Dohoda o zpracování dat

Tato SMLOUVA O ZPRACOVÁNÍ DAT (dále jen „DPA“) včetně jejích příloh popisuje závazky stran, včetně podle příslušných zákonů o ochraně údajů, s ohledem na zpracování osobních údajů (jak je definováno níže). DPA je začleněna do Smlouvy o uživateli.

Tato DPA je mezi organizací (dále jen „Správce“)

a 

Mollie B.V., společností s ručením omezeným (besloten vennootschap) se sídlem v Amsterdamu, na adrese Keizersgracht 126, 1015 CW Amsterdam, Nizozemsko a registrovanou v nizozemské Obchodní komoře pod číslem 30204462, (dále jen „Mollie“ nebo „Zpracovatel“)

a 

Mollie UK Ltd., společností s ručením omezeným se sídlem v Londýně, 7 Pancras Square, Londýn N1C 4AG, Spojené království a registrovanou v Rejstříku společností pod číslem 14013554, (dále jen „Mollie“ nebo „Zpracovatel“),

každý jako „Smluvní strana“ a společně jako „Strany“. 

Definice 

V této DPA mají následující výrazy význam uvedený níže. Výrazy s velkým písmenem použité, ale nedefinované v tomto dokumentu, mají význam stanovený ve Smlouvě.

Smlouva: Smlouva mezi Správcem a Zpracovatelem o poskytování služeb („Smlouva o uživateli“).

Vázaná interní pravidla: Zásady ochrany osobních údajů, které dodržují správce nebo zpracovatelé se sídlem na území členského státu pro přenosy nebo soubor přenosů osobních údajů k správci nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo skupiny podniků zapojených do společné ekonomické činnosti.

Správce: Fyzická nebo právnická osoba, orgán veřejné moci, služba nebo jiný subjekt, který sám nebo společně s ostatními určuje účel a způsob Zpracování osobních údajů.

Klient: Klienti organizace, kteří si přejí platit za produkty a/nebo služby poskytované organizací prostřednictvím Platebního modulu od Mollie.

Únik dat: Narušení bezpečnosti vedoucí k náhodnému nebo nezákonnému zničení, ztrátě, změně, neoprávněnému zveřejnění nebo zpřístupnění, přenosu, uložení či jinak zpracování osobních údajů. 

Smlouva o zpracování dat: Tato smlouva včetně všech příloh.

Dozorový úřad: Nezávislý státní orgán odpovědný za dohled nad dodržováním platných zákonů týkajících se Zpracování osobních údajů. V Nizozemsku je to Autoriteit Persoonsgegevens.

Posouzení dopadu na ochranu osobních údajů: Vyhodnocení dopadu zamýšlených operací zpracování na ochranu osobních údajů.

Zákony o ochraně údajů: Veškeré platné předpisy týkající se ochrany údajů a soukromí včetně, mimo jiné, obecného nařízení EU o ochraně údajů, všech místních zákonů a předpisů, které je mění nebo nahrazují, spolu s jakýmikoli národními implementačními zákony v jakémkoli členském státu EHP, do té míry, do jaké se aplikují, v jakékoli jiné zemi, po dobu platnosti, zrušení nebo nahrazení. 

Subjekt údajů: Fyzická osoba, na kterou se osobní údaje vztahují (např. Klienti).

GDPR: Obecné nařízení EU o ochraně údajů (EU) 2016/679 Evropského parlamentu a Rady ze dne 27. dubna 2016 o ochraně fyzických osob s ohledem na zpracování osobních údajů a volný pohyb těchto údajů. 

Osobní údaje: Jakákoli informace týkající se určené nebo určitelné fyzické osoby; určená fyzická osoba je osoba, kterou lze ztotožnit, zejména na základě identifikátoru, jako je jméno, identifikační číslo, lokalizační údaje, online identifikátor nebo na základě jednoho či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo sociální identity fyzické osoby. 

