+41 52 511 (SUI) + 1 713 955 7305 (USA)
Polityka cyberbezpieczeństwa

 

1. Wprowadzenie i cel

1.1 Rheonics zobowiązuje się do ochrony swoich zasobów informacyjnych, w tym danych zastrzeżonych, informacji o klientach, własności intelektualnej i infrastruktury informatycznej, przed nieautoryzowanym dostępem, wykorzystaniem, ujawnieniem, zmianą, zakłóceniem lub zniszczeniem.

1.2 Niniejsza polityka ustanawia ramy dla utrzymania bezpiecznego środowiska dla Rheonicsoperacje cyfrowe, zgodne z:

  • Przepisy: szwajcarskie FADP, GDPR (w stosownych przypadkach), przepisy stanowe/federalne USA i inne obowiązujące przepisy krajowe, w przypadku których Rheonics działa.
  • Normy: zasady Zero Trust, standardy CIS, wytyczne NIST (np. SP 800-88, SP 800-171, jeśli ma zastosowanie) oraz wytyczne OWASP.

1.3 Cele:

  • Zapewnij poufność, integralność i dostępność (CIA) danych i systemów.
  • Zminimalizuj ryzyko incydentów cyberbezpieczeństwa i zapewnij ciągłość działania firmy.
  • Propagowanie wśród całego personelu kultury świadomości bezpieczeństwa.
  • Zapewnienie zgodności z obowiązkami prawnymi, regulacyjnymi i umownymi.

 

2. Zakres

Dotyczy wszystkich Rheonics pracownicy, kontrahenci, konsultanci, stażyści, wolontariusze i osoby trzecie („Użytkownicy”) uzyskujące dostęp Rheonics systemów, danych lub obiektów. Obejmuje:

2.1 Aktywa

  • sprzęt komputerowy
  • Oprogramowanie (w tym SaaS/IaaS/PaaS)
  • Dane (elektroniczne i fizyczne)
  • sieci
  • Obiekty fizyczne

2.2 Działania

  • Praca na miejscu
  • Praca zdalna
  • Korzystanie z urządzeń będących własnością firmy
  • Korzystanie z urządzeń osobistych (BYOD)
  • Działania rozwojowe
  • Interakcje z dostawcami zewnętrznymi

 

3. Role i obowiązki


RolaKluczowe obowiązki
ZarządPromuj politykę, przydzielaj zasoby, zapewnij ogólną zgodność i zarządzanie ryzykiem.
Zespół ds. IT/bezpieczeństwaWdrażanie/zarządzanie kontrolami, kierowanie reakcją na incydenty, przeprowadzanie audytów i ocen.
Wszyscy użytkownicyPrzestrzegaj zasad; używaj silnych haseł i uwierzytelniania wieloskładnikowego; zgłaszaj incydenty bezzwłocznie; ukończ szkolenie.

 

4. Oświadczenia polityczne

4.1 Bezpieczeństwo danych

  • Klasyfikacja i postępowanie: Dane muszą być klasyfikowane i obsługiwane zgodnie z wrażliwością (patrz Załącznik A). Wymagania zwiększają się wraz ze wrażliwością.
  • Szyfrowanie: Dane zastrzeżone i poufne muszą być szyfrowane w stanie spoczynku i podczas przesyłu za pomocą silnych, standardowych algorytmów branżowych.
  • Sprzedaż: Należy stosować bezpieczne metody: czyszczenie zgodne z NIST SP 800-88 dla nośników elektronicznych; niszczenie krzyżowe (P-4 lub wyższe) dla dokumentów fizycznych zawierających dane poufne lub zastrzeżone. Należy przestrzegać harmonogramów przechowywania danych.

