Πρόσθετο Επεξεργασίας Δεδομένων Marzipan

Παράρτημα Α: Πρότυπα Ασφαλείας Marzipan

Αυτή είναι μια μετάφραση που παρέχεται μόνο για διευκόλυνση. Η αγγλική έκδοση αποτελεί το επίσημο και νομικά δεσμευτικό κείμενο· σε περίπτωση οποιασδήποτε διαφοράς, η αγγλική έκδοση υπερισχύει.

Οι όροι με κεφαλαία που δεν ορίζονται διαφορετικά στο παρόν έχουν τις έννοιες που τους αποδίδονται στο DPA.

Το παρόν Παράρτημα Α αφορά τα τεχνικά και οργανωτικά μέτρα, συμπεριλαμβανομένων πρακτικών διασφαλίσεων και τεχνικών μέτρων ασφαλείας, τα οποία διατηρεί το Marzipan προκειμένου (α) να προστατεύει τα Δεδομένα Πελάτη από τυχαία ή παράνομη απώλεια, πρόσβαση ή αποκάλυψη· (β) να εντοπίζει εύλογα προβλέψιμους εσωτερικούς κινδύνους για την ασφάλεια και την μη εξουσιοδοτημένη πρόσβαση στις Υπηρεσίες, συμπεριλαμβανομένου του λογαριασμού Marzipan του Πελάτη· και (γ) να ελαχιστοποιεί τους κινδύνους ασφαλείας, μεταξύ άλλων μέσω αξιολόγησης κινδύνου και τακτικής δοκιμής. Το Marzipan θα ορίσει έναν ή περισσότερους υπαλλήλους υπεύθυνους για την παρακολούθηση και την απάντηση σε οποιαδήποτε ερώτηση σχετικά με τις πρακτικές και τα μέτρα ασφάλειας πληροφοριών που περιγράφονται κατωτέρω.

  1. Μοντέλο Κοινής Ευθύνης

    Το Marzipan λειτουργεί εφαρμογές cloud στα marzipan.co, labls.co, labls.io αντίστοιχα, των οποίων η υποδομή και τα σχετικά δεδομένα φιλοξενούνται σε διακομιστές που λειτουργούν από τους παρόχους υπηρεσιών cloud (1) UpCloud Oy ("UpCloud") στο κέντρο δεδομένων DE-FRA1 στη Φρανκφούρτη, Γερμανία· (2) Hetzner Online GmbH ("Hetzner Online") στα κέντρα δεδομένων της στη Νυρεμβέργη και το Falkenstein, Γερμανία· (3) Scaleway SAS ("Scaleway") στο κέντρο δεδομένων της στο Παρίσι. Αυτό σημαίνει ότι η Υπηρεσία Marzipan παρέχεται μέσω διαδικτύου σύμφωνα με το μοντέλο Λογισμικό ως Υπηρεσία ("SaaS").

    Μεταξύ UpCloud, Hetzner Online και Scaleway, η UpCloud φιλοξενεί την ενεργή έκδοση παραγωγής των εφαρμογών Marzipan και των σχετικών δεδομένων τους, και παρέχει την υπολογιστική ισχύ που επιτρέπει στον Πελάτη να αποκτά πρόσβαση στις Υπηρεσίες χωρίς να χρειάζεται να εγκαταστήσει τοπικά αντίγραφο οποιασδήποτε εφαρμογής. Η Scaleway παρέχει υπηρεσίες συναλλακτικού ηλεκτρονικού ταχυδρομείου. Από την πλευρά της, η Hetzner Online παρέχει στο Marzipan έναν αποκλειστικό διακομιστή στον οποίο το Marzipan φιλοξενεί εκδόσεις staging (δηλ. δοκιμαστικές) των εφαρμογών για σκοπούς δοκιμής νέου κώδικα, λειτουργιών και ενημερώσεων σε ελεγχόμενο περιβάλλον πριν από τη δημοσίευσή τους.

