Ugovor o obradi podataka

Ovaj UGOVOR O OBRAĐIVANJU PODATAKA (u daljnjem tekstu “DPA”) uključujući svoje dodatke opisuje obveze stranaka, uključujući u skladu s primjenjivim zakonima o zaštiti podataka, vezano uz obradu osobnih podataka (kako je definirano u nastavku). DPA je uključen u Ugovor o korisniku.

Ovaj DPA je između Organizacije (u daljnjem tekstu “Kontrolor”)

i 

Mollie B.V., društvo s ograničenom odgovornošću (besloten vennootschap) sa sjedištem u Amsterdamu, na adresi Keizersgracht 126, 1015 CW Amsterdam, Nizozemska, registrirano u Nizozemskoj komori trgovine pod brojem 30204462, (u daljnjem tekstu “Mollie” ili “Obraditelj”)

i 

Mollie UK Ltd., društvo s ograničenom odgovornošću sa sjedištem u Londonu, 7 Pancras Square, London N1C 4AG, Ujedinjeno Kraljevstvo, registrirano u Companies House pod brojem 14013554, (u daljnjem tekstu “Mollie” ili “Obraditelj”),

svaka strana “Stranka” i zajedno “Stranke”. 

Definicije 

U ovom DPA, sljedeći pojmovi imaju značenje definirano u nastavku. Pojmovi s velikim početnim slovom koji se koriste, ali nisu definirani ovdje, imat će značenje definirano u Ugovoru.

Ugovor: Ugovor između Kontrolora i Obraditelja o pružanju usluga (“Ugovor o korisniku”).

Obvezujuća korporativna pravila: Politike zaštite osobnih podataka kojima se pridržava kontrolor ili obrada podataka smještena na teritoriju države članice za prijenose ili skupinu prijenosa osobnih podataka kontroloru ili obradi podataka u jednoj ili više trećih zemalja unutar grupe poduzeća, ili grupe poduzeća angažiranih u zajedničkoj ekonomskoj aktivnosti.

Kontrolor: Fizička ili pravna osoba, javni vlast, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhu i sredstva obrade osobnih podataka.

Kupac: Kupci Organizacije koji žele platiti proizvode i/ili usluge koje pruža Organizacija putem Mollie-inog Modula plaćanja.

Poremećaj sigurnosti: Poremećaj sigurnosti koji dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju. 

Ugovor o obradi podataka: Ovaj ugovor, uključujući sve privitke.

Nadzorno tijelo: Nezavisno vladino tijelo odgovorno za nadzorno usklađivanje s primjenjivim zakonima koji se odnose na obradu osobnih podataka. U Nizozemskoj, to je Autoriteit Persoonsgegevens.

Procjena utjecaja na zaštitu podataka: Procjena utjecaja predviđenih operacija obrade na zaštitu osobnih podataka.

Zakonodavstvo o zaštiti podataka: Svi primjenjivi zakoni koji se odnose na zaštitu podataka i privatnost uključujući, bez ograničenja, Opća uredba o zaštiti podataka EU, svi lokalni zakoni i propisi koji mijenjaju ili zamjenjuju bilo koji od njih, zajedno s bilo kojim nacionalnim zakonima o provedbi u bilo kojoj državi članici Europskog gospodarskog prostora (EEA), u mjeri u kojoj je to primjenjivo, u bilo kojoj drugoj zemlji, kao što su izmijenjeni, ukinuti, objedinjeni ili zamijenjeni s vremena na vrijeme.

Osoba na koju se podaci odnose: Fizička osoba na koju se osobni podaci odnose (npr. Kupci).

GDPR: Opća uredba o zaštiti podataka (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti fizičkih osoba u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka. 

Osobni podaci: Bilo koja informacija koja se odnosi na identificiranu ili identificirajuću fizičku osobu; identificirana fizička osoba je ona koja se može identificirati, izravno ili neizravno, osobito pozivajući se na identifikator kao što je ime, identifikacijski broj, podaci o lokaciji, internetski identifikator ili na jedan ili više čimbenika specifičnih za fizičku, fiziološku, genetsku, mentalnu, ekonomsku, kulturnu ili socijalnu identitet fizičke osobe. 

Obrada: Bilo koja operacija ili skup operacija koje se izvode na osobnim podacima ili skupovima osobnih podataka, bez obzira na to jesu li automatska sredstva, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, preuzimanje, konzultacija, korištenje, otkrivanje prijenosom, širenje ili na drugi način stavljanje na raspolaganje, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje. Ovaj popis nije iscrpan. Pojmovi “obraditi”, “obrada” i “obrađeni” tumačit će se u skladu s tim. 

