+41 52 511 (SUI)     + 1 713 955 7305 (USA)     
Polityka cyberbezpieczeństwa

 

1. Wprowadzenie i cel

1.1 Rheonics zobowiązuje się do ochrony swoich zasobów informacyjnych, w tym danych zastrzeżonych, informacji o klientach, własności intelektualnej i infrastruktury informatycznej, przed nieautoryzowanym dostępem, wykorzystaniem, ujawnieniem, zmianą, zakłóceniem lub zniszczeniem.

1.2 Niniejsza polityka ustanawia ramy dla utrzymania bezpiecznego środowiska dla Rheonicsoperacje cyfrowe, zgodne z:

  • Przepisy: szwajcarskie FADP, GDPR (w stosownych przypadkach), przepisy stanowe/federalne USA i inne obowiązujące przepisy krajowe, w przypadku których Rheonics działa.
  • Normy: zasady Zero Trust, standardy CIS, wytyczne NIST (np. SP 800-88, SP 800-171, jeśli ma zastosowanie) oraz wytyczne OWASP.

1.3 Cele:

  • Zapewnij poufność, integralność i dostępność (CIA) danych i systemów.
  • Zminimalizuj ryzyko incydentów cyberbezpieczeństwa i zapewnij ciągłość działania firmy.
  • Propagowanie wśród całego personelu kultury świadomości bezpieczeństwa.
  • Zapewnienie zgodności z obowiązkami prawnymi, regulacyjnymi i umownymi.

 

2. Zakres

Dotyczy wszystkich Rheonics pracownicy, kontrahenci, konsultanci, stażyści, wolontariusze i osoby trzecie („Użytkownicy”) uzyskujące dostęp Rheonics systemów, danych lub obiektów. Obejmuje:

2.1 Aktywa

  • sprzęt komputerowy
  • Oprogramowanie (w tym SaaS/IaaS/PaaS)
  • Dane (elektroniczne i fizyczne)
  • sieci
  • Obiekty fizyczne

2.2 Działania

  • Praca na miejscu
  • Praca zdalna
  • Korzystanie z urządzeń będących własnością firmy
  • Korzystanie z urządzeń osobistych (BYOD)
  • Działania rozwojowe
  • Interakcje z dostawcami zewnętrznymi

 

3. Role i obowiązki


RolaKluczowe obowiązki
ZarządPromuj politykę, przydzielaj zasoby, zapewnij ogólną zgodność i zarządzanie ryzykiem.
Zespół ds. IT/bezpieczeństwaWdrażanie/zarządzanie kontrolami, kierowanie reakcją na incydenty, przeprowadzanie audytów i ocen.
Wszyscy użytkownicyPrzestrzegaj zasad; używaj silnych haseł i uwierzytelniania wieloskładnikowego; zgłaszaj incydenty bezzwłocznie; ukończ szkolenie.

 

4. Oświadczenia polityczne

4.1 Bezpieczeństwo danych

  • Klasyfikacja i postępowanie: Dane muszą być klasyfikowane i obsługiwane zgodnie z wrażliwością (patrz Załącznik A). Wymagania zwiększają się wraz ze wrażliwością.
  • Szyfrowanie: Dane zastrzeżone i poufne muszą być szyfrowane w stanie spoczynku i podczas przesyłu za pomocą silnych, standardowych algorytmów branżowych.
  • Sprzedaż: Należy stosować bezpieczne metody: czyszczenie zgodne z NIST SP 800-88 dla nośników elektronicznych; niszczenie krzyżowe (P-4 lub wyższe) dla dokumentów fizycznych zawierających dane poufne lub zastrzeżone. Należy przestrzegać harmonogramów przechowywania danych.