Zpracování: Jakákoli operace nebo soubor operací, které jsou prováděny na osobních údajích nebo sadách osobních údajů, ať už automatizovanými prostředky nebo ne, jako je shromažďování, zaznamenávání, organizování, strukturování, uchovávání, úprava či změna, vyhledávání, nahlížení, využití, sdělování přenosem, zpřístupňování, sladění nebo kombinace, omezení, vymazání nebo zničení. Tato řada není vyčerpávající. Termíny „zpracovat“, „zpracovává“ a „zpracováno“ budou vykládány příslušným způsobem. 

Zpracovatel: Fyzická nebo právnická osoba, orgán veřejné moci, služba nebo jiný subjekt, který Zpracovává (osobní) údaje za Správce.

Organizace: Organizace, která využívá Platební modul Mollie za účely včetně, nikoliv však pouze, prodeje produktů a/nebo služeb Klientům.

Standardní smluvní doložky: Standardní smluvní doložky Evropské komise pro zpracovatele dat (2010/87/EU) nebo rozhodnutí Komise (EU) 2021/914 ze dne 4. června 2021 o standardních smluvních doložkách pro přenos osobních údajů do třetích zemí podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (C/2021/3972).
Subzpracovatel jakákoli třetí osoba, subjekt nebo společnost, která je angažována Zpracovatelem ke zpracování osobních údajů při poskytování služeb na základě Smlouvy.

SEKCE A: ÚČEL 

Článek A.1 Rozsah

Zpracovatel se dohodl poskytovat služby Správci v souladu s podmínkami Smlouvy o uživateli. Při poskytování služeb bude Zpracovatel zpracovávat osobní údaje jménem Správce, jak bylo identifikováno v této DPA. Zpracovatel, jako finanční instituce, také zpracovává osobní údaje jako správce dat. 

Strany berou na vědomí a souhlasí s tím, že v rozsahu, v jakém Mollie zpracovává osobní údaje zapojené do platebních transakcí za účelem: i) provedení Smlouvy o uživateli s Správcem; ii) monitorovat, předcházet a detekovat podvodné platební transakce; iii) plnit právní nebo regulační povinnosti použitelné na zpracování a uchovávání platebních údajů, na které je Mollie vystavena, včetně uplatňování platného screeningu proti praní špinavých peněz a plnění povinností znát svého zákazníka; a iv) zlepšovat produkty a služby Mollie, Mollie jedná jako správce dat a má výhradní a výlučnou pravomoc určovat účely a prostředky zpracování osobních údajů, které přijímá od nebo prostřednictvím (poskytování služeb) Správci.

Činnosti zpracování, osobní údaje a kategorie subjektů údajů, pro které Zpracovatel zpracovává osobní údaje jménem Správce, jsou identifikovány v příloze A. 

SEKCE B: ZÁVAZKY 

Článek B.1 Povinnosti Správce 

Správce je odpovědný za osobní údaje, které Zpracovatel zpracovává, a zajistí dodržování všech Zákonů o ochraně údajů, včetně požadavků týkajících se přenosu osobních údajů podle této DPA a Smlouvy o uživateli. Správce zaručuje, že má právo zpracovávat osobní údaje a má právo jmenovat Zpracovatele, aby zpracovával údaje jménem Správce.

Správce souhlasí s tím, že bez ohledu na závazky Zpracovatele podle této DPA je Správce výlučně odpovědný za své využívání služeb, včetně (a) vhodného využívání služeb k zajištění úrovně zabezpečení odpovídajícího riziku ve vztahu k osobním údajům; (b) zabezpečení autentifikačních přihlašovacích údajů, systémů a zařízení, které Správce používá pro přístup ke službám; (c) zabezpečení systémů a zařízení Správce, která používá se službami; a (d) udržování vlastních záloh osobních údajů.

