PhotoRobot Технически и организационни мерки (TOMs)
Този документ определя Техническите и организационните мерки (TOMs) на PhotoRobot съгласно член 32 GDPR: Версия 1.0 – PhotoRobot Edition, uni-Robot Ltd., Чехия. Документът е актуализиран за последно на 31 декември 2025 г. и подкрепя спазването на договорните задължения на PhotoRobot по DPA и SLA.
1. Въведение - PhotoRobot TOM
Този документ описва техническите и организационните мерки (TOMs), прилагани от uni-Robot Ltd. (PhotoRobot), за да се осигури подходящо ниво на сигурност при обработката на лични данни в съответствие с член 32 от Общия регламент за защита на данните (GDPR).
Тези мерки се прилагат за работата на услугите на PhotoRobot, включително, но не само:
- PhotoRobot контролира облака
- PhotoRobot Cloud 2.0
- PhotoRobot управлява локално (когато е свързан с облачни услуги)
- API и свързани онлайн услуги
- Поддържаща инфраструктура и вътрешни системи
Този документ служи като авторитетно описание на TOM-ите на PhotoRobot и може да бъде цитиран в Споразумения за обработка на данни (DPA), одити и корпоративни прегледи за сигурност.
2. Обхват и приложимост
Описаните тук TOMs се прилагат за:
- Лични данни, обработвани от името на клиенти като част от услугите на PhotoRobot
- Вътрешни оперативни данни, необходими за предоставяне, поддръжка и защита на услугите
Мерките са проектирани с оглед на следното:
- Състоянието на технологиите
- Разходи за внедряване
- естеството, обхвата, контекста и целите на обработката
- рисковете за правата и свободите на физическите лица
3. Организационни мерки за сигурност
3.1. Управление на информационната сигурност
PhotoRobot поддържа вътрешни политики и процедури, регулиращи информационната сигурност, защитата на данните и приемливото използване на системи.
Отговорностите за сигурност и защита на данните са ясно определени в организацията, включително определени контакти по въпроси на поверителността и правните въпроси.
3.2. Поверителност и осведоменост на служителите
- Служителите и изпълнителите са обвързани с задължения за поверителност
- Достъпът до системите се предоставя на база необходимост да се знае
- Осведомеността за сигурност и защита на данните се повишава като част от въвеждането и текущите операции
4. Контрол на достъпа и авторизация
4.1. Контрол на достъпа, базиран на роли (RBAC)
Достъпът до системи и клиентски данни се контролира чрез принципите на ролевия контрол на достъпа (RBAC ).
- Потребителите получават минималните привилегии, необходими за изпълнение на задачите си
- Административният достъп е ограничен само до упълномощен персонал
4.2. Удостоверяване
- Силни механизми за удостоверяване се използват както за вътрешни, така и за външни системи
- Политиките за пароли и достъпните данни се управляват сигурно
- Идентификационните данни за достъп не трябва да се споделят
5. Инфраструктура и мрежова сигурност
5.1. Хостинг и облачна инфраструктура
Услугите на PhotoRobot се хостват от професионални доставчици на облачна инфраструктура (например Google Cloud Platform), които прилагат индустриални стандартни физически и екологични контроли за сигурност.
5.2. Мрежова защита
- Мрежовият трафик се защитава чрез защитни стени и контрол на достъпа
- Публичните услуги са изолирани от вътрешните системи
- Инфраструктурните компоненти се наблюдават за наличност и събития по сигурността
6. Криптиране и защита на данните
6.1. Данни в транзит
- Данните, предавани между клиенти и услугите на PhotoRobot, се криптират чрез TLS/HTTPS
- Защитени комуникационни канали се налагат за API и облачни интерфейси
6.2. Данни в покой
- Данните, съхранявани в облачната инфраструктура, са защитени чрез криптиращи механизми, предоставени от хостинг доставчика
- Достъпът до съхранените данни е ограничен до оторизирани системи и персонал
7. Логване, мониторинг и откриване на инциденти
7.1. Дърводобив
- Системните логове се генерират за оперативни и свързани със сигурността събития
- Логовете се използват за отстраняване на проблеми, мониторинг и анализ на инциденти
7.2. Мониторинг
- Услугите се наблюдават за наличност, производителност и аномалии
- Алармите се задействат при необичайно поведение или прекъсване на услугата
8. Реакция при инциденти и управление на пробиви
PhotoRobot поддържа процедури за справяне с инциденти със сигурността, включително пробиви на лични данни.
Тези процедури включват:
- Идентифициране и оценка на инциденти
- Мерки за смекчаване и ограничаване
- Вътрешна ескалация
- Комуникация с клиентите, където е необходимо
- спазване на задълженията за уведомяване при нарушение на GDPR (членове 33 и 34 от GDPR)
9. Резервни копия, наличност и непрекъснатост на бизнеса
9.1. Резервни копия
- Архивирането на данни се извършва като част от стандартните облачни операции
- Резервните копия се използват за възстановяване след бедствия и непрекъснатост на услугата
9.2. Наличност
- Полагат се разумни усилия за поддържане на висока наличност на услуги
- Планираните дейности по поддръжка могат да причинят временни прекъсвания на обслужването
Подробностите относно целите за наличност и времето за реакция са описани отделно в приложимите споразумения за ниво на обслужване (SLA).
10. Сигурно развитие и управление на промяната
10.1. Сигурни практики за развитие
PhotoRobot следва структурирани процеси на разработка и внедряване, включително:
- Разделяне на среда за разработка, тестване и производство, където е подходящо
- Контролирани процедури за разгръщане
- Контрол на версиите и проследяване на промените
10.2. Актуализации и пачове
- Софтуерните компоненти се обновяват, за да адресират уязвимости в сигурността
- Критичните актуализации се приоритизират въз основа на оценка на риска
11. Подпроцесори и трети страни
PhotoRobot може да ангажира подпроцесори за подпомагане на предоставянето на услуги (например хостинг, имейл услуги).
- Подпроцесорите се избират въз основа на техните практики за сигурност и защита на данните
- Актуален списък с подпроцесори се поддържа отделно и става публично достъпен
12. Физическа сигурност
Физическият достъп до сървъри и центрове за данни се управлява от доставчика на облачна инфраструктура и включва:
- Контрол на достъпа
- Наблюдение и мониторинг
- Опазване на околната среда
PhotoRobot не управлява собствени центрове за данни.
13. Минимизация и съхранение на данни
- Обработват се само данни, необходими за предоставяне на услуги,
- Личните данни се съхраняват само толкова дълго, колкото е необходимо за договорни, правни или оперативни цели
- Периодите за изтриване и съхранение на данни са определени в съответните политики и споразумения
14. Преглед и актуализации
Тези технически и организационни мерки се преглеждат периодично и актуализират при необходимост, за да отразят:
- Промени в технологиите
- Промени в услугите
- Развиващи се изисквания за сигурност и регулаторни
Съществените промени могат да бъдат съобщени на клиентите, когато е необходимо.
15. Контактна информация
За въпроси, свързани с тези технически и организационни мерки:
uni-Robot Ltd.
Водичкова 710/31
110 00 Прага 1
Чешка република
Имейл: legal@photorobot.com
Финална бележка
Тези TOM описват текущите технически и организационни мерки на PhotoRobot и са предназначени да осигурят прозрачност и увереност на клиентите. Те не гарантират непрекъснато обслужване или абсолютна сигурност, а отразяват подход, базиран на риск и пропорционален подход към защитата на данните и информационната сигурност.