4.2 Kontrola dostępu

  • Najmniejsze uprawnienia i RBAC: Dostęp jest przyznawany na podstawie konieczności pełnienia funkcji zawodowej (najmniejsze uprawnienia) za pomocą kontroli dostępu opartej na rolach (RBAC).
  • Poświadczenie: Wymagane są unikalne identyfikatory użytkownika. Silne hasła (patrz Załącznik B) i MFA są obowiązkowe dla usług w chmurze, dostępu zdalnego, kont administracyjnych i systemów przetwarzających dane poufne/zastrzeżone.
  • Recenzje: Prawa dostępu przeglądane kwartalnie przez menedżerów/właścicieli systemów; odwoływane natychmiast po rozwiązaniu umowy lub zmianie roli. Wymagany formalny proces zatwierdzania w przypadku przyznania/zmian dostępu.

4.3 Zasady akceptowalnego użytkowania (AUP)

  • Cel biznesowy: Rheonics zasoby są przeznaczone głównie do użytku biznesowego. Ograniczone przypadkowe użycie osobiste jest dozwolone, jeśli nie koliduje z obowiązkami, nie zużywa nadmiernych zasobów, nie powoduje kosztów ani nie narusza zasad/praw.
  • Zabronione działania: W tym między innymi: działania niezgodne z prawem, nękanie, uzyskiwanie dostępu do/dystrybucja materiałów obraźliwych, naruszanie praw autorskich, nieautoryzowana modyfikacja systemu, obchodzenie kontroli bezpieczeństwa, instalowanie nieautoryzowanego oprogramowania, wprowadzanie złośliwego oprogramowania, nieautoryzowane udostępnianie/eksfiltracja danych, nadmierne korzystanie z nich do celów osobistych.
  • Czujność użytkownika: Użytkownicy muszą zachować ostrożność podczas korzystania z poczty e-mail (phishing), przeglądania stron internetowych (szkodliwe witryny) oraz obsługi załączników/linków.

4.4 Bezpieczeństwo sieci

  • Obwód i segmentacja: Zapory sieciowe, IDS/IPS utrzymywane. Segmentacja sieci izoluje krytyczne systemy (np. R&D, produkcja) i magazyny danych.
  • Wi-Fi: Bezpieczne WPA3-Enterprise (lub WPA2-Enterprise minimum) dla sieci wewnętrznych. Gościnne Wi-Fi musi być logicznie oddzielone i nie zapewniać dostępu do zasobów wewnętrznych.
  • Zdalny dostęp: Tylko za pośrednictwem zatwierdzonego przez firmę VPN z MFA. Tunelowanie dzielone może być ograniczone.
  • Zerowe zaufanie: Wdrażanie zasad architektury Zero Trust (np. mikrosegmentów, ciągłej weryfikacji, kontroli stanu urządzeń) jest w toku i ma zostać ukończone do pierwszego kwartału 1 r. w przypadku sieci o kluczowym znaczeniu.

4.5 Bezpieczeństwo punktów końcowych będących własnością firmy

  • ochrona:Wszystkie punkty końcowe będące własnością firmy (komputery stacjonarne, laptopy, urządzenia mobilne) muszą być wyposażone w zarządzany przez firmę system Endpoint Detection & Response (EDR) lub zatwierdzone oprogramowanie antywirusowe, działające i aktualizowane.
  • Łatanie: Systemy operacyjne i aplikacje muszą być aktualizowane za pośrednictwem procesu zarządzania poprawkami firmy. Krytyczne poprawki stosowane w określonych ramach czasowych [Rheonics aby określić ramy czasowe, np. 72 godziny dla krytycznego systemu operacyjnego].
  • Szyfrowanie: Pełne szyfrowanie dysku (np. BitLocker, FileVault) jest obowiązkowe na laptopach i urządzeniach przenośnych.

4.6 Przynieś własne urządzenie (BYOD)

  • Zatwierdzenie i normy: Korzystanie z urządzeń osobistych (BYOD) w celu dostępu do danych niepublicznych Rheonics dane wymagają wyraźnej zgody i przestrzegania minimalnych standardów (patrz Załącznik D).
  • Wymagania bezpieczeństwa: Obejmuje rejestrację w systemie MDM, obsługiwane wersje systemów operacyjnych, oprogramowanie zabezpieczające, szyfrowanie, hasła, możliwość zdalnego czyszczenia oraz segregację/konteneryzację danych.
  • Zrzeczenie się: Rheonics zastrzega sobie prawo do zarządzania/usuwania danych firmowych z urządzeń BYOD; Rheonics nie ponosi odpowiedzialności za utratę danych osobowych w trakcie przeprowadzania działań bezpieczeństwa.