Článek B.2 Povinnosti Zpracovatele 

Zpracovatel se zavazuje: 

1. zpracovávat osobní údaje pouze v souladu s dokumentovanými pokyny Správce a učiní potřebné kroky, aby bylo zajištěno, že jakákoli fyzická osoba jednající pod jeho pravomocí, která má přístup k osobním údajům, nezpracovává osobní údaje jinak než na pokyn Správce;

2. bezodkladně informovat Správce, pokud některé z pokynů týkajících se Zpracování osobních údajů poskytnutých Správcem Zpracovateli porušují jakékoli platné Zákony o ochraně údajů nebo ustanovení stanovená v této DPA;

3. implementovat vhodné technické a organizační postupy na ochranu osobních údajů, s přihlédnutím k aktuálnímu stavu, nákladům na implementaci a povaze, rozsahu, kontextu a účelům zpracování, stejně jako k riziku různých pravděpodobností a závažnosti pro práva a svobody fyzických osob; a

4. bez zbytečného odkladu informovat Správce, pokud obdrží stížnost nebo žádost týkající se povinností jakékoli ze stran podle Zákonů o ochraně údajů relevantních pro tuto DPA, včetně jakéhokoli nároku na odškodnění od subjektu údajů nebo jakéhokoli oznámení, vyšetřování nebo jiného jednání od dozorového úřadu a poskytnout Správci všechny podrobnosti takového vyšetřování, stížnosti nebo žádosti, pokud to zákon nebo dozorový úřad neumožňuje.

SEKCE C: PŘENOSY A SUBZPRACOVATELÉ

Článek C.1 Přenos osobních údajů 

Kde osobní údaje týkající se subjektu údajů z EU jsou přenášeny mimo EHP, budou zpracovány subjektem: (i) nacházejícím se ve třetí zemi nebo teritoriu uznávaném Evropskou komisí jako mající dostatečnou úroveň ochrany; nebo (ii) které podléhá standardním smluvním doložkám EU a/nebo britské Mezinárodní dohodě o přenosu dat nebo britskému SCC dodatku; nebo (iii) které má jiné právně uznávané vhodné záruky, jako jsou Vázaná interní pravidla, které zaručují stejnou úroveň ochrany a záruk jako tato DPA. 

Článek C.2 Sub-zpracovatelé 

Správce tímto dává souhlas s využíváním Subzpracovatelů Zpracovatelem specifikovaným v Příloze B. Tento seznam může být Zpracovatelem aktualizován čas od času v souladu s touto DPA.

Zpracovatel poskytne Správci možnost vznést námitky proti každému novému Subzpracovateli, který bude zapojen pouze v rámci rozsahu datových zpracovatelských činností uvedených v Příloze A. 

Před zapojením nového Subzpracovatele Zpracovatel Správce o této skutečnosti informuje a poskytne Správci alespoň deset (10) kalendářních dní na vznesení námitek, kromě případu, kdy Zpracovatel rozumně věří, že zapojení nového Subzpracovatele na urychleném základu je nezbytné k ochraně důvěrnosti, integrity nebo dostupnosti osobních údajů nebo k zamezení materiálnímu narušení poskytovaných služeb. V takovém případě Zpracovatel poskytne takové oznámení, jak je to rozumně proveditelné. Pokud Správce do pěti (5) kalendářních dnů od takového oznámení písemně oznámí Zpracovateli, že Správce nesouhlasí s jmenováním nového Subzpracovatele Zpracovatelem z důvodu rozumných obav o ochranu údajů, strany budou tyto obavy projednávat v dobré víře a zvažovat, zda je možné tyto obavy vyřešit. Námitky proti novým Sub-zpracovatelům budou podávány na privacy@mollie.com. 

Správce bere na vědomí, že Subzpracovatelé jsou nezbytní k poskytování služeb a že vznést námitky proti využívání Subzpracovatele může zabránit Zpracovateli v nabízení služeb Správcovi. Pokud strany nemohou dosáhnout vzájemné dohody o řešení těchto obav, Správce jako svojí jedinou a výhradní nápravu může ukončit DPA z důvodu pohodlí.

