Merki Pírata

Lagasafn Pírata | [Fundargerð samþykktar]

Ytri öryggisstefna Pírata

1. Markmið ytri öryggisstefnu

Það er stefna Pírata, kt. 461212-0690 (hér eftir „félagið“ eða „Píratar“) að tryggja öryggi þeirra upplýsinga og gagna sem félagið hefur í sinni vörslu sem varða starfsfólk, félagsfólk auk annarra þátta sem þykja viðkvæmir eðlis. Þetta skal gert m.t.t. leyndar, réttleika og tiltækileika. Það er okkar stefna að standa vörð um öryggi gagna og þess búnaðar sem gögnin eru rekin á.

Það er stefna félagsins að tryggja öryggi þeirra gagna og upplýsinga sem félagið hefur í sinni vörslu. Gögn og upplýsingar geta varðað starfsfólk, félagsfólk, samstarfsaðila og aðra þætti sem þykja viðkvæmir eðlis. Öryggi skal tryggt með leynd, réttum og uppfærðum upplýsingum þegar við á og til þess skal séð að upplýsingar séu tiltækar þegar þess er þörf. Það er okkar stefna að standa vörð um öryggi gagna og þess búnaðar sem gögnin eru geymd á.

Félagið hefur gripið til ráðstafana til að tryggja ytra öryggi þegar kemur að geymslu og notkun persónuupplýsinga.

2. Gildissvið

Stefna þessi nær til þeirra persónuupplýsinga sem félagið hefur aðgengi að til þess að geta sinnt störfum sínum og öðrum lögbundnum skyldum.

3. Notkun tækni við vinnslu persónuupplýsinga

Svo að starfsfólk og sjálfboðaliðar Pírata geti sinnt störfum sínum og öðrum lögbundnum skyldum þarf að geyma og vinna persónuupplýsingar í gegnum vinnsluaðila sem eru staðsettir fyrir utan starfsstöðvar félagsins. Um er að ræða gagnageymslu, notkun á Interneti, launagreiðslur, samskipti við félagsfólk og annað sem fellur undir venjubundna vinnslu persónugreinanlegra upplýsinga í störfum félagsins.

4. Umfang

Öryggisstefna þessi tekur til meðfara persónuupplýsinga. Hún tekur til umgengni og vistunar allra upplýsinga á hvaða formi sem er og á hvaða miðli sem er. Stefnan tekur til allra samskipta, starfsfólks, félagsmeðlima, aðila í trúnaðarstörfum, samstarfsaðila félagsins og þeirra fyrirtækja sem gætu fengið aðgang að persónugreinanlegum upplýsingum í vörslu félagsins. Hún tekur einnig til hvers konar skráningar, vinnslu, samskipta, dreifingar, geymslu, afritunar og eyðingu upplýsinga. Öryggisstefnan tekur jafnframt til húsnæðis og búnaðar þar sem upplýsingar eru meðhöndlaðar eða vistaðar sem og starfsfólks og annarra samningsbundinna aðila sem hafa aðgang að upplýsingum í vörslu félagsins.

5. Stefna, framkvæmd og eftirfylgni

Tryggja skal að eftirfarandi atriði varðandi vernd og meðferð upplýsinga séu höfð að leiðarljósi í öllum rekstri félagsins:

  1. Upplýsingar séu ætíð réttar og tiltækilegar þeim sem hafa aðgangsrétt.
  2. Trúnaðarupplýsingar séu óaðgengilegar óviðkomandi og verndaðar gegn skemmdum, eyðingu eða uppljóstrun til aðila sem hafa ekki aðgangsrétt hvort sem er af ásetningi eða gáleysi.
  3. Leynd upplýsinga og trúnaði sé viðhaldið.
  4. Upplýsingar berist ekki óviðkomandi af ásetningi eða gáleysi.
  5. Upplýsingar séu verndaðar gegn þjófnaði, eldi, náttúruhamförum o.þ.h.
  6. Upplýsingar séu verndaðar gegn skemmdum og eyðingu af völdum tölvuveira.
  7. Alltaf séu til áreiðanleg og örugglega varðveitt afrit af helstu gögnum og hugbúnaðarkerfum.
  8. Upplýsingar sem berast um netmiðla, svo sem í tölvupósti, fari á réttan viðtakanda ósködduð og án truflana. Þess skal gætt að upplýsingar berist ekki óviðkomandi aðilum, hvort sem er af gáleysi eða ásetningi.
  9. Til að tryggja ytra öryggi, t.d. tæknibúnað og þess háttar, skulu vera gerðar áætlanir um samfelldan rekstur viðhalds, og þær prófaðar eins og kostur er.
  10. Frávik, brot eða grunur um veikleika í upplýsinga- og gagnaöryggi séu tilkynnt og rannsökuð. Leiki grunur á að um refsivert athæfi sé að ræða skal það tilkynnt til stjórnar eða framkvæmdastjóra félagsins og rannsakað í samstarfi við þar til bær yfirvöld.

Ofangreint skal tryggt með eftirfarandi hætti:

  1. Halda skal skrá yfir persónugreinanleg gögn og þá aðila sem hafa aðgang að þeim.
  2. Halda áhættu innan ásættanlegra marka með því að búa til og fylgja ferlum og vinnuaðferðum er snúa að meðferð upplýsinga, m.a. með framkvæmd áhættumats þegar breytingar verða á starfsemi.
  3. Greina reglulega með formlegu áhættumati verðmæti upplýsingaeigna, viðkvæmni þeirra og ógnir sem geta stefnt þeim í hættu.
  4. Fylgja og hlíta lögum og reglugerðum sem um starfsemina gilda.
  5. Félagið og gagnaðilar standi við skuldbindingar og skilmála í samningum sem félagið er aðili að og varða upplýsingaöryggi.
  6. Allt starfsfólk, þjónustufyrirtæki sem starfa fyrir félagið, verktakar og aðrir aðilar sem framkvæma vinnu fyrir hönd félagsins skulu vera upplýstir um öryggisstefnu félagsins, stjórnkerfi upplýsingaöryggis og undirrita trúnaðaryfirlýsingu.

6. Vinnsluaðilar

Tryggja skal öruggan rekstur kerfa Pírata með því að vera í góðum samskiptum við þau þjónustufyrirtæki sem sinna rekstri kerfa fyrir hönd félagsins. Gerðir hafa verið vinnslusamningar við þá aðila sem sinna þjónustu fyrir hönd Pírata og gætu fengið aðgang að persónuupplýsingum við veitingu þeirrar þjónustu.

7. Ábyrgð

Framkvæmdaráð og framkvæmdastjóri Pírata bera ábyrgð á því að öryggisstefnu þessari sé fylgt í allri starfsemi félagsins og að starfsfólk, fyrirtæki og verktakar sem starfa í umboði félagsins séu upplýst um stefnuna og að hún sé bindandi fyrir þau.

Athugasemdum varðandi öryggisstefnu þessa skal koma á framfæri, eftir atvikum, við persónuverndarfulltrúa félagsins; framkvæmdaráð/stjórn eða framkvæmdastjóra félagsins.

8. Endurskoðun

Öryggisstefnu þessa skal endurskoða í tengslum við allar meiriháttar breytingar á rekstri eða rekstrarumhverfi félagsins. Framkvæmdaráð og framkvæmdastjóri félagsins skal sjá til þess að viðhalda réttleika öryggisstefnunnar og hafa frumkvæði að reglulegri endurskoðun.

Þessi vefur keyrir á Jekyll og er hýstur á GitHub.