4.7 Bezpieczeństwo oprogramowania i zarządzanie

  • Autoryzowane oprogramowanie: Można instalować wyłącznie licencjonowane oprogramowanie zatwierdzone przez IT. Użytkownikom zabrania się instalowania nieautoryzowanych aplikacji.
  • Zarządzanie poprawkami: Dotyczy całego oprogramowania (systemu operacyjnego, aplikacji, oprogramowania sprzętowego) na wszystkich systemach (serwerach, punktach końcowych, urządzeniach sieciowych).
  • Zarządzanie podatnościami: Przeprowadzane jest regularne skanowanie luk w zabezpieczeniach. Krytyczne luki w zabezpieczeniach muszą zostać naprawione w określonych ramach czasowych [Rheonics [zdefiniować]. Testy penetracyjne przeprowadzane okresowo na systemach krytycznych.
  • Bezpieczny rozwój: (Jeśli ma to zastosowanie) Zespoły programistyczne muszą stosować bezpieczne praktyki kodowania (np. OWASP Top 10), przeprowadzać przeglądy kodu i korzystać z narzędzi do testowania zabezpieczeń (SAST/DAST).
  • Analiza składu oprogramowania (SCA): Komponenty open-source muszą zostać zinwentaryzowane i przeskanowane pod kątem luk w zabezpieczeniach. Korzystanie z oprogramowania/komponentów End-of-Life (EOL) jest zabronione, chyba że Zarząd/Bezpieczeństwo IT wyraźnie zaakceptuje ryzyko.

4.8 Bezpieczeństwo fizyczne

  • Kontrola dostępu: Dostęp do Rheonics obiekty, serwerownie i laboratoria badawczo-rozwojowe ograniczone za pomocą kontroli fizycznych (odznaki, klucze, biometria). Rejestry dostępu są prowadzone dla obszarów wrażliwych.
  • Zarządzanie gośćmi: Zwiedzający muszą się zarejestrować, otrzymać tymczasowy identyfikator i zostać odprowadzeni do miejsc niedostępnych dla ogółu społeczeństwa.
  • Bezpieczeństwo stacji roboczej: Użytkownicy muszą blokować stacje robocze, gdy nie mają przy sobie nadzoru (Windows+L / Ctrl+Cmd+Q).
  • Wyczyść biurko/ekran: Informacje wrażliwe (dokumenty fizyczne, ekrany) powinny być chronione przed nieautoryzowanym przeglądaniem, zwłaszcza na otwartych przestrzeniach lub przy pozostawianiu biurek bez nadzoru. Używane są bezpieczne pojemniki na odpady.

4.9 Bezpieczeństwo w chmurze

  • Zatwierdzone usługi: Wykorzystanie usług w chmurze (SaaS, IaaS, PaaS) Rheonics dane muszą zostać zatwierdzone przez dział IT/bezpieczeństwa.
  • Konfiguracja i monitorowanieoring: Usługi muszą być skonfigurowane bezpiecznie, zgodnie z CIS Benchmarks, jeśli ma to zastosowanie (AWS/GCP/Azure). Zasady dostępu warunkowego (np. geolokalizacja, zgodność urządzenia) muszą być egzekwowane. Rejestrowanie aktywności API i użytkownika włączone i monitorowane.
  • Ochrona danych: Upewnij się, że dostawcy usług w chmurze spełniają Rheonics' bezpieczeństwo danych, szyfrowanie, tworzenie kopii zapasowych i wymagania dotyczące miejsca zamieszkania za pośrednictwem umów i ocen.

