PhotoRobot Mesures Tècniques i Organitzatives (TOMs)
Aquest document defineix les Mesures Tècniques i Organitzatives (TOMs) de PhotoRobot d'acord amb l'Article 32 GDPR: Versió 1.0 – Edició PhotoRobot, uni-Robot Ltd., República Txeca. El document ha estat actualitzat per última vegada a 31 de desembre de 2025 i dóna suport al compliment de les obligacions contractuals de PhotoRobot sota la DPA i la SLA.
1. Introducció - PhotoRobot TOMs
Aquest document descriu les Mesures Tècniques i Organitzatives (TOMs) implementades per uni-Robot Ltd. (PhotoRobot) per garantir un nivell adequat de seguretat per al tractament de dades personals d'acord amb l'Article 32 del Reglament General de Protecció de Dades (GDPR).
Aquestes mesures s'apliquen a l'operació dels serveis PhotoRobot, incloent-hi però no limitant-se a:
- PhotoRobot controla el núvol
- PhotoRobot Cloud 2.0
- PhotoRobot controla localment (quan està connectat a serveis al núvol)
- APIs i serveis en línia relacionats
- Infraestructura de suport i sistemes interns
Aquest document serveix com a descripció autoritzada dels TOMs de PhotoRobot i pot ser referenciat en Acords de Processament de Dades (DPA), auditories i revisions de seguretat empresarial.
2. Abast i aplicabilitat
Els TOMs descrits aquí s'apliquen a:
- Dades personals processades en nom dels clients com a part dels serveis de PhotoRobot
- Dades operatives internes necessàries per proporcionar, mantenir i assegurar els serveis
Les mesures estan dissenyades tenint en compte:
- L'estat de l'art
- Costos d'implementació
- la naturalesa, l'abast, el context i els objectius del tractament
- Els riscos per als drets i llibertats de les persones naturals
3. Mesures de seguretat organitzativa
3.1. Governança de la Seguretat de la Informació
PhotoRobot manté polítiques i procediments interns que regulen la seguretat de la informació, la protecció de dades i l'ús acceptable dels sistemes.
Les responsabilitats de seguretat i protecció de dades estan clarament definides dins de l'organització, incloent-hi els contactes designats per a qüestions de privacitat i legals.
3.2. Confidencialitat i consciència dels empleats
- Els empleats i contractistes estan subjectes a obligacions de confidencialitat
- L'accés als sistemes es concedeix segons la necessitat de saber-ho
- La consciència sobre seguretat i protecció de dades es promou com a part de la incorporació i les operacions contínues
4. Control d'accés i autorització
4.1. Control d'accés basat en rols (RBAC)
L'accés als sistemes i a les dades dels clients es controla mitjançant els principis de control d'accés basat en rols (RBAC ).
- Als usuaris se'ls concedeixen els privilegis mínims necessaris per dur a terme les seves tasques
- L'accés administratiu està restringit al personal autoritzat
4.2. Autenticació
- S'utilitzen mecanismes d'autenticació forts per a sistemes interns i externs
- Les polítiques de contrasenya i les credencials d'accés es gestionen de manera segura
- Les credencials d'accés no s'han de compartir
5. Infraestructura i Seguretat de Xarxa
5.1. Allotjament i infraestructura al núvol
Els serveis PhotoRobot s'allotgen en proveïdors professionals d'infraestructura al núvol (per exemple, Google Cloud Platform), que implementen controls de seguretat física i ambiental estàndard de la indústria.
