ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 1 / 9 ΠΟΛΙΤΙΚΗ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΩΝ ΤΟΥ ΟΜΙΛΟΥ CQS & Paladino ΕΚΔΟΣΗ 2 η ΑΘΗΝΑ, 01/03/2016
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 2 / 9 ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΕΧΟΜΕΝΑ... 2 1 ΕΙΣΑΓΩΓΗ... 3 2 ΠΑΡΟΥΣΙΑΣΗ ΤΟΥ ΟΜΙΛΟΥ... 4 2.1 ΓΕΝΙΚΑ... 4 2.2 ΟΡΓΑΝΩΤΙΚΗ ΔΟΜΗ ΤΟΥ ΟΜΙΛΟΥ... 4 3 ΣΚΟΠΟΣ, ΠΕΔΙΟ ΚΑΙ ΔΟΜΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ... 5 3.1 ΣΚΟΠΟΣ... 5 3.2 ΠΕΔΙΟ... 5 3.3 ΔΟΜΗ... 5 4 ΕΥΘΥΝΗ ΔΙΟΙΚΗΣΗΣ ΟΜΙΛΟΥ... 6 5 ΣΥΝΟΠΤΙΚΗ ΠΕΡΙΓΡΑΦΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ... 6 5.1 ΝΟΜΙΚΑ ΘΕΜΑΤΑ... 7 5.2 ΕΝΗΜΕΡΩΣΗ, ΕΚΠΑΙΔΕΥΣΗ, ΕΥΑΙΣΘΗΤΟΠΟΙΗΣΗ... 7 5.3 RISK ASSESSMENT... 7 5.4 BUSINESS CONTINUITY MANAGEMENT... 7 6 ΔΙΑΧΕΙΡΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΠΕΛΑΤΩΝ... 8 7 ΥΠΟΧΡΕΩΣΕΙΣ ΕΡΓΑΖΟΜΕΝΩΝ... 8 8 ΗΜΕΡΟΛΟΓΙΟ ΕΚΔΟΣΕΩΝ... 9 Η παρούσα πολιτική έχει σχεδιασθεί από τον Όμιλο CQS & Paladino σύμφωνα με τις απαιτήσεις του προτύπου ISO 27001 και περιλαμβάνει συνοπτική παρουσίαση των δραστηριοτήτων και του εφαρμοζόμενου Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών της επιχείρησης. Το παρόν είναι κοινοποιήσιμο σε κάθε ενδιαφερόμενο.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 3 / 9 1 ΕΙΣΑΓΩΓΗ Ο Όμιλος CQS & Paladino έχει αναπτύξει, εφαρμόζει και διατηρεί Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών σύμφωνα με το διεθνές πρότυπο ΕΛΟΤ ΕΝ ISO 27001:2013. Το σύστημα που έχει αναπτυχθεί καλύπτει τις απαιτήσεις του προτύπου. Στην παρούσα πολιτική παρουσιάζεται η δέσμευση της εταιρείας απέναντι στα θέματα ασφάλειας πληροφοριών, η μέθοδος με την οποία η εταιρεία συμμορφώνεται με τις απαιτήσεις του προτύπου, και ο τρόπος αλληλεπίδρασης των στοιχείων του συστήματος. Η παρούσα Πολιτική αναθεωρείται όποτε τροποποιούνται στοιχεία του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών τα οποία περιγράφονται στο παρόν, και είναι στη διάθεση κάθε ενδιαφερομένου.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 4 / 9 2 ΠΑΡΟΥΣΙΑΣΗ ΤΟΥ ΟΜΙΛΟΥ 2.1 ΓΕΝΙΚΑ Ο Όμιλος εταιρειών CQS & Paladino δραστηριοποιείται στον τομέα CRM και Contact Center Outsourcing παρέχοντας ένα μεγάλο εύρος ολοκληρωμένων inbound και outbound υπηρεσιών στους πελάτες της από το 2007. Στόχος του Ομίλου είναι η ανάπτυξη και προσφορά ολοκληρωμένων λύσεων και η παροχή υπηρεσιών σε εταιρείες και οργανισμούς με στόχο την αποτελεσματικότερη διαχείριση της σχέσης με τους πελάτες