FERREROS TEKNISKE OG ORGANISASJONSMESSIGE SIKKERHETSTILTAK

1. GENERELLE KONTROLLER
1.1 Ferrero har implementert behørig dokumentere og jevnlig oppdaterte personvernerklæringer.
1.2 Ferreros personvernprosedyrer blir formelt dokumentert, der det er nødvendig, regelmessig gjennomgått og underbygd av objektive dokumenter (f.eks. møtereferater, lister, IT-logger) som kan bekrefte konstant aktsomhet og årvåkenhet når det gjelder vern av personopplysninger i behandlingsaktivene som bedrives.
1.3 Ferrero har oppnevnt både et sikkerhetsombud og et personvernombud med ansvar for å koordinere og overvåke sikkerhetsregler og prosedyrer samt at personvernet ivaretas.

2. REGISTRERTES RETTIGHETER (ART. 15 et seq. GDPR)
2.1 Ferreros ansatte er kjent med de prosedyrer registrerte skal følge for å utøve deres rett til tilgang og til å henvende seg til behandlingsansvarlig for å utøve sine rettigheter som registrerte.
2.2 Ferrero fører et generelt register der disse henvendelsene, f.eks. vedrørende innsynsretten, registreres.
2.3 Ferrero har utnevnt en person / opprettet en stilling (personvernombud) med ansvar for å gi skriftlige forklaringer til behandlingsansvarlig når det gjelder forespørsler fra registrerte.
2.4 Ferrero har satt en tidsfrist for å formidle forespørsler til behandlingsansvarlig.
2.5 Ferrero har lagd en prosedyre for å dokumentere, skriftlig, eventuelle avslag på registrertes forespørsler om å bruke sin rett til sletting, begrensning av behandling eller dataportabilitet, og for å dele denne dokumentasjonen med behandlingsansvarlig.

3. PERSONVERNERKLÆRING (ART. 13 GDPR) (hvis relevant)
3.1 Ferreros ansatte og andre personer med ansvar for å meddele personvernerklæringer/personvernmeldinger til registrerte og/eller for å innhente registrertes samtykke, er opplært spesielt i personvernreglene.
3.2 Ferrero kontrollerer jevnlig disse ansattes eller andre personers atferd når de har med registrerte å gjøre.
3.3 Når personvernerklæringer/personvernmeldinger gis til registrerte, kan Ferreros ansatte og andre ansvarlige personer tydelig meddele disse registrerte deres rettigheter, enten muntlig eller skriftlig.
3.4 Ferrero journalfører alle kilder det hentes personopplysninger fra.

4. AUTORISERTE PERSONER (ART. 29 GDPR)
4.1 Ferrero har formelt oppnevnt alle autoriserte personer, enten enkeltvis eller som del av homogene kategorier.
4.2 Alle oppnevnte autoriserte personer har mottatt spesifikke skriftlige anvisninger for hvordan de skal behandle og beskytte personopplysninger.
4.3 Ferrero fører en oppdatert liste over autoriserte personer, og alle autoriserte personer får adekvat innføring og opplæring i personvern. Denne opplæringen blir ordentlig dokumentert.
4.4 Adkomstprivilegier gitt til autoriserte personer er adekvate og blir oppdatert. Anvisninger som gis til autoriserte personer blir oppdatert. Dette bekreftes jevnlig.

5. OPPLÆRING
5.1 Nyrekrutterte får grundig veiledning før de begynner å behandle personopplysninger.
5.2 Ansattes integritet og pålitelighet vurderes før de betros aktiviteter som omfatter tilgang til personopplysninger.
5.3 Alle autoriserte personer blir jevnlig oppdatert om sikkerhetsforhold.
5.4 Ferrero formidler sikkerhetsretningslinjer til alle autoriserte personer.
5.5 Ferrero oppbevarer dokumentasjon for å støtte og vise gjennomførte opplæringsaktiviteter.

6. PRINSIPPER FOR INFORMASJONSSIKKERHET
6.1 Ferrero har definert et sett med kriterier og prinsipper for å klargjøre holdningen og støtten til informasjonssikkerhet, samt sikkerhetskontroller av mobile enheter og fjernarbeid (f.eks. telependling, fjerntilgang og virtuelle arbeidsplasser).
6.2 Ferrero har definert separate roller og separat ansvar for informasjonssikkerhet og tilordnet dem til egnede enkeltpersoner for å unngå interessekonflikter og forebygge eventuelle upassende aktiviteter.
6.3 Ferrero har inngått adekvate avtaler med underbehandler(e) som pålegger dem å implementere egnede tekniske og organisasjonsmessige sikkerhetstiltak hva angår personvern.

