Tyto internetové stránky využívají cookies k ukládání informací na Vašem počítači. Cookies používáme výhradně pro identifikaci návštěvníka a personalizaci webu. Vyjádřete souhlas, že smíme používat cookies:

SouhlasímOdejít

Konzultace, školení, řešení

Konzultace

Každá společnost je unikátní, má jiné potřeby, zdroje a svá specifika. Proto i my se přizpůsobíme Vaším potřebám a poskytneme Vám konzultace.
V rámci konzultací s Vámi probereme individuální potřeby a pomůžeme Vám, připravit se na nezbytné změny.

Školení

Poskytujeme vnitropodniková školení, která jsou přizpůsobena požadavkům konkrétního klienta. Termín a místo konání si zvolí klient dle jeho potřeb pro jakýkoli počet zaměstnanců.
Základ našeho portfolia tvoří vysoce specializovaná školení pro manažery a dále praktické školení – trénink oprávněných osob pro zaměstnance, které poslouží jako jedno z možných organizačních opatření vyžadovaných legislativou.
Na základě Vašich potřeb rádi připravíme individuální školení na míru nebo se přihlásit do aktuálních kurzů: .

Management ICT/IS a kybernetické bezpečnosti

ISO 2700x

Analýza rizik, Politika bezpečnosti, Správa a dohled sítí.
    

Služby spojené s povinnostmi uloženými Zákonem o kybernetické bezpečnosti

Analýzu stávajícího stavu

audit bezpečnostní politiky, audit zabezpečení HW a SW, testy zranitelností , penetrační testy, posouzení rizik a soupis doporučení, případná příprava na certifikaci ISO 27000. Audit bezpečnostní politiky, bezpečnosti sítě a systému a aplikací, audit zabezpečení dat a přenášených informací, audit monitorování, vyhodnocování a přijímání opatření, audit systému řízení rizik, audit řízení bezpečnosti informací, penetrační testy, testy zranitelností, posouzení rizik a soupis doporučení na pro přípravu na zavedení standartu PCI DSS

Implementace ZoKB

Audit úpravy bezpečnosti politiky

▪ řízení politiky provozu a komunikace
▪ řízení změn
▪ řízení bezpečnostních rolí
▪ řízení přístupů
▪ řízení významných změn
▪ zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
▪ detekce kybernetických bezpečnostních událostí
▪ sběr a vyhodnocování kybernetických bezpečnostních

audit aktiv

▪ primárních, podpůrných a technických aktiv
▪ metodiky řízení aktiv
▪ návrh změn pro hodnocení aktiv
▪ pravidla pro řízení aktiv
▪ likvidace aktiv
  • audit systém řízení rizik
  • audit úpravy systému řízení bezpečnosti řízení informací
  • audit správy pro ověřování a správu identit
  • audit významných dodavatelů, smluvních vztahů a řízení dodavatelů
  • audit hlášení kybernetických bezpečnostních incidentů
  • školení zaměstnanců

Služby spojené s GDPR a další legislativou

Vstupní analýza stávajícího stavu

Na základě sběru informací a s pomocí těch správných otázek, Vám pomůžeme identifikovat klíčové oblasti, provedeme analýzu současného stavu, včetně posouzení míry souladu s nařízením GDPR. Vytvoříme zprávu, ze které se dozvíte, které oblasti Vaší organizace podléhají regulaci GDPR. Jaké požadavky na Vás GDPR klade. Kde má Vaše společnost bezpečnostní mezery. 
Vstupní analýza stávajícího stavu ochrany osobních údajů má za cíl zjistit a vyhodnotit následující oblasti :
  1. Osobní údaje – zjistíme rozsah a potřebnost zpracovaných osobních údajů, právní tituly, přiměřenost ke zpracovaným osobním údajům.
  2. Role firmy - identifikujeme, v jaké roli jste.
  3. Účely - identifikujeme seznam účelů, pro která jsou osobní údaje zpracovávány.
  4. Zpracování osobních údajů - Zjistíme, kde všude se osobní údaje zpracovávají,
  5. Kdo, která oddělení, s osobními údaji pracují a pro jaké účely zpracovávají. Zjistíme, jak jsou likvidována a aktualizovány. Zjistíme zda využíváte os. data k profilování nebo zda data dále zpracováváte.
  6. Poskytování osobních údajů třetím stranám – identifikujeme, zda předáváte osobní údaje třetím stranám. 
  7. Ochrana osobních údajů – popíšeme jakým způsobem data chráníte. 
  8. Práva fyzických osob – zjistíme, zda jste připraveni na splnění nových podmínek v oblasti práv na výmaz, změnu, přenos a přístup k subjektů ke svým os. datům.
  9. Úroveň a rozsah kontrolní činnosti a evidence nakládání s daty.