Všichni Subzpracovatelé, kteří zpracovávají osobní údaje při poskytování služeb Správci, musí dodržovat povinnosti stanovené v této DPA. Zpracovatel před poskytnutím osobních údajů jakémukoli Subzpracovateli provede odpovídající due diligence, aby zajistil, že Subzpracovatel je schopen poskytnout úroveň ochrany vůči osobním údajům Správce, jakou vyžaduje tato DPA, a uzavře se Subzpracovatelem dohodu, ve které se Subzpracovatel zavazuje dodržovat povinnosti ekvivalentní těm, které jsou stanoveny v této DPA. 

SEKCE D: ZABEZPEČENÍ

Článek D.1 Zabezpečovací opatření

Zpracovatel zajistí implementaci vhodných technických a organizačních opatření, aby zajistil úroveň zabezpečení přiměřenou riziku, včetně mimo jiné v případě potřeby:

1. pseudonymizace a šifrování osobních údajů; 

2. schopnost zajistit trvající důvěrnost, integritu, dostupnost a odolnost systémů a služeb pro zpracování; 

3. schopnost obnovit dostupnost a přístup k osobním údajům včas v případě fyzického nebo technického incidentu; a 

4. proces pravidelného testování, hodnocení a přezkoumání účinnosti technických a organizačních opatření na zajištění bezpečnosti Zpracování. Při posuzování vhodné 

   úrovně zabezpečení je třeba obzvláště brát na zřetel rizika, která jsou dána zpracováním, zejména náhodným nebo neoprávněným zničením, ztrátou, změnou, neoprávněným zpřístupněním nebo přístupem k osobním údajům přenášeným, uloženým či jinak zpracovaným.

   
   

Článek D.2 Oznámení o úniku dat

Zpracovatel bez zbytečného odkladu oznámí Správci jakékoli náhodné nebo neoprávněné zničení, ztrátu, změnu nebo neoprávněné zpřístupnění nebo přístup k osobním údajům po objevu, pokud se únik dat týká výlučně zpracování osobních údajů Zpracovatelem v jeho roli jako zpracovatele. Pokud a kde se únik dat týká osobních údajů, za které se Zpracovatel považuje za Správce, jak je popsáno v Informačním prohlášení Zpracovatele, si Zpracovatel vyhrazuje právo zacházet s únikem dat jako se správcem. 

Zpoždění při odesílání oznámení o úniku dat, které je vyžadováno orgánem činným v trestním řízení a/nebo ve světle legitimních potřeb Zpracovatele pro vyšetřování nebo nápravu záležitosti před poskytnutím oznámení, se nebude považovat za neodůvodněný odklad. Taková oznámení budou obsahovat, do maximální možné míry, podrobnosti o úniku dat, včetně kroků, které byly podniknuty k zmírnění potenciálních rizik. Bez újmy na povinnostech Zpracovatele podle tohoto oddílu D.1, je Správce výhradně zodpovědný za dodržování zákonů o oznámení úniku dat, které se vztahují na Správce, a za splnění jakýchkoli oznamovacích povinností třetích stran souvisejících s jakýmikoli úniky dat. Oznámení nebo reakce Zpracovatele na únik dat podle tohoto oddílu D.1. nebude považováno za přiznání jakékoli viny nebo odpovědnosti Zpracovatele ve vztahu k úniku dat.

Jakékoliv náklady vzniklé při řešení úniku dat a při zavádění opatření nezbytných k zabránění takovému úniku dat v budoucnu ponese strana, která náklady nese.

SEKCE E: AUDIT

Článek E.1 Právo na audit 

Správce má právo požádat, po přiměřeném upozornění, auditní zprávy od Zpracovatele týkající se Zpracování osobních údajů v rámci služeb poskytovaných podle této DPA.