7. PERSONELLSIKKERHET
7.1 Informasjonssikkerhetsansvar vurderes, før ansettelse, ved rekruttering eller valg av ansatte, underleverandører og midlertidig ansatte (f.eks. med stillingsbeskrivelser for ledige stillinger eller gjennomgang før ansettelse) og er tatt inn i ansettelses- eller andre tjenesteavtaler (f.eks. i ansettelsesvilkår og eventuelle andre undertegnede avtaler som definerer roller og ansvar i forbindelse med sikkerhet, med samsvarsforpliktelser osv.).
7.2 Ferreros ledere kan sikre, under ansettelsesforholdet, at ansatte, underleverandører og midlertidig ansatte blir gjort klar over og instrueres til å følge deres informasjonssikkerhetsforpliktelser, og gjøres oppmerksomme på muligheten for at de vil bli gjenstand for formelle disiplinærprosesser dersom de forårsaker informasjonssikkerhetshendelser.
7.3 Ferrero har formelle disiplinærprosesser som kan utløses ved informasjonssikkerhetshendelser som forårsakes av ansatte, underleverandører eller midlertidig ansatte.
7.4 Når en person slutter i Ferrero, eller hvis det er betydelige endringer i roller og ansvar, så vil alle aspekter relatert til sikkerhet behandles, f.eks. gjennom forpliktelser om å returnere all bedriftsinformasjon og utstyr som tilhører bedriften, oppdatering av tilgangsrettigheter/autorisasjoner samt påminnelser til involverte personer om deres løpende forpliktelser vedrørende personvern, åndsverk, løpende kontraktsvilkår og annet, inkludert etiske forventninger til dem.
7.5 Autoriserte personer mottar spesifikke anvisninger for hvordan de sletter eller destruerer informasjon på lagringsmedier før de brukes på nytt.

8. AKTIVASTYRING
8.1 Ferrero har en liste over alle sine informasjonsaktiva, og personer som oppbevarer disse aktivaene er identifisert for å sikre noen er ansvarlige for disse aktivaenes sikkerhet. Ferrero har definert retningslinjer for «akseptabel bruk» for disse aktivaene.
8.2Informasjonslagringsmedier håndteres, kontrolleres, transporteres og kasseres på en måte som ikke gjør den lagrede informasjonen tilgjengelig for uvedkommende.
8.3 Ferrero har et hensiktsmessig antall sikre kasser e.l., tilfredsstillende fordelt og tilgjengelig for personer med ansvar for oppbevaring (også midlertidig) av personopplysninger i noen form (papir, elektronisk eller annet).
8.4 Ferrero har implementert kontroller for å unngå at dokumenter som inneholder spesielle kategorier personopplysninger er uten tilsyn når de overlates til autoriserte personer og tas ut av deres beskyttede arkiver.
8.5 Autoriserte personer enkel tilgang til og kan bruke makuleringsmaskiner.
8.6 Ferrero har implementert en egnet løsning for bruk, oppbevaring og makulering av papirdokumenter.
8.7 Papirdokumenter som inneholder spesielle kategorier personopplysninger blir slettet eller – fortrinnsvis – destruert før gjenbruk.

9. ADGANGSKONTROLL
9.1 Ferreros organisasjonsmessige krav til adgangskontroll til informasjonsaktiva er tydelig dokumentert i en adgangskontrollpolicy/prosedyre, og adgangen til Ferreros nettverk og forbindelser er begrenset.
9.2 Brukere gjøres oppmerksomme på deres ansvar vedrørende opprettholdelse av effektiv adgangskontroll, som å velge sterke passord og sørge for at de er konfidensielle.
9.3 Adgang til informasjon er begrenset i samsvar med Ferreros adgangskontrollpolicy/prosedyre, f.eks. ved hjelp av sikre innloggingssystemer, passordhåndtering, privilegert adgangskontroll og begrenset adgang til kildekoder.
9.4 Ferrero kontrollerer adgangen til følsomme områder. Personer som skal aksessere disse følsomme områdene må innhente autorisasjon til å gjøre dette.
9.5 Følsomme områder er utstyrt med elektronisk adgangskontrollverktøy eller underlagt egnet kontroll på annet vis.
9.6 Ferrero går jevnlig gjennom adgangsloggene til de følsomme områdene, eksempelvis serverrom, for å påvise irregulær adgang.

10. FYSISK OG MILJØMESSIG SIKKERHET
10.1 Ferrero har klart definerte fysiske grenser og sperrer, med fysisk adgangskontroll og interne prosedyrer for å beskytte sine eiendommer, kontorer, rom, laste/losseområder osv. mot uautorisert tilgang (beskyttelse mot brann, oversvømmelse, jordskjelv, bomber osv.).
10.2 Ferrero kan bekrefte at utstyr og/eller informasjon ikke fjernes fra eiendommene uten at tillatelse er innhentet, og at den er adekvat beskyttet enten den er på eller utenfor eiendommene.
10.3 Informasjon oppbevart på informasjonslagringsmedier destrueres før disse mediene kasseres eller gjenbrukes.
10.4 Alt utstyr uten tilsyn er beskyttet, og det finnes en spesifikk plass og tydelig kontrollpolicy for nevnte utstyr.