5.2. Protecció de la xarxa
- El trànsit de xarxa està protegit mitjançant tallafocs i controls d'accés
- Els serveis públics estan aïllats dels sistemes interns
- Els components d'infraestructura es monitoritzen per a la disponibilitat i esdeveniments de seguretat
6. Xifrat i protecció de dades
6.1. Dades en trànsit
- Les dades transmeses entre clients i serveis PhotoRobot s'encripten utilitzant TLS/HTTPS
- S'imposen canals de comunicació segurs per a APIs i interfícies al núvol
6.2. Dades en repòs
- Les dades emmagatzemades dins la infraestructura al núvol estan protegides mitjançant mecanismes de xifrat proporcionats pel proveïdor d'allotjament
- L'accés a les dades emmagatzemades està restringit als sistemes i al personal autoritzats
7. Registre, monitoratge i detecció d'incidents
7.1. Registre
- Els registres del sistema es generen per a esdeveniments operatius i rellevants per a la seguretat
- Els registres s'utilitzen per a la resolució de problemes, el monitoratge i l'anàlisi d'incidents
7.2. Monitoratge
- Els serveis es monitoritzen per a disponibilitat, rendiment i anomalies
- S'activen alertes en cas de comportament anormal o interrupció del servei
8. Resposta a incidents i gestió de violacions
PhotoRobot manté procediments per gestionar incidents de seguretat, incloses les filtracions de dades personals.
Aquests procediments inclouen:
- Identificació i avaluació d'incidents
- Mesures de mitigació i contenció
- Escalada interna
- comunicació amb els clients quan calgués
- compliment de les obligacions de notificació d'incompliments del RGPD (articles 33 i 34 del RGPD)
9. Còpia de seguretat, disponibilitat i continuïtat del negoci
9.1. Còpies de seguretat
- Les còpies de seguretat de dades es realitzen com a part de les operacions estàndard al núvol
- Les còpies de seguretat s'utilitzen per a la recuperació de desastres i la continuïtat del servei
9.2. Disponibilitat
- Es fan esforços raonables per mantenir una alta disponibilitat de serveis
- Les activitats de manteniment planificat poden causar interrupcions temporals del servei
Els detalls sobre els objectius de disponibilitat i els temps de resposta es descriuen per separat als Acords de Nivell de Servei (SLAs) corresponents.
10. Desenvolupament segur i gestió del canvi
10.1. Pràctiques de desenvolupament segures
PhotoRobot segueix processos estructurats de desenvolupament i desplegament, que inclouen:
- separació dels entorns de desenvolupament, proves i producció quan sigui apropiat
- Procediments de desplegament controlats
- Control de versions i seguiment de canvis
10.2. Actualitzacions i actualitzacions
- Els components de programari s'actualitzen per abordar vulnerabilitats de seguretat
- Les actualitzacions crítiques es prioritzen segons l'avaluació de riscos
11. Subprocessadors i tercers
PhotoRobot pot implicar subprocessadors per donar suport a la prestació de serveis (per exemple, allotjament, serveis de correu electrònic).
- Els subprocessadors es seleccionen segons les seves pràctiques de seguretat i protecció de dades
- Una llista actual de subprocessadors es manté per separat i es fa pública
12. Seguretat física
L'accés físic als servidors i centres de dades és gestionat pel proveïdor d'infraestructura al núvol i inclou:
- Controls d'accés
- Vigilància i monitoratge
- Proteccions ambientals
PhotoRobot no opera els seus propis centres de dades.
13. Minimització i retenció de dades
- Només es processen les dades necessàries per a la prestació de serveis
- Les dades personals només es conserven mentre sigui necessari per a finalitats contractuals, legals o operatives
- Els períodes d'eliminació i conservació de dades estan definits en les polítiques i acords corresponents
14. Ressenya i actualitzacions
Aquestes Mesures Tècniques i Organitzatives es revisen periòdicament i s'actualitzen segons sigui necessari per reflectir:
- Canvis tecnològics
- Canvis en els serveis
- Requisits de seguretat i regulació en evolució
Els canvis materials es poden comunicar als clients segons sigui pertinent.
15. Informació de contacte
Per a preguntes sobre aquestes Mesures Tècniques i Organitzatives:
uni-Robot Ltd.
Vodičkova 710/31
110 00 Praga 1
República Txeca
Correu electrònic: legal@photorobot.com
Nota final
Aquests TOMs descriuen les mesures tècniques i organitzatives actuals de PhotoRobot i tenen la intenció de proporcionar transparència i garantia als clients. No constitueixen una garantia de servei ininterromput ni de seguretat absoluta, sinó que reflecteixen un enfocament proporcionat i basat en el risc per a la protecció de dades i la seguretat de la informació.