τους (ιδιωτικός και δημόσιος τομέας), επιτυγχάνοντας έτσι την σταθερή αξιοπιστία του και την εμπιστοσύνη από τους πελάτες του. Κύρια μελήματα του Ομίλου αποτελούν η συνεχής έρευνα της αγοράς και των απαιτήσεών της, η ανάπτυξη αξιόπιστων και αποτελεσματικών υπηρεσιών σύμφωνα με τις απαιτήσεις τόσο των πελατών του όσο και της αγοράς, και η βελτιστοποίηση της ποιότητας των παρεχόμενων προϊόντων και υπηρεσιών του. Ως εκ τούτο, ο Όμιλος CQS & Paladino δίνει ιδιαίτερη έμφαση και επενδύει στην υψηλή τεχνολογική γνώση, την αυστηρή επιλογή και εξειδικευμένη κατάρτιση του ανθρώπινου δυναμικού και των συνεργατών του, τους συνεχείς ελέγχους και το πρόγραμμα ποιότητας καθώς και την ασφαλή διαχείριση των Πληροφοριών. 2.2 ΟΡΓΑΝΩΤΙΚΗ ΔΟΜΗ ΤΟΥ ΟΜΙΛΟΥ Η συνοπτική παρουσίαση της οργανωτικής δομής του Ομίλου παρουσιάζεται στο παρακάτω διάγραμμα: Αρμόδιος για την τήρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών είναι ο IS Manager.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 5 / 9 3 ΣΚΟΠΟΣ, ΠΕΔΙΟ ΚΑΙ ΔΟΜΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ 3.1 ΣΚΟΠΟΣ Στόχος του Ομίλου είναι η αξιολόγηση όλων των πιθανών κινδύνων των υποδομών και πληροφοριών του απέναντι σε θέματα διαρροής πληροφοριών, δολιοφθοράς, περιβαλλοντικών συνθηκών και κάθε άλλης περίπτωσης που δύναται να φέρει σε κίνδυνο τις πληροφορίες των πελατών καθώς και την ίδια την συνέχιση της λειτουργίας των εταιρειών του Ομίλου. Στην Πολιτική Ασφάλειας Πληροφοριών του Ομίλου περιγράφονται τα παρακάτω: Μέθοδοι αναγνώρισης και αξιολόγησης κινδύνων για κάθε επιμέρους επιχειρηματική διεργασία κάθε εταιρείας του Ομίλου Μέθοδοι διαχείρισης πληροφοριών πελατών Μέθοδος επιλογής και ελέγχου συνεργασίας με υπεργολάβους και προμηθευτές για τις ανάγκες των έργων του Ομίλου Μέθοδος εκπαίδευσης και ενημέρωσης εργαζομένων για το σύνολο των απαιτήσεων του ΣΔΑΠ αναφορικά με την διαχείριση πληροφοριών Μέθοδοι εξασφάλισης φυσικής ασφάλειας πληροφοριών Περιγραφή δικτύου εταιρείας και πρακτικών για την διασφάλιση της ασφάλειας των πληροφοριών που διακινούνται εντός του δικτύου των εταιρειών Τρόποι διαχείρισης συμβάντων Μέθοδοι ελέγχου συμμόρφωσης με τις απαιτήσεις που θέτει η κάθε εμπλεκόμενη εταιρεία του Ομίλου για το επιθυμητό επίπεδο ασφάλειας πληροφοριών 3.2 ΠΕΔΙΟ Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών του Ομίλου εφαρμόζεται από τις εταιρείες CQS Α.Ε. και Paladino Α.Ε.. Το πεδίο εφαρμογής του συστήματος για κάθε εταιρεία περιγράφεται παρακάτω: CQS A.E.: το πεδίο εφαρμογής είναι «Υπηρεσίες εξυπηρέτησης πελατών και προώθησης πωλήσεων» PALADINO Α.