    Το μοντέλο SaaS καθορίζει καταμερισμό εργασίας όσον αφορά την εφαρμογή των τεχνικών και οργανωτικών διασφαλίσεων που απαιτούνται για την προστασία των Δεδομένων Πελάτη. Ως υπεύθυνος επεξεργασίας δεδομένων, το Marzipan είναι υπεύθυνο για τον σχεδιασμό των εργαλείων διαχείρισης πρόσβασης και των εργαλείων ασφάλειας δικτύου βάσει των οποίων τα Δεδομένα Πελάτη αποθηκεύονται στο cloud — ασφάλεια στο cloud. Ως πάροχοι υπηρεσιών cloud και εκτελούντες την επεξεργασία, η UpCloud, η Hetzner Online και η Scaleway είναι υπεύθυνοι, κατά περίπτωση, για τη διατήρηση της ασφάλειας του υποκείμενου περιβάλλοντος cloud και των φυσικών διακομιστών στους οποίους αποθηκεύονται τα Δεδομένα Πελάτη, συμπεριλαμβανομένης της εφαρμογής τεχνικών και φυσικών μέτρων για την προστασία από μη εξουσιοδοτημένη πρόσβαση στα κέντρα δεδομένων και την αρχιτεκτονική δικτύου τους — ασφάλεια του cloud.

    Με πιο αναλυτικούς όρους, αυτό σημαίνει ότι η Marzipan είναι υπεύθυνη για τη διαχείριση της ασφάλειας του λογισμικού εφαρμογής Marzipan (συμπεριλαμβανομένων των ενημερώσεων και των ενημερώσεων κώδικα ασφαλείας για τις εφαρμογές Marzipan και Labls), καθώς και για τη διαμόρφωση τυχόν λειτουργιών ασφαλείας που παρέχουν η UpCloud, η Hetzner Online και η Scaleway στο πλαίσιο των προσφορών υπηρεσιών cloud τους. Με τη σειρά τους, η UpCloud, η Hetzner Online και η Scaleway λειτουργούν, διαχειρίζονται και ελέγχουν (κατά περίπτωση) τα στοιχεία από το σύστημα εφαρμογής Marzipan και το επίπεδο εικονικοποίησης έως και τη φυσική ασφάλεια των εγκαταστάσεων στις οποίες λειτουργεί η υπηρεσία εφαρμογής Marzipan και αποθηκεύονται τα σχετικά δεδομένα της.

    Αποκαλούμε αυτό «Μοντέλο Κοινής Ευθύνης», καθώς σημαίνει ότι, εκτός από την εφαρμογή σημαντικών τεχνικών και οργανωτικών μέτρων δικής μας έμπνευσης, βασιζόμαστε στους εκτεταμένους μηχανισμούς ασφαλείας της UpCloud, της Hetzner Online και της Scaleway.

    Περαιτέρω πληροφορίες σχετικά με τα μέτρα φυσικής, δικτυακής και συστημικής ασφάλειας που εφαρμόζουν αντίστοιχα η UpCloud, η Hetzner Online και η Scaleway για την προστασία των κέντρων δεδομένων τους και των δεδομένων που αποθηκεύονται σε αυτά είναι διαθέσιμες εδώ για την UpCloud, εδώ για την Hetzner και εδώ για τη Scaleway.

  2. Διακομιστές UpCloud και Hetzner Online

    UpCloud

    Σύμφωνα με το Άρθρο 28(3)(γ) του UK GDPR, η Marzipan υποχρεούται να επιλέξει έναν πάροχο υπηρεσιών cloud computing που παρέχει επαρκείς εγγυήσεις ως προς την ικανότητά του να τηρεί τα μέτρα ασφάλειας δεδομένων που ορίζονται στο Άρθρο 32 του UK GDPR.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Διαχείριση ποιότητας
    • ISO 14001 Περιβαλλοντική διαχείριση
    • ISO 22301 Ασφάλεια και ανθεκτικότητα
    • ISO 27001 Διαχείριση ασφάλειας πληροφοριών
    • ISO 50001 Διαχείριση ενέργειας
    • SOC 2 Type II Ασφάλεια και απόρρητο δεδομένων
    • PCI-DSS Ασφάλεια πληροφοριών

    Προκειμένου να διασφαλιστεί η συμμόρφωση με την απόφαση «Schrems II» του Δικαστηρίου της Ευρωπαϊκής Ένωσης (ΔΕΕ) τον Ιούλιο του 2020, όλα τα Δεδομένα Πελατών που φιλοξενούνται στην UpCloud βρίσκονται στο κέντρο δεδομένων DE-FRA1 της UpCloud στη Φρανκφούρτη, Γερμανία.