Auditní zprávy, jak je uvedeno v této klauzuli, zahrnují, ale nejsou omezeny na, zprávy související s bezpečnostními, důvěrnými a opatřeními na ochranu údajů implementovanými Zpracovatelem ve spojení se Zpracováním osobních údajů. Tyto zprávy mohou také pokrývat dodržování příslušných Zákonů o ochraně údajů.

Požadavky na auditní zprávy budou předkládány písemně a zasílány na privacy@mollie.com, při specifikaci rozsahu a účelu žádosti. Zpracovatel potvrdí přijetí takových žádostí přiměřeně časově.

Příjem auditních zpráv podléhá profesnímu utajení. Správce může použít auditní zprávy pouze pro účely splnění regulačních auditních požadavků Správce a pro potvrzení, že Zpracování osobních údajů Zpracovatelem je v souladu s touto DPA. Auditní zprávy nebudou šířeny externě.

SEKCE F: POSOUZENÍ DOPADU A PŘEDCHOZÍ KONZULTACE

Článek F.1 Asistence

Zpracovatel poskytne pomoc Správci při provádění posouzení dopadu na Zpracování osobních údajů (článek 35 GDPR) a při jakýchkoli konzultacích s dozorovým úřadem (článek 36 GDPR), pokud a do té míry, jaké je požadováno provést posouzení nebo konzultaci podle Zákonů o ochraně údajů a kde Zpracovatel má dovoleno a/nebo je požádán spolupracovat.

SEKCE G: PRÁVA SUBJEKTŮ ÚDAJŮ

Článek G.1 Asistence

Pokud Zpracovatel obdrží žádost od subjektu údajů ve vztahu k osobním údajům Správce, Zpracovatel poradí subjektu údajů podat jejich žádost Správci a/nebo předá žádost Správci, a Správce bude odpovědný za odpovídání na jakékoli takové žádosti.

Na žádost Správce a na náklady Správce poskytne Zpracovatel Správci takovou pomoc, jakou může rozumně požadovat, aby splnil své povinnosti podle Zákonů o ochraně údajů reagovat na žádosti od subjektů údajů uplatňovat jejich práva podle Zákonů o ochraně údajů (např. práva na přístup k údajům, opravy, vymazání, omezení, přenos a námitky) v případech, kde Správce nemůže rozumně splnit takové žádosti samostatně prostřednictvím svého přístupu k produktům a službám Zpracovatele.

SEKCE H: RŮZNÉ 

Článek H.1 Důvěrnost 

Zpracovatel má povinnost uchovávat v tajnosti veškeré osobní údaje a zajistit, aby všichni zaměstnanci, agenti, úředníci a dodavatelé, kteří mají přístup k nebo se podílejí na Zpracování osobních údajů, byli povědomi o důvěrném charakteru osobních údajů a byli smluvně zavázáni k zachování osobních údajů v tajnosti a jsou informováni o a dodržují závazky této DPA.

Článek H.2 Odpovědnost

Veškerá odpovědnost vyplývající z této DPA bude řízena příslušnými ustanoveními Smlouvy o uživateli, včetně omezení odpovědnosti. 

Bez ohledu na ustanovení Smlouvy o uživateli je každý Smluvní strana zodpovědná pouze za jakékoliv škody, které způsobí druhé Smluvní straně porušením této DPA. Tyto škody musí být jasně prokázány. Zpracovatel bude odpovědný pouze za škodu způsobenou zpracováním, kde neplnil povinnosti Zákonů o ochraně údajů speciálně směrované na zpracovatele dat nebo kde jednal mimo nebo v rozporu s legitimními pokyny Správce, jak je popsáno v této DPA. V tomto kontextu bude Zpracovatel odpovědný pouze, pokud Správce prokáže, že Zpracovatel je odpovědný za událost vedoucí ke škodě.

Správce je výhradně odpovědný subjektu dat a subjekt údajů má právo na odškodnění za jakoukoliv hmotnou nebo nehmotnou škodu, kterou způsobil subjektu dat Správce nebo Zpracovatel (nebo jeho subzpracovatelé) porušením této DPA.