Ε.: το πεδίο εφαρμογής είναι «Υπηρεσίες διαχείρισης πελατοκεντρικών σχέσεων και εμπορικών απαιτήσεων για λογαριασμό τρίτων επιχειρήσεων» Η μη εφαρμογή κάποιων Μέτρων Ελέγχου τεκμηριώνεται στο αντίστοιχο Statement of Applicability (SOA) της κάθε εταιρείας. 3.3 ΔΟΜΗ Το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών είναι πλήρως τεκμηριωμένο σύμφωνα με τις απαιτήσεις του προτύπου ΕΛΟΤ ΕΝ ISO 27001:2013. Όλες οι δραστηριότητες του Ομίλου που σχετίζονται με την Ποιότητα περιγράφονται γραπτώς. Τα έγγραφα που αποτελούν την τεκμηρίωση του Συστήματος είναι διαθέσιμα από τον Υπεύθυνο Ποιότητας Ομίλου. Η Τεκμηρίωση του Συστήματος περιλαμβάνει τα εξής επίπεδα: ΔΙΑΔΙΚΑΣΙΑ: Στην διαδικασία περιγράφεται ο καθορισμένος τρόπος για την εκτέλεση όλων των δραστηριοτήτων του Ομίλου. Η Διαδικασία είναι τυποποιημένη σε αρχείο excel. ΟΔΗΓΙΕΣ: Περιλαμβάνει οδηγίες με συγκεκριμένες ενέργειες που εκτελούνται από συγκεκριμένους ανθρώπους για την σωστή περάτωση μίας εργασίας.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 6 / 9 ΠΡΟΔΙΑΓΡΑΦΕΣ: Είναι έγγραφα που περιλαμβάνουν κάποιο κριτήριο ή πληροφορία απαραίτητη για την ορθή υλοποίηση μιας διαδικασίας. ΕΝΤΥΠΑ: Στα έντυπα σημειώνονται πληροφορίες και στοιχεία που αποδεικνύουν την εφαρμογή του Συστήματος Διαχείρισης. ΑΛΛΑ ΕΡΓΑΛΕΙΑ: Ηλεκτρονικά ή έντυπα αρχεία του Ομίλου που περιλαμβάνουν ειδικές πληροφορίες τις οποίες ο Όμιλος χρησιμοποιεί για την ολοκλήρωση των διεργασιών του. ΕΓΓΡΑΦΑ ΕΞΩΤΕΡΙΚΗΣ ΠΡΟΕΛΕΥΣΗΣ: Αρχεία προμηθειών, προδιαγραφών και λοιπών στοιχείων, απαιτούμενων για προϊόντα και υπηρεσίες που παρέχει ο Όμιλος, αλλά που δεν αναπτύσσονται από τις εταιρείες μέλη του. 4 ΕΥΘΥΝΗ ΔΙΟΙΚΗΣΗΣ ΟΜΙΛΟΥ Η Διοίκηση του Ομίλου έχει την ουσιαστική ευθύνη της ορθής εφαρμογής των απαιτήσεων που καθορίζονται εντός των οδηγιών, διαδικασιών, προτύπων και πολιτικών που έχουν υιοθετήσει οι εμπλεκόμενες εταιρείες. Η Διοίκηση δεσμεύεται για την τήρηση νομοθετικών, συμβατικών και λοιπών κανονιστικών απαιτήσεων αναφορικά με την ασφάλεια των πληροφοριών. Για τον Όμιλο CQS & Paladino, «ασφάλεια πληροφοριών» είναι: Να μην μπορεί να έχει πρόσβαση στις πληροφορίες μη εξουσιοδοτημένος χρήστης, Να μην αλλοιώνονται οι πληροφορίες όσο τηρούνται στην κάθε εταιρεία, Να είναι διαθέσιμες στους εξουσιοδοτημένους χρήστες, όποτε εκείνοι τις αναζητήσουν. Η Διοίκηση έχει σχεδιάσει με τέτοιο τρόπο την οργανωτική δομή εντός του πεδίου