11. DRIFTSSIKKERHET
11.1 Kontroller med henblikk på skadelig programvare er implementert og opprettholdt.
11.2 Egnede sikkerhetskopier tas og opprettholdes i henhold til Ferreros policy for sikkerhetskopiering.
11.3 Sikkerhetskopieringen testes. Resultatene dokumenteres og registreres.

12. AUTENTISERING OG OVERVÅKING
12.1 Tidskontrollsystemer er synkronisert for å sikre sporingsdataenes tidskonsistens.
12.2 Ferrero følger prinsippet med minste rettigheter og gir autorisert tilgang for brukere på bakgrunn av deres stillingsfunksjoner.

13. TEKNISK SÅRBARHETSKONTROLL
13.1 Ferrero kan bekrefte at det er utviklet en sårbarhetskontrollprosess for å identifisere sikkerhetssvakheter ved hjelp av pålitelige eksterne kilder og ved å risikoklassifisere sikkerhetssvakheter.
13.2 Systemkomponenter og programvareoppdateringer knyttet styrking av kjente svakheter evalueres for å fastslå deres anvendelighet, testes før installering hvis de er egnet, og implementeres på en ordentlig måte.
13.3 Regler for brukeres programvareinstallering er implementert for å hindre at det oppstår nye svakheter.
13.4 Ferrero har definert og implementert en inntrengningstestprosess på programnivå og infrastrukturnivå.

14. KOMUNIKASJONSSIKKERHET
14.1 Sikkerheten til Ferreros nettverk og nettverkstjenester er beskyttet, f.eks. med nettverkssegregering.
14.2 Ferrero har implementert beskyttelsestiltak for å kontrollere kommunikasjon ved infrastrukturens interne og eksterne grenser.
14.3 Ferrero har implementert planer, prosedyrer og avtaler (f.eks. fortrolighetsavtaler, avtaler om behandling av personopplysninger) vedrørende overføring av informasjon til/fra tredjepart, inkludert via elektroniske meldingstjenester.
14.4 Ferrero har implementert sikre kanaler (f.eks. krypterte protokoller ved tilkopling til konsernnettverket og/eller VPN ved fjerntilkoplinger) for kommunikasjon mellom informasjonssystemene og konsernnettverket.

15. ANSKAFFELSE, UTVIKLING OG VEDLIKEHOLD AV SYSTEM
15.1 Ferrero analyserer og spesifiserer sikkerhetskontrollkrav, inkludert for nettapplikasjoner og -transaksjoner.
15.2 Regler for programvaresikkerhet / systemutvikling er definert i henhold til Ferreros interne policy.
15.3 Endringer håndteres, utføres, gjennomgås og godkjennes (ideelt via et verktøy) i et eget miljø før de settes i produksjon.
15.4 Endringer i konfigureringen av applikasjonsparametre autoriseres før de implementeres, og valideres etter at de er gjennomført.
15.5 Programvarepakker blir ikke modifisert, og konstruksjonsprinsipper for systemsikkerhet respekteres.
15.6 Utviklings-, test- og produksjonsnivåer er adskilt for å unngå uautorisert tilgang eller endringer i produksjonssystemer og kodelagringsobjekter.
15.7 Alle testdata blir omhyggelig utvalgt, generert og kontrollert.

16. FORHOLD TIL LEVERANDØRER
16.1 Ferrero har implementert planer, prosedyrer, bevissthetsfremmende aktiviteter osv. for å beskytte organisasjonsinformasjon som er tilgjengelig for IT-leverandører og andre eksterne leverandører (uavhengig av om disse er underbehandlere eller ikke) gjennom hele forsyningskjeden. Disse er gjengitt i skriftlige avtaler med disse enhetene.

17. HÅNDTERING AV INFORMASJONSSIKKERHETSHENDELSER
17.1 Ferrero har implementert ansvar og prosedyrer for å håndtere (rapportere, evaluere, respondere på og lære av) informasjonssikkerhetshendelser, hendelser og svakheter, inkludert brudd på personopplysningsbestemmelser, på en sammenhengende og effektiv måte, for å gi rettidig rapport til behandlingsansvarlig, samt passende kriminaltekniske bevis der det er nødvendig.

18. INFORMASJONSSIKKERHETSASPEKTER VEDRØRENDE KONTINUITETSPLANLEGGING
18.1 Ferrero har planlagt, implementert, testet og gjennomgått informasjonssikkerhetskontinuitet som et integrert ledd i foretakets kontinuitetssystemer.
19.2 Ferrero har tilstrekkelig redundans til å møte tilgjengelighetsbehov.

19. SAMSVAR
19.1 Ferrero har identifisert og dokument sin informasjon i sikkerhetsforpliktelser til myndigheter (inkludert tilsynsmyndighet) og andre tredjeparter, også hva angår immaterielle rettigheter, bedrifts- og andre opplysninger, personvern og kryptering.

Sist oppdatert: Juni 2018