Obraditelj: Fizička ili pravna osoba, javna vlast, agencija ili drugo tijelo koje obrađuje (osobne) podatke u ime Kontrolora.

Organizacija: Organizacija koja koristi Modul plaćanja Mollie za svrhe uključujući, ali ne ograničavajući se na, prodaju proizvoda i/ili usluga kupcima.

Standardne ugovorne klauzule: Standardne ugovorne klauzule Europske komisije za obrtnike podataka (2010/87/EU) ili Provedbena odluka Komisije (EU) 2021/914 od 4. lipnja 2021. o standardnim ugovornim klauzulama za prijenos osobnih podataka u treće zemlje u skladu s Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (C/2021/3972).
Pod-obraditelj bilo koja treća osoba, entitet ili društvo koje angažira Obraditelj za obradu osobnih podataka u okviru pružanja usluga prema Ugovoru.

ODJELJAK A: SVRHA 

Članak A.1 Opseg

Obraditelj je pristao pružiti usluge Kontroloru u skladu s uvjetima Ugovora o korisniku. Pružajući usluge, Obraditelj će obraditi osobne podatke u ime Kontrolora kao što je navedeno u ovom DPA. Obraditelj, kao financijska institucija, također obrađuje osobne podatke djelujući kao kontrolor podataka. 

Stranke priznaju i slažu se da u mjeri u kojoj Mollie obrađuje osobne podatke uključene u platne transakcije kako bi: i) izvršila Ugovor o korisniku s Kontrolorom; ii) nadzirala, sprečila i otkrila prijevarne platne transakcije; iii) poštovala pravne ili regulatorne obveze koje se odnose na obradu i zadržavanje platnih podataka na koje se Mollie odnosi, uključujući primjenjive provjere usklađenosti s propisima o sprečavanju pranja novca i usklađivanje s obvezama prema poznavanju kupca; i iv) poboljšala proizvode i usluge Mollie, Mollie djeluje kao kontrolor podataka i ima isključivu ovlast odrediti svrhe i sredstva obrade osobnih podataka koje prima od Kontrolora ili putem njega (pružanje usluga Kontroloru).

Aktivnosti obrade, osobni podaci i kategorije osoba na koje se podaci odnose za koje Obraditelj obrađuje osobne podatke u ime Kontrolora definirani su u Dodatku A. 

ODJELJAK B: OBVEZE 

Članak B.1 Obveze kontrolora 

Kontrolor je odgovoran za osobne podatke koje će Obraditelj obraditi i osigurat će usklađenost sa svim zakonima o zaštiti podataka, uključujući zahtjeve u vezi s prijenosom osobnih podataka prema ovom DPA i Ugovoru o korisniku. Kontrolor jamči da ima pravo obraditi osobne podatke i posjeduje pravo imenovati Obraditelja da obrađuje podatke u ime Kontrolora.

Kontrolor priznaje da je, bez ograničenja na obveze Obraditelja prema ovom DPA, isključivo odgovoran za korištenje usluga, uključujući (a) odgovarajuće korištenje usluga kako bi osigurao razinu sigurnosti koja odgovara riziku u vezi s osobnim podacima; (b) osiguranje akreditiva za autentifikaciju računa, sustava i uređaja koje Kontrolor koristi za pristup uslugama; (c) osiguranje sustava i uređaja Kontrolora koje koristi s uslugama; i (d) održavanje vlastitih sigurnosnih kopija osobnih podataka.

Članak B.2 Obveze Obraditelja 

Obraditelj se obvezuje: 

1. obrađivati osobne podatke samo u skladu s dokumentiranim uputama Kontrolora i poduzeti potrebne korake kako bi osigurali da svaka fizička osoba koja djeluje pod njegovom ovlašću koja ima pristup osobnim podacima ne obrađuje osobne podatke osim na temelju uputa od Kontrolora;

2. odmah obavijestiti Kontrolora ako bilo koja od uputa u vezi s obradom osobnih podataka koje je Kontrolor pružio Obraditelju krši bilo koji primjenjivi zakon o zaštiti podataka ili odredbe navedene u ovom DPA;

3. implementirati odgovarajuće tehničke i organizacijske procedure za zaštitu osobnih podataka, uzimajući u obzir stanje tehnologije, troškove implementacije te prirodu, opseg, kontekst i svrhe obrade, kao i rizik varijabilne vjerojatnosti i ozbiljnosti za prava i slobode fizičkih osoba; i

4. bez nepotrebnog odgađanja obavijestiti Kontrolora ako primi žalbu ili zahtjev u vezi s obvezama bilo koje strane prema zakonima o zaštiti podataka relevantnim za ovaj DPA, uključujući bilo kakav zahtjev za naknadu štete od osobe na koju se podaci odnose ili bilo koju obavijest, istragu ili neku drugu akciju od nadzornog tijela i pružiti Kontroloru pune detalje takve istrage, žalbe ili zahtjeva osim ako to nije dopušteno zakonom ili zahtjevom nadzornog tijela.