4.10 Zarządzanie stronami trzecimi/dostawcami

  • Ocena ryzyka: Oceny bezpieczeństwa przeprowadzane przed nawiązaniem współpracy z dostawcami, którzy uzyskują dostęp, przetwarzają i przechowują dane Rheonics danych lub łączyć się z sieciami. Poziom ryzyka określa głębokość oceny.
  • Wymagania umowne: Umowy muszą zawierać klauzule dotyczące poufności, ochrony danych (w tym klauzule DPA w przypadku przetwarzania danych osobowych zgodnie z RODO/FADP), kontroli bezpieczeństwa, powiadamiania o incydentach i praw audytorskich.
  • Bieżący monitoringoring: Okresowy przegląd stanu bezpieczeństwa najważniejszych dostawców.

4.11 Reagowanie na incydenty

  • Raportowanie: Podejrzenia incydentów należy zgłaszać natychmiast (w ciągu 1 godziny od wykrycia) za pośrednictwem () lub (kanał wewnętrznych zespołów firmy 24/7).
  • Plan reagowania: Rheonics utrzymuje Plan Reagowania na Incydenty (IRP). Zobacz Załącznik C, aby zapoznać się z podstawowym przepływem.
  • Incydenty krytyczne: (np. ransomware, potwierdzone naruszenie danych) Wyzwalaj działania eskalacyjne i powstrzymujące (cel w ciągu 4 godzin). Powiadomienie prawne/wykonawcze następuje zgodnie z harmonogramami określonymi przez przepisy (np. powiadomienie o naruszeniu GDPR/FADP w ciągu 72 godzin, jeśli ma zastosowanie).
  • Współpraca: Wszyscy Użytkownicy są zobowiązani do pełnej współpracy z organami prowadzącymi dochodzenia w sprawie incydentów.

 

5. Wykonanie

Naruszenia będą rozpatrywane na podstawie ich wagi i zamiaru, zgodnie z lokalnym prawem pracy.

NaruszeniePrzykładKonsekwencja (przykłady)
MollPrzypadkowe odstępstwo od zasad; pominięte szkolenie niemające krytycznego znaczeniaOstrzeżenie pisemne; obowiązkowe przekwalifikowanie
MajorUdostępnianie danych uwierzytelniających; powtarzające się drobne naruszenia; instalowanie nieautoryzowanego oprogramowania P2PZawieszenie; formalne działanie dyscyplinarne
Krytyczny / celowyCelowe naruszenie danych; złośliwa działalność; sabotażZakończenie; potencjalne działania prawne

 

6. Utrzymanie polityki

  • Przejrzyj Cadence: Przeglądane co najmniej raz w roku przez Właściciela Polityki (Szefa IT) i interesariuszy.
  • Wyzwalacze recenzji: Przeglądy ad hoc przeprowadzane w następujących przypadkach: poważne incydenty bezpieczeństwa, istotne zmiany regulacyjne (np. nowe przepisy dotyczące prywatności danych), istotne zmiany technologiczne/infrastrukturalne (np. duża migracja do chmury), ustalenia audytu.
  • Nowości : Zatwierdzone zmiany zostały przekazane wszystkim użytkownikom.

 

7. Załączniki

7.1 Załącznik A: Klasyfikacja danych

KlasyfikacjaPrzykładWymagania dotyczące obsługi
ograniczonyDane osobowe klienta, kod źródłowy R&D, klucze kryptograficzne• Szyfrowanie (w stanie spoczynku/transmisji)
• Ścisłe dzienniki dostępu
• Konieczność wiedzy + wyraźna zgoda
• Roczny przegląd dostępu
PoufnyAkta pracownicze, dane finansowe, strategie wewnętrzne• MFA zalecane/wymagane
• Zasada „potrzeby wiedzy”
• Ograniczone udostępnianie wewnętrzne
WewnętrzneNotatki ze spotkań, zasady wewnętrzne, komunikacja ogólna• Nie udostępniaj danych osobom trzecim bez uprzedniej zgody.
• Korzystaj z systemów firmowych
PubliczneMateriały marketingowe, treści publiczne na stronie internetowej• Brak ograniczeń w zakresie obsługi/udostępniania

 