4.2 Kontrola dostępu

  • Najmniejsze uprawnienia i RBAC: Dostęp jest przyznawany na podstawie konieczności pełnienia funkcji zawodowej (najmniejsze uprawnienia) za pomocą kontroli dostępu opartej na rolach (RBAC).
  • Poświadczenie: Wymagane są unikalne identyfikatory użytkownika. Silne hasła (patrz Załącznik B) i MFA są obowiązkowe dla usług w chmurze, dostępu zdalnego, kont administracyjnych i systemów przetwarzających dane poufne/zastrzeżone.
  • Recenzje: Prawa dostępu przeglądane kwartalnie przez menedżerów/właścicieli systemów; odwoływane natychmiast po rozwiązaniu umowy lub zmianie roli. Wymagany formalny proces zatwierdzania w przypadku przyznania/zmian dostępu.

4.3 Zasady akceptowalnego użytkowania (AUP)

  • Cel biznesowy: Rheonics zasoby są przeznaczone głównie do użytku biznesowego. Ograniczone przypadkowe użycie osobiste jest dozwolone, jeśli nie koliduje z obowiązkami, nie zużywa nadmiernych zasobów, nie powoduje kosztów ani nie narusza zasad/praw.
  • Zabronione działania: W tym między innymi: działania niezgodne z prawem, nękanie, uzyskiwanie dostępu do/dystrybucja materiałów obraźliwych, naruszanie praw autorskich, nieautoryzowana modyfikacja systemu, obchodzenie kontroli bezpieczeństwa, instalowanie nieautoryzowanego oprogramowania, wprowadzanie złośliwego oprogramowania, nieautoryzowane udostępnianie/eksfiltracja danych, nadmierne korzystanie z nich do celów osobistych.
  • Czujność użytkownika: Użytkownicy muszą zachować ostrożność podczas korzystania z poczty e-mail (phishing), przeglądania stron internetowych (szkodliwe witryny) oraz obsługi załączników/linków.

4.4 Bezpieczeństwo sieci

  • Obwód i segmentacja: Zapory sieciowe, IDS/IPS utrzymywane. Segmentacja sieci izoluje krytyczne systemy (np. R&D, produkcja) i magazyny danych.
  • Wi-Fi: Bezpieczne WPA3-Enterprise (lub WPA2-Enterprise minimum) dla sieci wewnętrznych. Gościnne Wi-Fi musi być logicznie oddzielone i nie zapewniać dostępu do zasobów wewnętrznych.
  • Zdalny dostęp: Tylko za pośrednictwem zatwierdzonego przez firmę VPN z MFA. Tunelowanie dzielone może być ograniczone.
  • Zerowe zaufanie: Wdrażanie zasad architektury Zero Trust (np. mikrosegmentów, ciągłej weryfikacji, kontroli stanu urządzeń) jest w toku i ma zostać ukończone do pierwszego kwartału 1 r. w przypadku sieci o kluczowym znaczeniu.

4.5 Bezpieczeństwo punktów końcowych będących własnością firmy

  • ochrona:Wszystkie punkty końcowe będące własnością firmy (komputery stacjonarne, laptopy, urządzenia mobilne) muszą być wyposażone w zarządzany przez firmę system Endpoint Detection & Response (EDR) lub zatwierdzone oprogramowanie antywirusowe, działające i aktualizowane.
  • Łatanie: Systemy operacyjne i aplikacje muszą być aktualizowane za pośrednictwem procesu zarządzania poprawkami firmy. Krytyczne poprawki stosowane w określonych ramach czasowych [Rheonics aby określić ramy czasowe, np. 72 godziny dla krytycznego systemu operacyjnego].
  • Szyfrowanie: Pełne szyfrowanie dysku (np. BitLocker, FileVault) jest obowiązkowe na laptopach i urządzeniach przenośnych.

4.6 Przynieś własne urządzenie (BYOD)

  • Zatwierdzenie i normy: Korzystanie z urządzeń osobistych (BYOD) w celu dostępu do danych niepublicznych Rheonics dane wymagają wyraźnej zgody i przestrzegania minimalnych standardów (patrz Załącznik D).
  • Wymagania bezpieczeństwa: Obejmuje rejestrację w systemie MDM, obsługiwane wersje systemów operacyjnych, oprogramowanie zabezpieczające, szyfrowanie, hasła, możliwość zdalnego czyszczenia oraz segregację/konteneryzację danych.
  • Zrzeczenie się: Rheonics zastrzega sobie prawo do zarządzania/usuwania danych firmowych z urządzeń BYOD; Rheonics nie ponosi odpowiedzialności za utratę danych osobowych w trakcie przeprowadzania działań bezpieczeństwa.