ODJELJAK C: PRIJENOSI I POD-OBRADITELJI

Članak C.1 Prijenos osobnih podataka 

Ako se osobni podaci koji se odnose na fizičke osobe iz EU prenose izvan EEA, obrađivat će ih entitet: (i) koji se nalazi u trećoj zemlji ili teritoriju kojeg Europska komisija priznaje kao zemlju s adekvatnom razinom zaštite; ili (ii) koji je podložan standardnim ugovornim klauzulama EU i/ili Kraljevini Ujedinjenog Kraljevstva ili dodacima Ugovoru o međunarodnom prijenosu podataka Kraljevine Ujedinjene Kraljevstva; ili (iii) koji ima druga pravno priznate odgovarajuće mjere zaštite na snazi, kao što su Obvezujuća korporativna pravila, koja jamče istu razinu zaštite i mjera osiguranja kao ovaj DPA. 

Članak C.2 Pod-obraditelji 

Kontrolor ovime pristaje na korištenje Pod-obraditelja od strane Obraditelja prema Dodatku B. Ovaj popis može se s vremena na vrijeme ažurirati od strane Obraditelja u skladu s ovim DPA.

Obraditelj će pružiti Kontroloru mogućnost da se protivi svakom novom Pod-obraditelju koji će biti uključen isključivo u svrhu aktivnosti obrade podataka navedene u Dodatku A. 

Prije angažiranja novog Pod-obraditelja, Obraditelj će obavijestiti Kontrolora o tome i pružiti Kontroloru najmanje deset (10) kalendarskih dana da se ne slaže, osim ako Obraditelj razmjerno smatra da je angažiranje novog Pod-obraditelja s ubrzanom dinamikom neophodno za zaštitu povjerljivosti, integriteta ili dostupnosti osobnih podataka ili izbjegavanje materijalnog prekida u pružanju usluga. U tom slučaju, Obraditelj će dati obavijest čim to bude razmjerno mogućno. Ako ubuduće, u roku od pet (5) kalendarskih dana nakon takve obavijesti, Kontrolor obavijesti Obraditelja u pisanom obliku da se protivi imenovanju novog Pod-obraditelja zbog razmjernih zabrinutosti o zaštiti podataka, strane će razgovarati o takvim zabrinutostima u dobroj vjeri i o tome mogu li se riješiti. Prigovori na nove Pod-obraditelje trebaju se poslati na privacy@mollie.com. 

Kontrolor priznaje da su Pod-obraditelji bitni za pružanje usluga i da protiveći se korištenju Pod-obraditelja može spriječiti Obraditelja u pružanju usluga Kontroloru. Ako strane nisu u mogućnosti dogovoriti rješenje takvih zabrinutosti, Kontrolor, kao jedini i isključivi lijek, može prekinuti DPA radi pogodnosti.

Svi Pod-obraditelji koji obrađuju osobne podatke u pružanju usluga Kontroloru moraju se pridržavati obveza navedenih u ovom DPA. Obraditelj će, prije otkrivanja osobnih podataka bilo kojem Pod-obraditelju, provesti odgovarajuću dužnu savjesnost kako bi osigurao da je Pod-obraditelj sposoban pružiti razinu zaštite za osobne podatke Kontrolora potrebne prema ovom DPA i sklopiti ugovor s tim Pod-obraditeljem pod kojim se Pod-obraditelj obvezuje poštovati obveze jednake onima navedenim u ovom DPA. 