7.2 Załącznik B: Wymagania dotyczące hasła

  • Minimalna długość:
    • Konta użytkowników: 12 znaków
    • Konta administratora/usługi: 16 znaków
  • Złożoność
    • Co najmniej 3 z 4: wielkie litery, małe litery, cyfry, symbole (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Nie może zawierać nazwy użytkownika ani powszechnych słów słownikowych.
  • Rotacja
    • Maksymalnie 90 dni (chyba że zastosowano zatwierdzone metody ciągłego uwierzytelniania).
  • Wsparcia Sponsorskiego
    • Poprzednich 5 haseł nie można używać ponownie.
  • Przechowywanie:
    • Nie wolno zapisywać bez zabezpieczenia. Używaj menedżera haseł zatwierdzonego przez firmę (np. Bitwarden, 1Password) do storing złożone unikalne hasła. Udostępnianie haseł zabronione. Omijanie MFA zabronione.

 

7.3 Załącznik C: Przepływ reakcji na incydenty

  • Wykrywanie i analiza: Identyfikuj potencjalne incydenty.
  • Raportowanie: Natychmiastowe zgłoszenie (w ciągu 1 godziny) do działu IT/bezpieczeństwa za pośrednictwem zdefiniowanych kanałów.
  • Triage i ocena: Dział IT/bezpieczeństwa ocenia powagę i wpływ.
  • Powstrzymywanie: Odizoluj zagrożone systemy/konta (w ciągu 4 godzin w przypadku incydentów krytycznych).
  • Likwidacja: Usuń zagrożenie/lukę.
  • regeneracja: Przywracanie systemów/danych w bezpieczny sposób.
  • Przegląd po incydencie: Wyciągnięte wnioski, udoskonalenie procesów.
    • Powiadomienie: Powiadomienia prawne/regulacyjne/klienckie wysyłane zgodnie z wymaganiami oceny (np. w ciągu 72 godzin w przypadku naruszenia danych osobowych zgodnie z RODO/FADP).

 

7.4. Załącznik D: Minimalne standardy BYOD

  • Zatwierdzenie: Wymagane przed uzyskaniem dostępu do danych niepublicznych.
  • Wymagania dotyczące urządzenia:
    • Wersje systemu operacyjnego: Musi działać na aktualnie obsługiwanych przez dostawcę wersjach (np. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Bezpieczeństwo: Włączona blokada ekranu/zabezpieczenia biometryczne; włączone szyfrowanie urządzenia; może być wymagane zatwierdzone oprogramowanie zabezpieczające (antymalware/AV); urządzenie nie jest odblokowane ani zrootowane.
    • MDM:Zapisy do RheonicsRozwiązanie Mobile Device Management (MDM) jest obowiązkowe.
    • Zdalne czyszczenie: Funkcja musi być włączona dla danych/profilu firmy.
  • Segregacja danych: Dane firmy dostępne/przechowywane za pośrednictwem zatwierdzonych aplikacji w zarządzanym profilu lub kontenerze (np. Microsoft Intune MAM, Android Work Profile). Brak kopiowania danych firmy do osobistych aplikacji/pamięci masowej.
  • Sieć:Łącz się za pomocą bezpiecznej sieci Wi-Fi. Unikaj niezaufanych publicznych sieci Wi-Fi w pracy.

 

8. Kontakt i potwierdzenie

  • Pytania/obawy dotyczące bezpieczeństwa: Kontakt () lub zespołem IT/bezpieczeństwa za pośrednictwem kanałów wewnętrznych.
  • Zgłaszaj zdarzenia: Użyj pilnych metod: () i (kanał wewnętrznych zespołów firmowych 24/7).
  • Potwierdzenie: Wszyscy użytkownicy są zobowiązani do przeczytania, zrozumienia i potwierdzenia odbioru niniejszej polityki w formie elektronicznej za pośrednictwem (Portalu HR, Systemu szkoleniowego) po włączeniu i śledzeniu istotnych aktualizacji. Brak potwierdzenia nie neguje stosowalności polityki.
Pobierz Politykę cyberbezpieczeństwa
Rheonics Polityka cyberbezpieczeństwa
Szukaj