4.7 Bezpieczeństwo oprogramowania i zarządzanie

  • Autoryzowane oprogramowanie: Można instalować wyłącznie licencjonowane oprogramowanie zatwierdzone przez IT. Użytkownikom zabrania się instalowania nieautoryzowanych aplikacji.
  • Zarządzanie poprawkami: Dotyczy całego oprogramowania (systemu operacyjnego, aplikacji, oprogramowania sprzętowego) na wszystkich systemach (serwerach, punktach końcowych, urządzeniach sieciowych).
  • Zarządzanie podatnościami: Przeprowadzane jest regularne skanowanie luk w zabezpieczeniach. Krytyczne luki w zabezpieczeniach muszą zostać naprawione w określonych ramach czasowych [Rheonics [zdefiniować]. Testy penetracyjne przeprowadzane okresowo na systemach krytycznych.
  • Bezpieczny rozwój: (Jeśli ma to zastosowanie) Zespoły programistyczne muszą stosować bezpieczne praktyki kodowania (np. OWASP Top 10), przeprowadzać przeglądy kodu i korzystać z narzędzi do testowania zabezpieczeń (SAST/DAST).
  • Analiza składu oprogramowania (SCA): Komponenty open-source muszą zostać zinwentaryzowane i przeskanowane pod kątem luk w zabezpieczeniach. Korzystanie z oprogramowania/komponentów End-of-Life (EOL) jest zabronione, chyba że Zarząd/Bezpieczeństwo IT wyraźnie zaakceptuje ryzyko.

4.8 Bezpieczeństwo fizyczne

  • Kontrola dostępu: Dostęp do Rheonics obiekty, serwerownie i laboratoria badawczo-rozwojowe ograniczone za pomocą kontroli fizycznych (odznaki, klucze, biometria). Rejestry dostępu są prowadzone dla obszarów wrażliwych.
  • Zarządzanie gośćmi: Zwiedzający muszą się zarejestrować, otrzymać tymczasowy identyfikator i zostać odprowadzeni do miejsc niedostępnych dla ogółu społeczeństwa.
  • Bezpieczeństwo stacji roboczej: Użytkownicy muszą blokować stacje robocze, gdy nie mają przy sobie nadzoru (Windows+L / Ctrl+Cmd+Q).
  • Wyczyść biurko/ekran: Informacje wrażliwe (dokumenty fizyczne, ekrany) powinny być chronione przed nieautoryzowanym przeglądaniem, zwłaszcza na otwartych przestrzeniach lub przy pozostawianiu biurek bez nadzoru. Używane są bezpieczne pojemniki na odpady.

4.9 Bezpieczeństwo w chmurze

  • Zatwierdzone usługi: Wykorzystanie usług w chmurze (SaaS, IaaS, PaaS) Rheonics dane muszą zostać zatwierdzone przez dział IT/bezpieczeństwa.
  • Konfiguracja i monitorowanie: Usługi muszą być skonfigurowane bezpiecznie, zgodnie z CIS Benchmarks, jeśli ma to zastosowanie (AWS/GCP/Azure). Zasady dostępu warunkowego (np. geolokalizacja, zgodność urządzenia) muszą być egzekwowane. Rejestrowanie aktywności API i użytkownika włączone i monitorowane.
  • Ochrona danych: Upewnij się, że dostawcy usług w chmurze spełniają Rheonics' bezpieczeństwo danych, szyfrowanie, tworzenie kopii zapasowych i wymagania dotyczące miejsca zamieszkania za pośrednictwem umów i ocen.

4.10 Zarządzanie stronami trzecimi/dostawcami

  • Ocena ryzyka: Oceny bezpieczeństwa przeprowadzane przed nawiązaniem współpracy z dostawcami, którzy uzyskują dostęp, przetwarzają i przechowują dane Rheonics danych lub łączyć się z sieciami. Poziom ryzyka określa głębokość oceny.
  • Wymagania umowne: Umowy muszą zawierać klauzule dotyczące poufności, ochrony danych (w tym klauzule DPA w przypadku przetwarzania danych osobowych zgodnie z RODO/FADP), kontroli bezpieczeństwa, powiadamiania o incydentach i praw audytorskich.
  • Monitorowanie na żywo: Okresowy przegląd stanu bezpieczeństwa najważniejszych dostawców.