    Hetzner

    Η Marzipan έχει επιλέξει την Hetzner Online ως αξιόπιστο συνεργάτη για την παροχή πρόσθετου αποκλειστικού χώρου διακομιστή. Η Hetzner Online είναι πιστοποιημένη σύμφωνα με τα πρότυπα DIN ISO/IEC 27001. Επιπλέον, το διεθνώς αναγνωρισμένο πρότυπο για την ασφάλεια πληροφοριών πιστοποιεί ότι η Hetzner Online έχει εγκαταστήσει και εφαρμόσει κατάλληλο Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών ("ISMS").

    Η Hetzner Online αξιοποιεί το ISMS στην υποδομή και τις λειτουργίες της και στις δύο γερμανικές τοποθεσίες κέντρων δεδομένων στις οποίες η Marzipan μισθώνει αποκλειστικό χώρο διακομιστή, δηλαδή στα πάρκα κέντρων δεδομένων της Νυρεμβέργης και του Falkenstein. Η FOX certification, τρίτος φορέας πιστοποίησης, έχει ελέγξει και πιστοποιήσει τις διαδικασίες ISMS των πάρκων κέντρων δεδομένων της Hetzner Online.

    Scaleway

    Η Marzipan χρησιμοποιεί τη Scaleway για τη φιλοξενία των υπηρεσιών συναλλακτικού ηλεκτρονικού ταχυδρομείου της εφαρμογής Marzipan. Η Scaleway είναι πιστοποιημένη σύμφωνα με τα πρότυπα ISO/IEC 27001:2022. Η Scaleway φέρει την πιστοποίηση «Hébergeur de Données de Santé» (Πάροχος Φιλοξενίας Δεδομένων Υγείας) από τον Ιούλιο του 2024. Υπό τη διαχείριση του Γαλλικού Εθνικού Οργανισμού Ψηφιακής Υγείας (ANS) και την εποπτεία του Υπουργείου Υγείας, το πλαίσιο πιστοποίησης HDS είναι ένα από τα πιο απαιτητικά που πρέπει να τηρούν οι πάροχοι ψηφιακών υπηρεσιών προκειμένου να φιλοξενούν και να διαχειρίζονται δεδομένα υγείας στη Γαλλία. Η πιστοποίηση της Scaleway επιβεβαιώνει την εφαρμογή αυστηρών τεχνικών και οργανωτικών μέτρων για την προστασία των δεδομένων υγείας, τη συμμόρφωση με τις νομικές και κανονιστικές απαιτήσεις, καθώς και την υποβολή σε τακτικούς ελέγχους για τη διασφάλιση υψηλού επιπέδου ασφάλειας των δεδομένων υγείας.

  3. Κρυπτογράφηση

    Ένα ουσιαστικό βασικό στοιχείο των μέτρων ασφαλείας της Marzipan είναι η κρυπτογράφηση δεδομένων τόσο σε κατάσταση ηρεμίας όσο και κατά τη μεταφορά. Όλη η εξωτερική επικοινωνία δικτύου μεταξύ των πελατών και της εφαρμογής Marzipan μέσω δημόσιων δικτύων πραγματοποιείται με χρήση Transport Layer Security ("TLS") 1.2 ή υψηλότερης έκδοσης. Τα Δεδομένα Πελατών που αποθηκεύονται στους διακομιστές UpCloud, Scaleway και Hetzner Online της Marzipan κρυπτογραφούνται με AES 256 ή ισχυρότερο αλγόριθμο.

    Η Marzipan χρησιμοποιεί την αντίστοιχη υπηρεσία κρυπτογράφησης της UpCloud, της Scaleway και της Hetzner Online για την κρυπτογράφηση των Δεδομένων Πελατών.

    Το σύστημα κρυπτογράφησης της UpCloud είναι σχεδιασμένο έτσι ώστε κανείς, συμπεριλαμβανομένου του προσωπικού της Marzipan ή της UpCloud, να μην έχει πρόσβαση στα κλειδιά κρυπτογράφησης σε μορφή απλού κειμένου. Η UpCloud χρησιμοποιεί μονάδες ασφάλειας υλικού ("HMS") που έχουν επικυρωθεί ή βρίσκονται υπό επικύρωση σύμφωνα με το πρότυπο FIPS 140-2, για την προστασία των κλειδιών απλού κειμένου που χρησιμοποιούνται για την κρυπτογράφηση των Δεδομένων Πελατών. Όλα τα κρυπτογραφικά κλειδιά ανανεώνονται αυτόματα μία φορά τον χρόνο.