εφαρμογής του συστήματος, προκειμένου να επιτυγχάνεται το σωστό επίπεδο επικοινωνίας, ελέγχου και διαχείρισης των θεμάτων ασφάλειας πληροφοριών. Στόχος της διοίκησης, πέραν της υιοθέτησης μέτρων ελέγχου για την διαχείριση της ασφάλειας των συγκεκριμένων πληροφοριών είναι η δημιουργία νομικών όρων προς τρίτους, προκειμένου δοθεί η απαιτούμενη βαρύτητα στις απαιτήσεις που θέτει κάθε εταιρεία του ομίλου για την διαχείριση των πληροφοριών των πελατών της. Η Διοίκηση έχει την ευθύνη της ανασκόπησης του ΣΔΑΠ σε ετήσια βάση, μέσω της οποίας κάνει και την αξιολόγηση της καταλληλότητας της παρούσας Πολιτικής, καθώς και των λοιπών εγγράφων του Συστήματος. 5 ΣΥΝΟΠΤΙΚΗ ΠΕΡΙΓΡΑΦΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ Το ενιαίο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών του Ομίλου έχει σχεδιαστεί με τέτοιο τρόπο ώστε να μπορεί να είναι εφαρμόσιμο από όλες τις εταιρείες του Ομίλου. Η γενική διαχείριση του συστήματος διαχείρισης γίνεται σε επίπεδο Ομίλου. Παράλληλα, εφαρμόζονται μια σειρά από διαδικασίες για την υλοποίηση των υπηρεσιών, την παρακολούθηση των έργων, την διαχείριση προμηθευτών και συνεργατών και την επικοινωνία με τους πελάτες.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 7 / 9 5.1 ΝΟΜΙΚΑ ΘΕΜΑΤΑ Ο Όμιλος CQS & Paladino λαμβάνει υπόψη στη λειτουργία του τις νομοθετικές ρυθμίσεις που τον επηρεάζουν τόσο αναφορικά με την ασφάλεια των πληροφοριών που διαχειρίζεται όσο και σχετικά με θέματα υγείας και ασφάλειας εργαζομένων. Η Διοίκηση του Ομίλου φροντίζει ώστε κάθε εταιρεία να λειτουργεί κάτω από πλήρως νόμιμες συνθήκες (λήψη αδειών κάθε κατηγορίας), ενώ ταυτόχρονα υιοθετεί ως νομικές απαιτήσεις κάθε όρο που εντάσσεται σε συμβάσεις με πελάτες και συνεργάτες. 5.2 ΕΝΗΜΕΡΩΣΗ, ΕΚΠΑΙΔΕΥΣΗ, ΕΥΑΙΣΘΗΤΟΠΟΙΗΣΗ Η Διοίκηση δίνει βαρύτητα στην ορθή κατάρτιση των εργαζομένων προκειμένου να μπορούν να εφαρμόσουν χωρίς αποκλίσεις τις απαιτήσεις που εμπίπτουν στην κάθε θέση εργασίας. Για το λόγο αυτό η Διοίκηση έχει υιοθετήσει διαδικασία με την εφαρμογή της οποίας είναι σε θέση να επιτύχει το επίπεδο κατάρτισης και ευαισθητοποίησης που επιθυμεί για το ανθρώπινο δυναμικό του Ομίλου. Εκπαίδευση για τον Όμιλο CQS & Paladino δεν αποτελεί μόνο η παρακολούθηση ειδικών σεμιναρίων αλλά και η συνεχής επαγρύπνηση του προσωπικού για την υιοθέτηση καλών πρακτικών για θέματα επιμέρους θέματα ασφάλειας όπως είναι η μέθοδος επιλογής κωδικών πρόσβασης, η διαχείριση κωδικών και λοιπών μέσων πρόσβασης, κα. Για την εφαρμογή των παραπάνω, σε συνδυασμό με συμβατικές μεθόδους εκπαίδευσης, η Διοίκηση έχει υιοθετήσει μέθοδο διαρκούς ενημέρωσης εργαζομένων. 