Návrh řešení a změn

Na základě závěrů ze vstupní analýzy, která je v podstatě „provedením komplexní inventury“ rozsahu a stavu zpracování osobních údajů, navrhneme a vypracujeme komplexní návrh řešení a změn potřebných pro dosažení souladu s GDPR.

Audity zpracování osobních údajů a revize všech procesů, změny smluv a právních ujednání

Po zmapování stávajícího stavu na jednotlivé požadavky GDPR, navrhneme chybějící procesy a činnosti pro soulad s GDPR. Připravíme dokumentaci v podobě vnitřních předpisů. Úpravy ve vztazích mezi organizací a jejími klienty/občany, dodavateli, kontrolními orgány a dalšími stranami.
Cílem této změny je provést takovou úpravu procesů pracujících s osobními údaji, aby se zefektivnilo nakládání s nimi a současně se minimalizovalo jejich uložené, zpracovávané a přenášené množství. Snížení množství těchto údajů na nezbytné minimum zmenšuje rozsah, ve kterém je nutné přijímat opatření pro jejich ochranu.

Projektový management změn

Cílem tohoto návrhu je Plán dosažení souladu s GDPR. Jde o podrobné stanovení dílčích úkolů a postupu jejich realizace pro dosažení souladu s GDPR. 
Zároveň Vám zajistíme experta v řízení projektů, který Vás provede managementem změn. 

DPIA - Posouzení vlivu na ochranu osobních údajů

Provedeme posouzení vlivu na ochranu osobních údajů v případech, kdy bude vyhodnoceno vysoké riziko při zpracování osobních údajů (rozsáhlé evidence osobních údajů zpracovávané elektronicky, rozsáhlé evidence zvláštních kategorií údajů (obdoba stávajících „citlivých údajů“), a zpracujeme dopadovou analýzu, kterou za Vás následně zkonzultujeme s UOOU.

Audit plnění povinností dle GDPR

Pokud jste již zavedli všechny potřebné opatření pro splnění souladu s nařízením 2016/679, provedeme kontrolní audit ve společnosti. Posoudíme zda jsou plněna všechny povinnosti organizace. Prověříme fungování zavedených technických a organizačních opatření. Prověříme připravenost na plnění práv subjektu údajů. Prověříme proces hlášení incidentů. Zjistíme zda Váš DPO (pověřenec pro ochranu osobních údajů) je kvalifikovaný a plní své povinnosti dle zásad nařízení. Prověříme zda zaměstnanci jsou plně seznámeni a dodržují interní směrnice. Výsledkem je protokol o provedení a výsledku auditu, který můžete zahrnout do dokumentace prokazující plnění povinností dle nařízení GDPR.

Zpracování dokumentace

dle §40 odst 2. zákona xx/2019 Sb - přijatá provedená technická a organizační opatření k zajištění ochrany osobních údajů.


Penetrační testy

·  Test zranitelností

o Test infrastruktury - zaměřen na použitou platformu (OS, webový server, databázový server, ftp server, VPN server). Vyhledávají se zranitelná místa na základě nedostatečného zabezpečení přístupu, chybné konfigurace, nedostatečné úrovně komunikačních protokolů, či neaktualizovaného software a veřejně známých zranitelností

o Test aplikačního prostředí - zaměřen na samotnou aplikaci. Vyhledávají se chyby aplikace, neošetřené vstupy a výstupy které je možno zneužít k průniku do aplikace.