    Η κρυπτογράφηση πλήρους δίσκου της Hetzner Online χρησιμοποιεί αλγορίθμους κρυπτογράφησης AES 256 και υποχρεωτικές διαδικασίες ελέγχου ταυτότητας για την κρυπτογράφηση όλων των λογισμικών και υλικών μονάδων αποθήκευσης που φυλάσσονται στους αποκλειστικούς διακομιστές της. Αυτό ελαχιστοποιεί τον κίνδυνο απώλειας δεδομένων και μη εξουσιοδοτημένης πρόσβασης στα Δεδομένα Πελατών.

    Τα συστήματα της Marzipan χρησιμοποιούν κρυπτογράφηση μεταφοράς κάθε φορά που τα δεδομένα χρειάζεται να μεταφερθούν μέσω ανασφαλούς ή δημόσιου δικτύου. Η διεπαφή ιστού και όλα τα API που συνδέονται με την εφαρμογή Marzipan είναι προσβάσιμα μόνο μέσω συνδέσεων HTTPs, και τα συστήματα πελατών πρέπει να χρησιμοποιούν τουλάχιστον TLS 1.2 για να αποκτήσουν πρόσβαση στο σύστημα Marzipan.

  4. Περιορισμός τοποθεσιών διακομιστών στον ΕΟΧ/ΕΕ

    Το Marzipan αποθηκεύει δεδομένα αποκλειστικά στον ΕΟΧ, συγκεκριμένα στα κέντρα δεδομένων της UpCloud στη Φρανκφούρτη της Γερμανίας, στα κέντρα δεδομένων της Hetzner Online στη Νυρεμβέργη και το Φάλκενσταϊν της Γερμανίας, καθώς και στο κέντρο δεδομένων της Scaleway στο Παρίσι.

    Αυτό γίνεται για να διασφαλιστεί στον μέγιστο δυνατό βαθμό ότι τα δεδομένα των πελατών δεν μπορούν να χρησιμοποιηθούν ή να κοινοποιηθούν χωρίς εξουσιοδότηση, ιδίως υπό το πρίσμα της απόφασης Schrems II του Δικαστηρίου της Ευρωπαϊκής Ένωσης της 16ης Ιουλίου 2020, καθώς και των ανησυχιών εμπειρογνωμόνων προστασίας δεδομένων σχετικά με την εμφάνιση νόμων υποχρεωτικής παράδοσης δεδομένων στις Ηνωμένες Πολιτείες και άλλες χώρες εκτός ΕΟΧ.

  5. Καταγραφή/Αρχείο Ελέγχου

    Το Marzipan χρησιμοποιεί καταγραφή στα περιβάλλοντα UpCloud για διάφορους τομείς. Αυτοί περιλαμβάνουν:

    • Συμβάντα συστήματος·
    • Καταγραφή σφαλμάτων·
    • Δραστηριότητα χρηστών·
    • Συνδέσεις και αιτήματα προς συστήματα βάσεων δεδομένων·
    • Λοιπά συμβάντα/αρχεία ελέγχου που σχετίζονται με την ασφάλεια.

  6. Παρακολούθηση

    Το Marzipan χρησιμοποιεί διάφορα εργαλεία παρακολούθησης για να εξασφαλίζει τη μέγιστη διαθεσιμότητα και απόδοση των συστημάτων και της εφαρμογής Marzipan. Αυτά παρακολουθούν τουλάχιστον τις ακόλουθες παραμέτρους:

    Διαθεσιμότητα

    • Προσβασιμότητα της εφαρμογής
    • Προσβασιμότητα συστημάτων και υπηρεσιών υποστήριξης

    Πόροι

    • Χρήση CPU
    • Χρήση διεπαφών δικτύου
    • Χρήση μόνιμων και προσωρινών διεπαφών