5.3 RISK ASSESSMENT Βασικό κομμάτι του ΣΔΑΠ που έχει σχεδιάσει η εταιρεία είναι το Risk Assessment βάσει του οποίου η Διοίκηση του Ομίλου αξιολογεί Λειτουργικές Διεργασίες, Διεργασίες IT και Assets σε συσχέτιση με μια σειρά κινδύνων που δύναται να διατρέχουν οι πληροφορίες. Η αξιολόγηση των κινδύνων έχει ως αποτέλεσμα την δημιουργία μιας κατάταξης κινδύνων αλλά και διεργασιών και assets για την κάθε εταιρεία αναφορικά με την σοβαρότητά τους και την σημαντικότητά τους. Επί αυτής της κατάταξης η Διοίκηση αποφασίζει το αποδεκτό επίπεδο κινδύνου, και αυτομάτως σχεδιάζει προγράμματα μείωσης κινδύνων για τις περιπτώσεις αυτές που η τιμή του κινδύνου υπερβαίνει το αποδεκτό επίπεδο. Σε περίπτωση αδυναμίας αντιμετώπισης ενός κινδύνου για τεχνικούς, τεχνολογικούς ή οικονομικούς περιορισμούς, η Διοίκηση αποδέχεται τον κίνδυνο εγγράφως. Η Διοίκηση σε ετήσια βάση επαναξιολογεί τους κινδύνους, επαναπροσδιορίζει το επίπεδο αποδεκτών κινδύνων με βάση τις συντρέχουσες την περίοδο εκείνη συνθήκες, και υιοθετεί προγράμματα για την βελτίωση συγκεκριμένων πρακτικών με στόχο τη μείωση σχετιζόμενων κινδύνων. 5.4 BUSINESS CONTINUITY MANAGEMENT Βασικός στόχος κάθε εταιρείας είναι η ορθή διαχείριση κρίσεων με σκοπό την εξασφάλιση της συνέχισης της λειτουργίας της ακόμα και μετά από καταστροφή των υποδομών στις οποίες βασίζεται. Για το λόγο αυτό η Διοίκηση έχει υιοθετήσει μεθοδολογία προκειμένου να αναγνωρίζει τις διεργασίες που είναι πιο σημαντικές από λειτουργικής άποψης, να αξιολογεί την σημαντικότητα της άμεσης επαναφοράς της λειτουργίας της μετά από καταστροφές, και τέλος να εντοπίζει μέτρα πρόληψης, λαμβάνοντας τα οποία θα είναι σε θέση να εξασφαλίσει την ομαλή λειτουργία της ακόμα και μετά από ολοκληρωτική καταστροφή των υποδομών της.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 8 / 9 6 ΔΙΑΧΕΙΡΙΣΗ ΠΛΗΡΟΦΟΡΙΩΝ ΠΕΛΑΤΩΝ Κάθε εταιρεία του Όμιλου CQS & Paladino δεσμεύεται για την προφύλαξη των πληροφοριών των πελατών της από την ακούσια ή μη δημοσιοποίησή τους. Για να επιτύχει το στόχο αυτό έχει λάβει μια σειρά μέτρων τόσο σε νομικό επίπεδο όσο και σε τεχνικό και οργανωτικό. Πιο συγκεκριμένα: Όλοι οι εργαζόμενοι του Ομίλου, αποδέχονται ειδικούς όρους για την εμπιστευτικότητα αναφορικά με πληροφορίες πελατών της εταιρείας αλλά και στοιχεία της ίδιας της εταιρείας. Όλες οι συμβάσεις με όλους τους εμπλεκόμενους (εντός