4.11 Reagowanie na incydenty

  • Raportowanie: Podejrzenia incydentów należy zgłaszać natychmiast (w ciągu 1 godziny od wykrycia) za pośrednictwem () lub (kanał wewnętrznych zespołów firmy 24/7).
  • Plan reagowania: Rheonics utrzymuje Plan Reagowania na Incydenty (IRP). Zobacz Załącznik C, aby zapoznać się z podstawowym przepływem.
  • Incydenty krytyczne: (np. ransomware, potwierdzone naruszenie danych) Wyzwalaj działania eskalacyjne i powstrzymujące (cel w ciągu 4 godzin). Powiadomienie prawne/wykonawcze następuje zgodnie z harmonogramami określonymi przez przepisy (np. powiadomienie o naruszeniu GDPR/FADP w ciągu 72 godzin, jeśli ma zastosowanie).
  • Współpraca: Wszyscy Użytkownicy są zobowiązani do pełnej współpracy z organami prowadzącymi dochodzenia w sprawie incydentów.

 

5. Wykonanie

Naruszenia będą rozpatrywane na podstawie ich wagi i zamiaru, zgodnie z lokalnym prawem pracy.

NaruszeniePrzykładKonsekwencja (przykłady)
MollPrzypadkowe odstępstwo od zasad; pominięte szkolenie niemające krytycznego znaczeniaOstrzeżenie pisemne; obowiązkowe przekwalifikowanie
MajorUdostępnianie danych uwierzytelniających; powtarzające się drobne naruszenia; instalowanie nieautoryzowanego oprogramowania P2PZawieszenie; formalne działanie dyscyplinarne
Krytyczny / celowyCelowe naruszenie danych; złośliwa działalność; sabotażZakończenie; potencjalne działania prawne

 

6. Utrzymanie polityki

  • Przejrzyj Cadence: Przeglądane co najmniej raz w roku przez Właściciela Polityki (Szefa IT) i interesariuszy.
  • Wyzwalacze recenzji: Przeglądy ad hoc przeprowadzane w następujących przypadkach: poważne incydenty bezpieczeństwa, istotne zmiany regulacyjne (np. nowe przepisy dotyczące prywatności danych), istotne zmiany technologiczne/infrastrukturalne (np. duża migracja do chmury), ustalenia audytu.
  • Nowości : Zatwierdzone zmiany zostały przekazane wszystkim użytkownikom.

 

7. Załączniki

7.1 Załącznik A: Klasyfikacja danych

KlasyfikacjaPrzykładWymagania dotyczące obsługi
ograniczonyDane osobowe klienta, kod źródłowy R&D, klucze kryptograficzne• Szyfrowanie (w stanie spoczynku/transmisji)
• Ścisłe dzienniki dostępu
• Konieczność wiedzy + wyraźna zgoda
• Roczny przegląd dostępu
PoufnyAkta pracownicze, dane finansowe, strategie wewnętrzne• MFA zalecane/wymagane
• Zasada „potrzeby wiedzy”
• Ograniczone udostępnianie wewnętrzne
WewnętrzneNotatki ze spotkań, zasady wewnętrzne, komunikacja ogólna• Nie udostępniaj danych osobom trzecim bez uprzedniej zgody.
• Korzystaj z systemów firmowych
PubliczneMateriały marketingowe, treści publiczne na stronie internetowej• Brak ograniczeń w zakresie obsługi/udostępniania

 