    Απόδοση

    • Χρόνοι απόκρισης εφαρμογής
    • Χρόνοι απόκρισης συστημάτων υποστήριξης
    • Χρόνοι ερωτημάτων για περιεχόμενο βάσης δεδομένων MySQL

    Ασφάλεια

    • Απόδοση DS
    • Κατάσταση ενημερώσεων συστημάτων

    Παρακολούθηση

    • Αρχεία καταγραφής σφαλμάτων
    • Αρχεία καταγραφής πρόσβασης

    Επιπλέον αυτής της αυτοματοποιημένης παρακολούθησης, οι υπάλληλοι της Marzipan παρακολουθούν τα σχετικά ηλεκτρονικά μέσα και ιστολόγια (συμπεριλαμβανομένης της ανωτέρω αναφερόμενης ενημερωμένης βάσης δεδομένων OWASP), προκειμένου να μπορούν να αντιδρούν σε αυτά άμεσα.

  7. Έλεγχος Πρόσβασης

    Η Marzipan εκχωρεί στους υπαλλήλους και τους συνεργάτες της διαφορετικά επίπεδα ελέγχου πρόσβασης στα συστήματα και τις υπηρεσίες της, που φιλοξενούνται στους διακομιστές της UpCloud και της Hetzner Online. Αυτά διαχειρίζονται μέσω των αντίστοιχων συστημάτων Διαχείρισης Ταυτότητας και Πρόσβασης (IAM) της UpCloud και της Hetzner Online, τα οποία επιτρέπουν λεπτομερή κατανομή της πρόσβασης στις διάφορες υπηρεσίες.

    Η βασική αρχή της Marzipan κατά την εκχώρηση δικαιωμάτων στο προσωπικό της είναι η "ανάγκη γνώσης" (need-to-know). Στην πράξη, αυτό σημαίνει ότι στο προσωπικό της Marzipan παρέχεται πρόσβαση μόνο στις λειτουργίες που είναι απαραίτητες για την εκτέλεση των καθηκόντων του. Η πρόσβαση στα συστήματα back-end είναι εφικτή μόνο μέσω ασφαλών και πιστοποιημένων συνδέσεων. Η δημόσια έκθεση των συστημάτων back-end απαγορεύεται. Μόνο ένας αυστηρά περιορισμένος αριθμός υπαλλήλων της Marzipan έχει πρόσβαση στο σύστημα που αποθηκεύει τα δεδομένα πελατών. Αυτή η άμεση πρόσβαση προορίζεται αποκλειστικά για ανάλυση σφαλμάτων και υπόκειται σε παρακολούθηση.

  1. Το Άρθρο 32 του UK GDPR υποχρεώνει τους υπευθύνους επεξεργασίας και τους εκτελούντες την επεξεργασία να υιοθετούν μια προσέγγιση ασφάλειας δεδομένων βασισμένη στον κίνδυνο. Απαιτεί από υπευθύνους και εκτελούντες να "διασφαλίζουν επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο". Σκοπός της προσέγγισης αυτής είναι η αξιολόγηση των δυνητικών κινδύνων που ενέχει μια συγκεκριμένη δραστηριότητα και ο εντοπισμός και η εφαρμογή τεχνικών μετριασμού για τον έλεγχο και την ελαχιστοποίηση κάθε δυνητικής επίπτωσης.

Μην το πιστεύετε μόνο στα λόγια μας

“Κάναμε τη μετάβαση από το WooCommerce σε μια προσαρμοσμένη λύση που τροφοδοτείται από το Marzipan. Η διαχείριση των παραγγελιών μας είναι εύκολη υπόθεση και η ευελιξία του API συνδρομών μας επέτρεψε να αναβαθμίσουμε την προσφορά υιοθεσίας παλαιών αμπελώνων.”

Η Katie Jones κρατά μια τσουγκράνα Tuchan
Katie Jones
Owner, Domaine Jones

“Το Marzipan είναι απίστευτα εύκολο στη χρήση, εξαιρετικά ευέλικτο και παραμετροποιήσιμο. Κάνει τις επαναλαμβανόμενες λέσχες κρασιού με συνδρομή πολύ πιο απλές από οποιοδήποτε άλλο σύστημα έχω χρησιμοποιήσει, και ανταποκρίνεται σε σχεδόν ό,τι του έχουμε ζητήσει.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Owner, Domaine of the Bee