Článek H.3 Doba platnosti a ukončení 

Platnost této DPA se shoduje se začátkem Smlouvy o uživateli a/nebo užíváním konkrétního produktu nebo služby podle Přílohy A.

Tato DPA se automaticky ukončí současně s ukončením Smlouvy o uživateli a/nebo užíváním konkrétního produktu nebo služby podle Přílohy A, podle toho, co bude ukončeno dřív.

Po ukončení této DPA Zpracovatel, na žádost Správce, vrátí osobní údaje Správci nebo Zpracovateli jmenovanému Správcem, nebo smaže osobní údaje, pokud Zpracovatel není povinen uchovat kopii v souladu s jakýmkoli zákonem Evropské unie nebo jakéhokoli členského státu Evropské unie.

SEKCE I: ZÁVĚREČNÁ USTANOVENÍ 

Článek I.1 Celková dohoda 

Tato DPA je součástí Smlouvy o uživateli. Všechna práva a povinnosti vyplývající ze Smlouvy o uživateli jsou také platná pro tuto DPA. Příloha A tvoří nedílnou součást této DPA.

Článek I.2 Změna pouze dohodou 

Žádná změna této DPA nebude platná, pokud nebude v písemné formě a podepsána pověřenými zástupci každé strany. 

Článek I.3 Oddělitelnost 

Každé z ustanovení této DPA je rozlišitelné a oddělitelné, a pokud se kterékoliv ustanovení nebo jeho část ukáže být nevynutitelné, nezákonné nebo neplatné celé nebo zčásti jakýmkoliv soudem, regulačními orgány nebo jiným kompetentním orgánem, bude do té míry považováno za neplatné v rozsahu této smlouvy a vynutitelnost, zákonnost a platnost zbývající části této DPA nebude dotčena. Strany souhlasí s tím, že se pokusí nahradit jakékoli neplatné nebo nevynutitelné ustanovení platným nebo vynutitelným ustanovením, které dosáhne do největší možné míry stejného účinku, jaký by byl dosažen neplatným nebo nevynutelným ustanovením. Kromě úprav implementovaných touto DPA zůstává Smlouva o uživateli nezměněná a v plné platnosti a účinnosti.

Článek I.4 Právo na přiřazení 

Strany mohou tuto DPA převést pouze v souladu se Smlouvou o uživateli (bod 8.9). 

Článek I.5 Rozhodné právo 

Toto DPA se bude řídit a vykládat v souladu s právem Nizozemska. Každá ze stran souhlasí s výlučnou příslušností soudů v Amsterdamu k řešení jakýchkoli sporů z této DPA. Pokud jakýkoli soud nebo správní orgán s příslušnou jurisdikcí najde jakékoli ustanovení této DPA jako neplatné, nevynutitelné nebo nezákonné, ostatní ustanovení této DPA zůstanou v plné platnosti a účinnosti.

PŘÍLOHA A - SPECIFIKACE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ 

1. ÚČEL ZPRACOVÁNÍ

Zpracování osobních údajů přímo souvisí s poskytováním služeb podle Smlouvy o uživateli.

Účely zpracování jsou:

• Umožnit zasílání faktur Klientům Správce prostřednictvím produktů a služeb Mollie 

2. KATEGORIE SUBJEKTŮ ÚDAJŮ 

Zpracovatel zpracovává osobní údaje následujících kategorií subjektů údajů pro Správce:

• Klienti Správce (tj. plátci (spotřebitelé, firemní zákazníci))

3. DRUHY OSOBNÍCH ÚDAJŮ 

Zpracovatel zpracovává následující typy osobních údajů pro Správce:

• Základní kontaktní údaje (zahrnují celé jméno, (pracovní) telefonní číslo, (firemní) e-mail, adresu bydliště/společnosti)

• Fakturační údaje (tak jak je uvedl Správce)

Nebudou zpracovány žádné zvláštní kategorie osobních údajů (jak je definován článkem 9 GDPR) Zpracovatelem. 

