Bezpečnost ve společnosti Adyen
Zavázali jsme se zabezpečit vaše osobní údaje a abychom svůj závazek účinně plnili, realizovali jsme určitá opatření. Abychom zabránili přístupu nepovolaných osob a stran k vašim údajům, zavedli jsme celou řadu technických a organizačních opatření k zabezpečení a zajištění zpracovávaných údajů. Patří sem:
1. Bezpečnostní program, zásady a personál:
Zavedli jsme a udržujeme program bezpečnosti informací, jehož cílem je identifikovat rizika a zavádět příslušné kontroly. Tento program pravidelně revidujeme, abychom zajistili jeho nepřetržitou efektivitu a přesnost. Disponujeme týmem informační bezpečnosti, který je odpovědný za monitorování, udržování a nepřetržité zlepšování naší bezpečnosti. Máme také zavedeny vhodné a účinné zásady a postupy v oblasti bezpečnosti informací, které vyhovují příslušným předpisům.
2. Audity a certifikace:
Abychom plnili zákonné požadavky a cíle našich vlastních zásad, absolvujeme nezávislé ověřování bezpečnosti a kontroly souladu s předpisy. Aktuální nezávislé audity bezpečnosti informací společnosti Adyen prováděné třetími stranami zahrnují:
a. Mezinárodní standard zabezpečení údajů platebních karet PCI DSS
Standard PCI DSS je souborem nejlepších postupů a pravidel v oblasti bezpečnosti informací, jehož cílem je stanovit „minimální bezpečnostní standard“ ochrany údajů o platebních kartách zákazníků. Společnost Adyen absolvuje minimálně jednou ročně třetí stranou prováděný audit zaměřený na certifikaci našeho produktu a platební platformy podle PCI DSS.
b. SOC 2 (systémy a organizační kontroly 2) typ II
Standard SOC 2 je založen na stávajících kritériích pro důvěryhodné služby (TSC) Rady pro auditorské standardy amerického Institutu certifikovaných veřejných účetních (AICPA). Účelem tohoto standardu je posuzovat informační systémy relevantní pro bezpečnost, dostupnost, důvěrnost a soukromí. Společnost Adyen absolvuje minimálně jednou ročně třetí stranou prováděný audit zaměřený na vhodnost designu našich organizačních kontrol a jejich provozní účinnost.
3. Řízení přístupu a správa privilegií:
Administrativní přístup k našim produkčním systémům omezujeme pouze na schválený personál. Po nástupu do naší společnosti jsou schválenému personálu přiřazeny jedinečné identifikátory a přihlašovací údaje. Po ukončení pracovního poměru takového schváleného personálu, případně tam, kde lze očekávat únik těchto přihlašovacích údajů, je administrativní přístup odebrán. Přístupová práva a úrovně jsou odvozeny od pracovních funkcí a rolí našich zaměstnanců a principů nejnižších privilegií a nutnosti potřeby znalostí pro výkon úkolu, čímž zajišťujeme, že přístupová práva odpovídají definovaným odpovědnostem.
4. Šifrování dat:
Pro účely přenosu dat přes internet v našich uživatelských rozhraních nebo API data vždy šifrujeme (pomocí TLS nebo podobných technologií).
5.Monitorování bezpečnosti a reakce na incidenty:
Máme zavedený proces řízení incidentů pro bezpečnostní události, které mohou ovlivnit důvěrnost, integritu či dostupnost našich systémů nebo dat. Tento proces zahrnuje definované doby reakce, v nichž musí společnost Adyen upozornit příslušné strany. Tento proces stanovuje postupy, procedury oznamování, eskalace, snižování a dokumentace. Program reakce na incidenty zahrnuje centralizované monitorovací systémy funkční 24 hodin denně, 7 dní v týdnu, a personál v pohotovosti připravený reagovat na bezpečnostní incidenty.
6. Fyzická bezpečnost:
V našich fyzických prostorách, jako jsou například datová centra, máme zavedeny kontroly, které brání neoprávněnému fyzickému přístupu. Patří sem: Bezpečnostní kontrolní body, ověřování odznakem (či biometricky), povinné podepsání návštěvníků při příchodu a kamerový systém dohledu.
7. Správa a zabezpečení sítí:
Dodržujeme oborový standard a zabezpečenou síťovou architekturu, což podporujeme dostatečnou šířkou pásma a redundantní síťovou infrastrukturou za účelem snížení dopadů případného selhání jednotlivých komponent. Náš bezpečnostní tým využívá v tomto oboru standardní nástroje k ochraně proti běžným neoprávněným síťovým aktivitám, sleduje bezpečnostní seznamy a vyhledává slabé stránky a také provádí pravidelné externí skenování zranitelnosti a audity.
8. Zabezpečení ve vývojovém procesu
Naše produkty a naše platební platformy jsou navrženy a vyvinuty s ohledem na bezpečnostní postupy a postupy ochrany údajů definované v našem oboru. Dodržujeme zdokumentovaný bezpečný životní cyklus vývoje produktů známý pod zkratkou SSDLC (Secure Software Development Lifecycle) a formální principy vývoje.