ODJELJAK D: SIGURNOST

Članak D.1 Mjere sigurnosti

Obraditelj će implementirati odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti koja odgovara riziku, uključujući, između ostalog, kako je prikladno:

1. pseudonimizaciju i šifriranje osobnih podataka; 

2. sposobnost da se osigura stalna povjerljivost, integritet, dostupnost i otpornost sustava i usluga obrade; 

3. sposobnost da se obnovi dostupnost i pristup osobnim podacima u razumnom roku u slučaju fizičkog ili tehničkog incidenta; i 

4. proces redovitog testiranja, procjene i ocjene učinkovitosti tehničkih i organizacijskih mjera za osiguranje sigurnosti obrade. Pri procjeni odgovarajuće 

   razine sigurnosti, posebno će se uzeti u obzir rizici koje predstavljaju obrada, posebno od slučajnog ili nezakonitog uništenja, gubitka, izmjena, neovlaštenog otkrivanja ili pristupa osobnim podacima koji se prenose, pohranjuju ili na drugi način obrađuju.

   
   

Članak D.2 Obavijest o povredi podataka

Obraditelj će bez nepotrebnog odgađanja obavijestiti Kontrolora o bilo kakvom slučajnom ili nezakonitom uništenju, gubitku, izmjeni ili neovlaštenom otkrivanju ili pristupu osobnim podacima nakon otkrivanja, ukoliko se povreda podataka odnosi samo na obradu osobnih podataka od strane Obraditelja u njegovoj ulozi obrtnika. Ako i kada se povreda podataka odnosi na osobne podatke za koje se Obraditelj smatra Kontrolorom kako je opisano u Izjavi o privatnosti Obraditelja, Obraditelj zadržava pravo tretirati povredu podataka kao kontrolor. 

Bilo kakvo kašnjenje u davanju obavijesti o povredi podataka zahtijevano od strane organa gonjenja i/ili u svjetlu opravdanih potreba Obraditelja za ispitivanjem ili otklanjanjem pitanja prije davanja obavijesti neće se smatrati nepotrebnim kašnjenjem. Takve obavijesti opisat će, koliko je to moguće, pojedinosti o povredi podataka, uključujući mjere poduzete za ublažavanje potencijalnih rizika. Ne dovodeći u pitanje obveze Obraditelja prema ovom Članku D.1, Kontrolor je isključivo odgovoran za usklađenost s zakonima o obavještavanju o povredama podataka koji se primjenjuju na Kontrolora i ispunjavanju bilo kakvih obveza obavještavanja trećih strana vezanih uz bilo kakve povrede podataka. Obavijest ili odgovor Obraditelja na povredu podataka prema ovom Odjeljku D.1. neće se tumačiti kao priznanje Obraditelja o bilo kojoj krivnji ili odgovornosti u vezi s povredama podataka.

Svi troškovi nastali u rješavanju povrede podataka i u implementaciji mjera potrebnih za sprječavanje takvih povreda podataka u budućnosti snosit će strana koja ima troškove.

ODJELJAK E: REVIZIJA

Članak E.1 Pravo na reviziju 

Kontrolor ima pravo zatražiti, uz razumne obavijesti, izvještaje o revizijama od Obraditelja koji se odnose na obradu osobnih podataka unutar opsega usluga pruženih prema ovom DPA.

Izvještaji o revizijama, kako se navodi u ovoj odredbi, uključivat će, ali se ne ograničavajući na, izvještaje koji se odnose na sigurnost, povjerljivost i mjere zaštite podataka koje je Obraditelj implementirao u vezi s obradom osobnih podataka. Ovi izvještaji također mogu pokriti usklađenost s relevantnim zakonima o zaštiti podataka.

Zahtjevi za izvještaje o revizijama trebaju se podnositi u pisanom obliku i slati na privacy@mollie.com, navodeći opseg i svrhu zahtjeva. Obraditelj će pravovremeno potvrditi primitak takvih zahtjeva.

Zaprimanje izvještaja o revizijama bit će podložno profesionalnoj dužnosti povjerljivosti. Kontrolor može koristiti izvještaje o revizijama samo u svrhe ispunjavanja svojih regulativnih zahtjeva za reviziju i potvrđivanja da obrada osobnih podataka Obraditelja ispunjava ovaj DPA. Izvještaji o revizijama neće se dijeliti izvana.

ODJELJAK F: PROCJENE UTJECAJA NA ZAŠTITU PODATAKA I PRETHODNE KONSULTACIJE

Članak F.1 Pomoć

Obraditelj će pomoći Kontroloru u provođenju procjene utjecaja obrade osobnih podataka (članak 35 GDPR) i sa svim konzultacijama s nadzornim tijelom (članak 36 GDPR), ako i u onoj mjeri u kojoj je procjena ili konzultacija potrebna prema zakonima o zaštiti podataka i gdje je Obraditelj ovlašten i/ili obvezan surađivati.