και εκτός του Ομίλου) ελέγχονται συστηματικά προκειμένου να γίνεται έλεγχος της καταλληλότητας των συνεργατών και εργαζομένων για την διαχείριση των εν λόγω πληροφοριών. Η Διοίκηση του Ομίλου έχει σxεδιάσει ένα αρκετά εκτενές σύστημα περιορισμού φυσικής πρόσβασης μέσω εφαρμογής διαβαθισμένων δικαιωμάτων εισόδου στους ορόφους των εγκαταστάσεων του ομίλου, διαθέτοντας παράλληλα ελεγχόμενη μοναδική είσοδο στα γραφεία του Ομίλου. Το σύνολο των συστημάτων που αξιοποιούνται για την παροχή των υπηρεσιών από τις εταιρείες του Ομίλου, σχεδιάζονται και ελέγχονται με τέτοιο τρόπο ώστε να αποτρέπεται η ανούσια είσοδος και πρόσβαση από χρήστες χωρίς όμως οι πρακτικές αυτές να αποτελούν εμπόδιο για την αποτελεσματική παροχή των σχετικών υπηρεσιών. Σε περίπτωση συμβάντος αναφορικά με την ασφάλεια των πληροφοριών, υπάρχει ειδική διαδικασία διαχείρισης αυτών και ενημέρωσης των εμπλεκόμενων μερών. 7 ΥΠΟΧΡΕΩΣΕΙΣ ΕΡΓΑΖΟΜΕΝΩΝ Η Διοίκηση προκειμένου να διασφαλίσει το επιθυμητό επίπεδο ασφάλειας πληροφοριών, έχει υιοθετήσει μια σειρά διεργασιών και στόχων αναφορικά με τους εργαζόμενους κάθε εταιρείας του Ομίλου: Διασφάλιση του επιθυμητού επιπέδου εκπαίδευσης και ευαισθητοποίησης του προσωπικού για θέματα ασφάλειας πληροφοριών μέσω εκπαιδεύσεων, ενημερώσεων, τεκμηρίωσης οδηγιών. Δημιουργία μιας οργανωτικής δομής που επιτρέπει τον καταμερισμό αρμοδιοτήτων με τρόπο τέτοιο ώστε να μπορεί να περιορισθεί η πρόσβαση των εργαζομένων στο σύνολο των πληροφοριών των πελατών. Νομική διασφάλιση των συμφερόντων των εταιρειών του ομίλου μέσω της συμβατικής αποδοχής των όρων του Εσωτερικού Κανονισμού Λειτουργίας του Ομίλου, καθώς και των τεκμηριωμένων πολιτικών του Ομίλου, μέσα στις οποίες γίνεται σαφής αναφορά σε όλες τις αποδεκτές πρακτικές για τη λειτουργία του ομίλου, καθώς και σε αντίμετρα νομικά που δύναται να λάβει η κάθε εταιρεία σε περίπτωση μη τήρησης των απαιτήσεων απέναντι σε κάθε εργαζόμενο. Δημιουργία εύκολης και άμεσης επικοινωνίας των εργαζομένων με τους υπευθύνους της εταιρείας που ανήκουν, και της Διοίκησης του Ομίλου, και των Υπευθύνων για την Διαχείριση Ασφάλειας Πληροφοριών του Ομίλου, προκειμένου να γίνεται άμεση γνωστοποίηση συμβάντων αλλά και προτάσεων για βελτίωση του ΣΔΑΠ και των μέτρων ελέγχου που έχει υιοθετήσει η Διοίκηση.
ΚΩΔΙΚΟΣ: GP2_2 ΣΕΛ: 9 / 9 8 ΗΜΕΡΟΛΟΓΙΟ ΕΚΔΟΣΕΩΝ ΕΚΔΟΣΗ ΗΜ/ΝΙΑ ΕΚΔΟΣΗΣ ΠΕΡΙΓΡΑΦΗ ΤΡΟΠΟΠΟΙΗΣΕΩΝ 1η 01/10/2014 Αρχική Έκδοση Πολιτικής Ασφάλειας Πληροφοριών Ομίλου 2η 01/03/2016 Επικαιροποίηση Οργανογράμματος Ομίλου