4. ZABEZPEČOVACÍ OPATŘENÍ 

Kontext 

Jako finanční instituce, bezpečnostní kontroly a provozní postupy, které Mollie vytvořila pro naše aplikace, systémy a IT procesy, podléhají přezkumu Nizozemskou centrální bankou (DNB), která zase využívá pokyny vydané Evropským orgánem pro bankovnictví (EBA) pro licence držitelů standardů technických norem. 

Navíc, protože Mollie (také) funguje jako správce osobních údajů, Mollie je regulována jinou legislativou stanovujícími standardy pro zabezpečení a ochranu údajů, která je také vynucována dalšími úřady - zejména GDPR a jejím regulátorem v Nizozemsku (Autoriteit Persoonsgegevens). 

Navíc systémy zpracovávající údaje o kartách jsou zejména v souladu s úrovní 1 PCI DSS, což znamená, že tato konkrétní aplikace a postupy pro její vývoj a údržbu podléhají opatřením na ochranu údajů definovaným Radou PCI, jehož Compliance Mollie je posuzováno externí stranou ročně.

Obecná opatření

Všechny aplikace, systémy a postupy vztahující se k nim podléhají Informační politice bezpečnosti Mollie. Zvýraznění z této a dalších politik, které jsou relevantní pro rozsah poskytovaných služeb, jsou:

• Screening zaměstnanců

• Bezpečnostní školení vývojářů

• Program bezpečnostní povědomí

• Oddělení povinností

• Řízení změn

• Řízení zranitelností

• Řízení incidentů

• Řízení odolnosti a záloh

• Silné prosazování pravidel pro řízení přístupu (IAM a IGA)

• Recenze uživatelského oprávnění

• Standardy pro klasifikaci systémů

• Standardy pro klasifikaci dat a politika dat

• Bezpečné konfigurační standardy založené na nejlepších praktikách v odvětví, prosazování politiky (tvrdá opatření)

• Fyzické a logické oddělení síťových prostředí

• Bezpečné standardy šifrování

• Správa šifrovacích klíčů

• Šifrování (při přenosu, v klidu pro sdílené infrastrukturní prostředí jako je cloud)

• Řízení rizik třetích stran

• Sledování dostupnosti a chyb

• Bezpečný životní cyklus vývoje

  • Modelování ohrožení při významných změnách a nových funkcích

  • Řízení závislostí a skenování známých zranitelností

  • Statická analýza bezpečnosti kódu

  • Interní a externí skenování zranitelností

• Koordinované zveřejňování zranitelností (CVD) a program bug bounty

• Program sledování hrozeb (např. účast v nizozemském PI-ISAC, informační centrum pro sdílení a analýzu institucí plateb, sledování temného webu)

• Spolupráce se správcem řízení bezpečnostních služeb (MSSP) pro bezpečnostní operace, analýzy a forenzní vyšetřování

• Zabezpečení informací a Správa událostí (SIEM)

• Bezpečnost na koncových bodech zaměstnanců

• Bezpečnost e-mailu

Platforma Mollie

Vedle obecných bezpečnostních opatření uvedených výše je aplikace Mollie Platform pokryta následujícími bezpečnostními opatřeními – buď výsledkem implementace našich obecných bezpečnostních politik nebo jako zmírňující opatření k řešení rizika rozpoznaného v hodnocení rizik specifickém pro aplikaci:

• Dvousložková řízení přístupu

• Penetrační testy třetích stran

• Správa událostí bezpečnostních incidentů

• Zmírnění útoků DDoS

• Reakce na bezpečnostní incidenty

• Sledování dostupnosti

• Bezpečné úložiště oprávnění

• Přebytečná infrastruktura

• Obnovení po havárii

• Omezení rychlosti a zamykání

• Přísná politika zabezpečení obsahu

• Captcha

• Firewall webové aplikace

PŘÍLOHA B - PŘEHLED SUBZPRACOVATELŮ