PhotoRobot tekniset ja organisatoriset toimenpiteet (TOM)
Tämä asiakirja määrittelee PhotoRobotin tekniset ja organisatoriset toimenpiteet (TOM) GDPR:n artiklan 32 mukaisesti: Versio 1.0 – PhotoRobot Edition, uni-Robot Ltd., Tšekki. Asiakirjaa on viimeksi päivitetty 31. joulukuuta 2025, ja se tukee PhotoRobot'n sopimusvelvoitteiden noudattamista DPA:n ja SLA:n mukaisesti.
1. Johdanto - PhotoRobot TOMit
Tässä asiakirjassa kuvataan uni-Robot Ltd:n (PhotoRobot) toteuttamat tekniset ja organisatoriset toimenpiteet (TOM) varmistaakseen asianmukaisen turvallisuustason henkilötietojen käsittelylle GDPR:n artiklan 32 mukaisesti.
Nämä toimenpiteet koskevat PhotoRobot-palveluiden toimintaa, mukaan lukien mutta ei rajoittuen:
- PhotoRobot ohjaa pilveä
- PhotoRobot Cloud 2.0
- PhotoRobot ohjaa paikallisia toimintoja (kun se on yhdistetty pilvipalveluihin)
- API:t ja niihin liittyvät verkkopalvelut
- Tukeva infrastruktuuri ja sisäiset järjestelmät
Tämä asiakirja toimii auktoritatiivisena kuvauksena PhotoRobot'n TOM-malleista, ja siihen voidaan viitata tietojenkäsittelysopimuksissa (DPA), auditoinneissa ja yritysten tietoturvatarkastuksissa.
2. Laajuus ja soveltuvuus
Tässä kuvatut TOM:t koskevat seuraavia:
- Henkilötietoja, jotka käsitellään asiakkaiden puolesta osana PhotoRobot-palveluita
- Sisäinen operatiivinen data, joka on tarpeen palveluiden tarjoamiseen, ylläpitoon ja turvaamiseen
Toimenpiteet on suunniteltu huomioiden:
- Huippuluokka
- Toteutuskustannukset
- Prosessoinnin luonne, laajuus, konteksti ja tarkoitukset
- luonnollisten henkilöiden oikeuksien ja vapauksien riskit
3. Organisaation turvallisuustoimet
3.1. Tietoturvan hallinta
PhotoRobot ylläpitää sisäisiä politiikkoja ja menettelytapoja, jotka koskevat tietoturvaa, tietosuojaa ja järjestelmien hyväksyttävää käyttöä.
Turvallisuus- ja tietosuojavastuut on selkeästi määritelty organisaatiossa, mukaan lukien nimetyt yhteyshenkilöt yksityisyyteen ja oikeudellisiin kysymyksiin.
3.2. Työntekijöiden luottamuksellisuus ja tietoisuus
- Työntekijät ja urakoitsijat ovat sidottuja salassapitovelvollisuuksiin
- Pääsy järjestelmiin myönnetään tarpeen mukaan
- Turvallisuus- ja tietosuojatietoisuutta edistetään osana perehdytystä ja jatkuvia toimintoja
4. Pääsynvalvonta ja valtuutus
4.1. Roolipohjainen käyttöoikeuksien hallinta (RBAC)
Pääsy järjestelmiin ja asiakastietoihin hallitaan roolipohjaisen käyttöoikeudenhallinnan (RBAC) periaatteiden avulla.
- Käyttäjille myönnetään vähimmäisoikeudet tehtäviensä suorittamiseen
- Hallinnollinen pääsy on rajoitettu valtuutetuille henkilöille
4.2. Todennus
- Vahvoja tunnistautumismekanismeja käytetään sisäisissä ja ulkoisissa järjestelmissä
- Salasanakäytännöt ja pääsytunnukset hallitaan turvallisesti
- Pääsytunnuksia ei saa jakaa
5. Infrastruktuuri ja verkon turvallisuus
5.1. Hosting- ja pilvi-infrastruktuuri
PhotoRobot-palvelut on isännöity ammattimaisilla pilvi-infrastruktuurin tarjoajilla (esim. Google Cloud Platform), jotka toteuttavat alan standardeja mukaisia fyysisiä ja ympäristöturvallisuusratkaisuja.
