Atbilstoši Eiropas Parlamenta un Padomes regulas (ES) 2016/679 par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti – Vispārīgo datu aizsardzības regulu (turpmāk – Regula), SIA ZZ Dats nodrošina datu apstrādes konfidencialitāti, integritāti un pieejamību, ievērojot, ka datu īpašnieks (pārzinis) ir pašvaldība/-as (atrunāts jau spēkā esošajos līgumos) un SIA ZZ Dats tiek definēts kā apstrādātājs.
SIA ZZ Dats ievēro esošo normatīvo aktu regulējumu, turpina veikt uzlabojumus esošajos procesos, un sekot līdzi izmaiņām, lai nodrošinātu savus klientus ar aktuāliem, drošiem un kvalitatīviem risinājumiem.
SIA ZZ Dats ir definēta un regulāri tiek pārskatīta Informācijas drošības politika. Atbilstoši politikai ir ieviesti vairāki pasākumi informācijas drošības (konfidencialitātes, integritātes un pieejamības) uzturēšanai un paaugstināšanai.
Uzņēmumā ir definēta risku pārvaldības metodika, ir identificēti drošības riski, regulāri notiek risku pārskatīšana, risku mazināšanas darbību ieviešana un to novērtēšana. Uzņēmuma darbinieki regulāri tiek informēti par informācijas drošības jautājumiem. Visi darbinieki ir parakstījuši konfidencialitātes līgumu.
Fiziskā drošība, tehnisko resursu uzturēšana. VPS darbības nodrošināšanai nepieciešamie tehniskie resursi atrodas ZZ Dats datu centrā. Fiziskā piekļuve Datu centram ir ierobežota. Datu centra telpās ir ierīkota ielaušanās un ugunsdrošības signalizācija. Tiek nodrošināta dublēšana visām svarīgākajām datu centra darbības nodrošināšanas funkcijām – elektroapgādei, interneta pieslēgumam, klimata nodrošināšanai, citu iekārtu darbībai (serveriem, datu masīviem u.c.).
Loģiskā informācijas aizsargāšana. VPS informācija datu centra serveros un datu bāzēs atrodas nodalītā datortīkla segmentā, kas nav pieejams neautorizētiem lietotājiem. Informācijas apmaiņa ar ārējām sistēmām notiek pa šifrētiem kanāliem. Paaugstinātas drošības informācija, piemēram, VPS lietotāju paroles datu bāzē tiek glabātas sašifrētas ar vienvirziena šifrēšanas algoritmu. Lietotāju paroļu sarežģītībai tiek piemēroti valsts normatīvajos aktos noteiktie kritēriji. VPS produkcijas vide un tās nodrošināšanas resursi ir nodalīti no VPS izstrādes un testēšanas vidēm. VPS lietojumprogrammās atbilstoši to specifikai ir ieviestas datu loģiskās integritātes pārbaudes, gan pie datu ievades un apstrādes, gan regulāros automātiskos fona procesos.
Pieejas tiesību pārvaldība. ZZ Dats darbinieku pieejas tiesību pārvaldība notiek atbilstoši definētām procedūrām, ievērojot principu, ka darbiniekam ir pieeja tikai tiem resursiem, kas viņam ir nepieciešami darba pienākumu veikšanai. VPS lietojumprogrammu piekļuves administrēšana – lietotāju izveidošana un dzēšana, piekļuves tiesību piešķiršana notiek tikai saskaņā ar pašvaldības un ZZ Dats noslēgto uzturēšanas līgumu un valsts normatīvajiem aktiem. Izmaiņas pašvaldību darbinieku VPS lietotāju un tiesību datos tiek veiktas saskaņā ar pašvaldības atbildīgo personu parakstītiem iesniegumiem. Lai nodrošinātu atbilstību valsts normatīvajiem aktiem, piemēram Ministru kabineta noteikumi Nr. 442 “Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām” spēkā no 04.08.2015., automātiski tiek bloķētas vai deaktivizētas pieejas tiesības un lietotāju konti, kas nav tikuši izmantoti noteiktu laika periodu.
Datu rezerves kopiju veidošana. Datu centra serveriem un datiem notiek rezerves kopiju veidošana. Viens no kopijas eksemplāriem šifrētā veidā tiek glabāts fiziski attālinātā, citā datu centrā. Kopiju veidošana un kopēšana uz attālināto datu centru notiek automātiski un regulāri katru dienu. Regulāri tiek veiktas pārbaudes, vai datu atjaunošana no kopijām ir iespējama un ir sekmīga.
Biznesa nepārtrauktības nodrošināšana un atjaunošanas plāni. Visiem būtiskajiem VPS darbības elementiem – serveriem, citām iekārtām, lietojumprogrammām, servisiem, svarīgiem ārējiem reģistriem u.c. – ir ieviests un darbojas monitorings, kas pie noteiktiem kritērijiem automātiski ziņo atbildīgajiem ZZ Dats darbiniekiem par iespējamām problēmām sistēmas darbībā. Uzņēmumā notiek regulāra informācijas drošības incidentu analīze un nepieciešamības gadījumā tiek veiktas darbības, lai nodrošinātu, atjaunotu, paaugstinātu informācijas, iekārtu un procesu drošību. VPS serveri tiek uzturēti virtuālā infrastruktūrā (mākoņskaitļošanas tehnoloģijas), kas ļauj pietiekoši ātri serveru resursus pārvietot uz citu iekārtu, ja kāda no iekārtām ir bojāta vai tai jāveic apkope. Visiem kritiskajiem VPS resursiem ir izstrādāti atjaunošanas plāni, kas tiek regulāri pārskatīti. Notiek izstrādātā biznesa nepārtrauktības nodrošināšanas plāna regulāra testēšana.
Informācijas sistēmas auditācijas pierakstu veidošana un glabāšana. VPS lietojumprogrammās notiek darbību un datu auditēšana, tai skaitā, fizisko personu un citu svarīgu datu apstrādes audits. Audita pierakstiem, tāpat kā pārējiem VPS datiem, notiek regulāra rezerves kopiju veidošana. Audita pieraksti tiek saglabāti valsts normatīvajos aktos noteikto laika periodu. Audita pierakstu informācija ir pieejama pašvaldības atbildīgajiem darbiniekiem – vai nu atsevišķās VPS lietojumprogrammās, vai arī pēc speciāla informācijas pieprasījuma ZZ Dats darbiniekiem.
ZZ Dats informācijas sistēmu izstrādes un uzturēšanas pakalpojumi ir sertificēti atbilstoši starptautiski atzītiem kvalitātes un informācijas drošības standartiem: ISO 9001:2015 “Kvalitātes pārvaldības sistēmas. Prasības” un ISO/IEC 27001:2013 “Informācijas tehnoloģijas. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības”.
ZZ Dats informācijas drošības pārvaldības sistēmai, ieskaitot visus augstāk uzskaitītos pasākumus, gan iekšējos, gan ārējos auditos tiek regulāri pārbaudīta atbilstība: uzņēmuma procedūrām, industrijas labajai praksei, normatīvo dokumentu prasībām un minēto starptautisko standartu prasībām un vadlīnijām.