7.2 Załącznik B: Wymagania dotyczące hasła

  • Minimalna długość:
    • Konta użytkowników: 12 znaków
    • Konta administratora/usługi: 16 znaków
  • Złożoność
    • Co najmniej 3 z 4: wielkie litery, małe litery, cyfry, symbole (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Nie może zawierać nazwy użytkownika ani powszechnych słów słownikowych.
  • Rotacja
    • Maksymalnie 90 dni (chyba że zastosowano zatwierdzone metody ciągłego uwierzytelniania).
  • History
    • Poprzednich 5 haseł nie można używać ponownie.
  • Przechowywanie:
    • Nie wolno zapisywać bez zabezpieczeń. Do przechowywania złożonych, unikatowych haseł należy używać menedżera haseł zatwierdzonego przez firmę (np. Bitwarden, 1Password). Udostępnianie haseł jest zabronione. Omijanie uwierzytelniania wieloskładnikowego jest zabronione.

 

7.3 Załącznik C: Przepływ reakcji na incydenty

  • Wykrywanie i analiza: Identyfikuj potencjalne incydenty.
  • Raportowanie: Natychmiastowe zgłoszenie (w ciągu 1 godziny) do działu IT/bezpieczeństwa za pośrednictwem zdefiniowanych kanałów.
  • Triage i ocena: Dział IT/bezpieczeństwa ocenia powagę i wpływ.
  • Powstrzymywanie: Odizoluj zagrożone systemy/konta (w ciągu 4 godzin w przypadku incydentów krytycznych).
  • Likwidacja: Usuń zagrożenie/lukę.
  • regeneracja: Przywracanie systemów/danych w bezpieczny sposób.
  • Przegląd po incydencie: Wyciągnięte wnioski, udoskonalenie procesów.
    • Powiadomienie: Powiadomienia prawne/regulacyjne/klienckie wysyłane zgodnie z wymaganiami oceny (np. w ciągu 72 godzin w przypadku naruszenia danych osobowych zgodnie z RODO/FADP).

 

7.4. Załącznik D: Minimalne standardy BYOD

  • Zatwierdzenie: Wymagane przed uzyskaniem dostępu do danych niepublicznych.
  • Wymagania dotyczące urządzenia:
    • Wersje systemu operacyjnego: Musi działać na aktualnie obsługiwanych przez dostawcę wersjach (np. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Bezpieczeństwo: Włączona blokada ekranu/zabezpieczenia biometryczne; włączone szyfrowanie urządzenia; może być wymagane zatwierdzone oprogramowanie zabezpieczające (antymalware/AV); urządzenie nie jest odblokowane ani zrootowane.
    • MDM:Zapisy do RheonicsRozwiązanie Mobile Device Management (MDM) jest obowiązkowe.
    • Zdalne czyszczenie: Funkcja musi być włączona dla danych/profilu firmy.
  • Segregacja danych: Dane firmy dostępne/przechowywane za pośrednictwem zatwierdzonych aplikacji w zarządzanym profilu lub kontenerze (np. Microsoft Intune MAM, Android Work Profile). Brak kopiowania danych firmy do osobistych aplikacji/pamięci masowej.
  • Sieć:Łącz się za pomocą bezpiecznej sieci Wi-Fi. Unikaj niezaufanych publicznych sieci Wi-Fi w pracy.

 

8. Kontakt i potwierdzenie

  • Pytania/obawy dotyczące bezpieczeństwa: Kontakt () lub zespołem IT/bezpieczeństwa za pośrednictwem kanałów wewnętrznych.
  • Zgłaszaj zdarzenia: Użyj pilnych metod: () i (kanał wewnętrznych zespołów firmowych 24/7).
  • Potwierdzenie: Wszyscy użytkownicy są zobowiązani do przeczytania, zrozumienia i potwierdzenia odbioru niniejszej polityki w formie elektronicznej za pośrednictwem (Portalu HR, Systemu szkoleniowego) po włączeniu i śledzeniu istotnych aktualizacji. Brak potwierdzenia nie neguje stosowalności polityki.
Pobierz Politykę cyberbezpieczeństwa
Rheonics Polityka cyberbezpieczeństwa
Integracja z kalendarzem Outlook; wyszukiwanie wg lokalizacji, rozmiaru i układu; dostępność udogodnień (projektor, ekran, sterowanie głosem itd.); zamawianie posiłków przed spotkaniem