for sikkerhedskopiering.
11.3 Sikkerhedskopierne testes. Resultaterne dokumenteres og registreres.

12. AUTENTIFIKATION OG OVERVÅGNING
12.1 Tidsregistreringssystemer synkroniseres for at sikre tidsmæssig ensartethed i sporingsdata.
12.2 Ferrero følger princippet om færrest mulige privilegier ("least privilege"), som giver autoriseret adgang til brugere baseret på deres jobfunktioner.

13. HÅNDTERING AF TEKNISK SÅRBARHED
13.1 Ferrero kan bekræfte, at der er udviklet en proces til håndtering af sårbarhed med henblik på at identificere sikkerhedsbrister, hvor der anvendes betroede eksterne kilder til sårbarhedsinformation og tilknyttes en risikoklassifikation til sikkerhedsbrister.
13.2 Systemkomponenter og softwareopdateringer relateret til afhjælpning af kendte sårbarheder evalueres for at bestemme deres anvendelighed, testes om nødvendigt før installation, og implementeres rettidigt.
13.3 Der er implementeret regler for softwareinstallation udført af brugere for at forhindre skabelsen af nye sårbarheder.
13.4 Ferrero har defineret og implementeret en procedure for penetrationsafprøvning på applikationsniveau og infrastrukturniveau.

14. KOMMUNIKATIONSSIKKERHED
14.1 Sikkerheden i Ferreros netværk og netværkstjenester er beskyttet, f.eks. ved hjælp af netværksadskillelse.
14.2 Ferrero har implementeret beskyttelsesforanstaltninger til håndtering af kommunikation ved infrastrukturens interne & eksterne grænser.
14.3 Ferrero har implementeret retningslinjer, procedurer og aftaler (f.eks. aftaler om tavshedspligt, aftaler om beskyttelse af personoplysninger) vedrørende overførsel af informationer til/fra tredjepart, bl.a. ved hjælp af elektroniske meddelelser.
14.4 Ferrero har implementeret sikre kanaler (f.eks. krypterede protokoller ved opkobling til virksomhedens netværk, og/eller VPN i tilfælde af fjernopkoblinger) for kommunikation mellem informationssystemer og virksomhedens netværk.

15. SYSTEMINDKØB, -UDVIKLING OG -VEDLIGEHOLDELSE
15.1 Ferrero analyserer og specificerer krav til sikkerhedskontrol, herunder webapplikationer og transaktioner.
15.2 Der er fastlagt regler til regulering af softwaresikkerhed/systemudvikling i overensstemmelse med Ferreros interne retningslinjer.
15.3 Ændringer håndteres, gennemføres, gennemgås og godkendes (ideelt set via et værktøj) i et dedikeret miljø, før de overføres til produktionen.
15.4 Ændringer i konfigurationen af applikationsparametre autoriseres før implementering og valideres efter gennemførelse.
15.5 Softwarepakker modificeres ikke, og konstruktionsprincipperne i systemsikkerheden respekteres.
15.6 Udviklings-, test- og produktionsmiljøer er adskilt for at undgå uautoriseret adgang til eller ændringer af produktionssystemer og koderegistre.
15.7 Alle testdata udvælges, genereres og håndteres omhyggeligt.

16. FORHOLD TIL LEVERANDØRER
16.1 Ferrero har implementeret retningslinjer, procedurer, bevidsthedsfremmende aktiviteter mv. for at beskytte organisatoriske informationer, som er tilgængelige for IT-underleverandører og andre eksterne leverandører (uanset om disse er underdatabehandlere eller ej) over hele forsyningskæden. Disse afspejles i skriftlige aftaler underskrevet af disse parter.

17. HÅNDTERING AF HÆNDELSER OMKRING INFORMATIONSSIKKERHED
17.1 Ferrero har implementeret ansvarsområder og procedurer til håndtering (indberetning, vurdering, respons og læring af) hændelser inden for informationssikkerhed, hændelser og sårbarheder, herunder personoplysningsbrister, på en sammenhængende og effektiv måde, der muliggør rettidig indberetning til den dataansvarlige samt, hvor det er nødvendigt, indsamling af passende kriminalteknisk bevismateriale.

18. INFORMATIONSSIKKERHEDSASPEKTER VEDRØRENDE HÅNDTERING AF DRIFTSKONTINUITET
18.1 Ferrero har en planlagt informationssikkerhedskontinuitet, implementeret, testet og gennemgået som en integreret del af virksomhedens systemer til håndtering af driftskontinuitet.
18.2 Ferrero har tilstrækkelig redundans til at opfylde kravene om tilgængelighed.

19. OVERHOLDELSE
19.1 Ferrero har identificeret og dokumenteret sine forpligtelser omkring informationssikkerhed over for myndighederne (herunder tilsynsmyndigheder) og andre tredjeparter, bl.a. vedrørende immateriel ejendomsret, virksomheds- eller andre arkiver, beskyttelse af personoplysninger og kryptering.

Seneste opdatering: Juni 2018