·  Penetrační testy

o při detekci zranitelnosti může následovat penetrační test, kterým je zjišťování kam až lze díky zranitelnosti cílovou aplikaci či systém ovládnout, znepřístupnit či jaká data neřízeně získat

o penetrační test může mít destruktivní charakter tudíž by cílová testovaná aplikace či systém měl být na testovacím prostředí nebo minimálně zálohován, aby bylo možno provoz obnovit

o testy zranitelností by neměli chod aplikace či systému ohrozit v případě, že je aplikace či systém neobsahuje kritické chyby zabezpečení

o samostatným typem penetračního testu je slovníkový útok (hrubou silou)

·  Monitoring vnitřní sítě

o provádí se pomocí sondy připojené do vnitřní sítě po dobu trvání testu

o sledují se spojení a tok dat v síti za účelem detekce anomálií a podezřelého provozu v síti. Cílem je odhalit potencionální hrozby ze stran uživatelů (neoprávněné přístupy, rizikové chování v síti) či software (spyware, viry apod.)

o test zranitelností bezdrátové konektivity

·  Zátěžové testy

o útoky typu DoS či DDoS s cílem znepřístupnit cílovou aplikaci či systém

·  Testy sociálního inženýrství

o Phishingový test - pokud o získání informací od zaměstnanců společnosti manipulací a vylákáním předstíráním jiné osoby (nadřízeného, administrátora, úřední osoby apod.) nejčastěji prostřednictvým emailu vč. podstrčení škodlivého software

o Telefonický test - může být samostatný nebo doplňkový phishingový test k emailu (k podpoření důvěryhodnosti emailu, lepší manipulaci)

o SMS spoofing - phishingový test pomocí SMS s podvrženým číslem odesílatele

o Test s přenosnými médii – pokus o podstrčení škodlivého software nebo zprávy přenosnými médii

o Pokus o fyzický průnik, prohledávání odpadků

o Pokus o získání přístupu k systému na základě informací o zaměstnancích (slabá hesla)

·  Audity

o Audit vnitřních směrnic - posouzení úrovně zabezpečení a postupů z pohledu interních směrnic závazných pro zaměstnance (bezpečné používání elektronických prostředků, autorizace a schvalování přístupů, požadavků a činností)

o Audit infrastruktury – posouzení návrhu infrastruktury, hardware, použité platformy a prostředků zabezpečení

o Audit návrhu aplikace – posouzení zabezpečení aplikace z pohledu návrhu, použitých technologií, úrovně komunikačních protokolů, úrovně šifrování a kódování. Oponentura z bezpečnostního pohledu.

 

Outsourcing služeb GDPR, DPO

Pověřenec pro ochranu osobních údajů je bezpečnostní role, která nese řadu odpovědností za řízení bezpečnosti osobních údajů. Pověřenec musí být organizací jmenován, pokud:

Pověřenec může vykonávat svou činnost jak v pracovním poměru, tak na základě smlouvy o poskytování služeb, musí však být ve své činnosti nezávislý a odpovědný přímo vrcholovému vedení organizace. Aby nedocházelo ke střetu zájmů, nemůže v rámci organizace vykonávat jinou funkci a jinou činnost.  Správce nebo zpracovatel musí zajistit, aby byl pověřenec informován o všech činnostech organizace spojených se zpracováváním osobních údajů. Podmínkou pro jmenování pověřence budou jeho prokazatelné odborné znalosti práva a praxe v oblasti ochrany údajů.

Možným řešením je outsourcing role pověřence, přičemž tento bude v souvislosti s výkonem svých úkolů mj. vázán tajemstvím nebo důvěrností v souladu s právním řádem ČR.

Abyste se nemuseli věnovat hledání nových zaměstnanců, jejich proškolování, evidencí a všemi náklady a starostmi s tím spojených, poskytneme Vám externího Pověřence ochrany osobních údajů (DPO).

Hlášení incidentů bezpečnosti osobních údajů je proces vyžadován nařízením GDPR. Je velmi obtížné dodržet stanovené lhůty pro povinná hlášení zainteresovaným stranám.

Aby jste se mohli věnovat své činnosti jsme připraveni za Vás převzít hlášení incidentů a komunikaci s ÚOOÚ a zainteresovanými stranami.

Zajistíme konzultační a schvalovací činnosti u ÚOOÚ, zabezpečíme veškerou komunikaci s UOOU a subjekty údajů.

Pořádané kurzy

Seznam aktuálně pořádaných kurzů

Příběhy

Občas Vás seznámíme s nějakým příběhem, který jsme pomáhali řešit. Přímé reference moc neuvádíme. Často o zákaznících víme poměrně dost, a jednou z ochran je to, že je to je jen mezi námi.



Kontakt

 
 


775 727 755
info@gdpr-support.cz

Evropská 33a, 160 00 Praha - Dejvice,
Mírové nám.27, 400 01 Ústí nad Labem,
 IČO: 06594743, DIČ: CZ06594743


Údaje zadané do formuláře slouží pouze k vyřízení Vašeho požadavku.

Kontaktní formulář