5.2. Verkon suojaus
- Verkkoliikenne suojataan palomuureilla ja kulunvalvonnilla
- Julkiset palvelut ovat eristetty sisäisistä järjestelmistä
- Infrastruktuurikomponentteja seurataan saatavuuden ja turvallisuustapahtumien varalta
6. Salaus ja tietosuoja
6.1. Datan kulku
- Asiakkaiden ja PhotoRobot-palveluiden välillä siirretty data salataan TLS/HTTPS:llä
- Turvalliset viestintäkanavat ovat pakotettu API-rajapinnoille ja pilviliittymille
6.2. Levossa oleva data
- Pilvi-infrastruktuuriin tallennettu data suojataan isännöintipalveluntarjoajan tarjoamalla salausmekanismeilla
- Tallennetun datan käyttö on rajoitettu valtuutetuille järjestelmille ja henkilöstölle
7. Kirjaus, seuranta ja tapahtumien havaitseminen
7.1. Kirjaaminen
- Järjestelmälokit luodaan operatiivisista ja turvallisuuteen liittyvistä tapahtumista
- Lokeja käytetään vianetsintään, seurantaan ja häiriöanalyysiin
7.2. Seuranta
- Palveluita seurataan saatavuuden, suorituskyvyn ja poikkeavuuksien osalta
- Hälytykset laukeavat poikkeavan käyttäytymisen tai palvelun häiriön sattuessa
8. Häiriötilanteisiin reagointi ja tietomurtojen hallinta
PhotoRobot ylläpitää menettelyjä turvallisuushäiriöiden, mukaan lukien henkilötietojen rikkomisen, käsittelyyn.
Näihin menettelyihin kuuluvat:
- Tapahtumien tunnistaminen ja arviointi
- Lieventämis- ja rajoitustoimet
- Sisäinen eskalaatio
- Yhteydenpitoa asiakkaisiin tarvittaessa
- GDPR:n rikkomusilmoitusvelvollisuuksien noudattaminen (GDPR:n artiklat 33 ja 34)
9. Varaus, saatavuus ja liiketoiminnan jatkuvuus
9.1. Varasuunnitelmat
- Tietojen varmuuskopiointi tehdään osana standardoituja pilvitoimintoja
- Varmuuskopioita käytetään katastrofipalautukseen ja palvelun jatkuvuuteen
9.2. Saatavuus
- Kohtuullisia ponnistuksia tehdään palveluiden korkean saatavuuden ylläpitämiseksi
- Suunnitellut huoltotoimet voivat aiheuttaa tilapäisiä palvelukatkoksia
Tiedot saatavuustavoitteista ja vasteajoista on kuvattu erikseen sovellettavissa palvelutasosopimuksissa (SLA).
10. Turvallinen kehitys ja muutosten hallinta
10.1. Turvalliset kehityskäytännöt
PhotoRobot noudattaa rakenteellisia kehitys- ja käyttöönottoprosesseja, mukaan lukien:
- kehitys-, testaus- ja tuotantoympäristöjen erottaminen tarvittaessa
- Kontrolloidun käyttöönoton menettelyt
- Versionhallinta ja muutosten seuranta
10.2. Päivitykset ja päivitykset
- Ohjelmistokomponentteja päivitetään korjaamaan tietoturva-aukkoja
- Kriittiset päivitykset priorisoidaan riskinarvioinnin perusteella
11. Aliprosessorit ja kolmannet osapuolet
PhotoRobot voi käyttää aliprosessoreita tukemaan palvelun tuottamista (esim. hosting, sähköpostipalvelut).
- Alikäsittelijät valitaan niiden turvallisuus- ja tietosuojakäytäntöjen perusteella
- Ajantasainen luettelo aliprosessoreista ylläpidetään erikseen ja tehdään julkisesti saataville
12. Fyysinen turvallisuus
Fyysinen pääsy palvelimiin ja datakeskuksiin hallinnoi pilvi-infrastruktuurin tarjoaja, ja siihen sisältyy:
- Kulunvalvonta
- Valvonta ja seuranta
- Ympäristönsuojelu
PhotoRobot ei ylläpidä omia datakeskuksiaan.
13. Tietojen minimointi ja säilyttäminen
- Ainoastaan palvelun tarjoamiseen tarvittava tieto käsitellään
- Henkilötietoja säilytetään vain niin kauan kuin se on tarpeen sopimus-, oikeudellisiin tai operatiivisiin tarkoituksiin
- Tietojen poisto- ja säilytysajat on määritelty asiaankuuluvissa politiikoissa ja sopimuksissa
14. Arvostelu ja päivitykset
Näitä teknisiä ja organisatorisia toimenpiteitä tarkastellaan säännöllisesti ja päivitetään tarpeen mukaan heijastamaan seuraavia:
- Teknologian muutokset
- Palvelumuutokset
- Kehittyvät turvallisuus- ja sääntelyvaatimukset
Olennaiset muutokset voidaan viestiä asiakkaille tarpeen mukaan.
15. Yhteystiedot
Kysymyksiin näistä teknisistä ja organisatorisista toimenpiteistä:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praha 1
Tšekin tasavalta
Sähköposti: legal@photorobot.com
Lopuksi
Nämä TOM:t kuvaavat PhotoRobot'n nykyisiä teknisiä ja organisatorisia toimenpiteitä ja niiden tarkoituksena on tarjota asiakkaille läpinäkyvyyttä ja varmuutta. Ne eivät takaa keskeytymätöntä palvelua tai ehdotonta turvallisuutta, vaan heijastavat riskipohjaista ja suhteellista lähestymistapaa tietosuojaan ja tietoturvaan.