ODJELJAK G: PRAVA OSOBA NA KOJE SE PODACI ODNOSE

Članak G.1 Pomoć

Ako Obraditelj primi zahtjev od osobe na koju se podaci odnose u vezi s osobnim podacima Kontrolora, Obraditelj će savjetovati osobu na koju se podaci odnose da podnese svoj zahtjev Kontroloru i/ili proslijediti taj zahtjev Kontroloru, a Kontrolor će biti odgovoran za odgovor na svaki takav zahtjev.

Na zahtjev Kontrolora i o trošku Kontrolora, Obraditelj će pružiti Kontroloru takvu pomoć koju može razmjerno zahtijevati kako bi ispunio obveze prema zakonima o zaštiti podataka u odgovoru na zahtjeve osoba na koje se podaci odnose za ostvarivanje svojih prava prema zakonima o zaštiti podataka (npr. prava na pristup podacima, ispravak, brisanje, ograničenje, prijenos i prigovor) u slučajevima kada Kontrolor ne može razmjerno ispuniti takve zahtjeve neovisno putem svog pristupa proizvodima i uslugama Obraditelja.

ODJELJAK H: RAZNO 

Članak H.1 Povjerljivost 

Obraditelj će čuvati kao povjerljive sve osobne podatke i osigurati da svi zaposlenici, agenti, službenici i izvođači koji imaju pristup ili su uključeni u obradu osobnih podataka budu svjesni povjerljive prirode osobnih podataka i da su ugovorom obvezani održavati povjerljivost osobnih podataka i upoznati se s obvezama ovog DPA.

Članak H.2 Odgovornost

Svaka i sva odgovornost koja proizlazi iz ovog DPA regulirat će se relevantnim odredbama Ugovora o korisniku, uključujući ograničenja odgovornosti. 

Ne dovodeći u pitanje odredbe Ugovora o korisniku, svaka strana bit će odgovorna drugoj strani samo za bilo kakve štete koje prouzroči drugoj strani bilo kakvim kršenjem ovog DPA. Ove štete moraju biti jasno dokazane. Obraditelj će biti odgovoran za štetu prouzročenu obradom samo kada nije ispunio obveze zakona o zaštiti podataka posebno upućene obrtnicima podataka ili kada je djelovao izvan ili suprotno zakonitim uputama Kontrolora kako je opisano u ovom DPA. U ovom kontekstu, Obraditelj će biti odgovoran samo ako Kontrolor dokaže da je Obraditelj odgovoran za događaj koji je doveo do štete.

Kontrolor će biti jedino odgovoran prema osobi na koju se podaci odnose, a osoba na koju se podaci odnose imat će pravo na naknadu za bilo kakvu materijalnu ili nematerijalnu štetu koju je Kontrolor ili Obraditelj (ili njegovi pod-obraditelji) prouzročio osobi na koju se podaci odnose kršenjem ovog DPA.

Članak H.3 Trajanje i raskid 

Trajanje ovog DPA poklapa se s početkom Ugovora o korisniku i/ili korištenjem određenog proizvoda ili usluge kako je uključeno u Dodatak A.

Ovaj DPA će automatski prestati s važenjem zajedno s raskidom Ugovora o korisniku i/ili korištenjem određenog proizvoda ili usluge kako je uključeno u Dodatak A, koji god od njih bude prvi raskinut.

Po raskidu ovog DPA, Obraditelj će, na zahtjev Kontrolora, vratiti osobne podatke Kontroloru ili Obraditelju kojeg imenuje Kontrolor, ili izbrisati osobne podatke, osim ako Obraditelj ne mora zadržati kopiju prema bilo kojem zakonu Europske unije ili bilo kojoj državi članici Europske unije.

ODJELJAK I: ZAVRŠNE ODREDBE 

Članak I.1 Cjelokupni ugovor 

Ovaj DPA čini dio Ugovora o korisniku. Sva prava i obveze proizašle iz Ugovora o korisniku također se primjenjuju na ovaj DPA. Dodatak A čini sastavni dio ovog DPA.

Članak I.2 Izmjena isključivo dogovorom 

Ništa u ovom DPA ne smije se mijenjati osim ako nije u pisanom obliku i potpisano od strane ovlaštenih predstavnika svake strane. 

Članak I.3 Održivost 

Svaka odredba ovog DPA je neovisna i razdvojiva, i ako se neka odredba, ili dio odredbe, utvrdi neprovedivom, ilegalnom ili nevažećom u potpunosti ili djelomično od strane bilo kojeg suda, regulatornog tijela ili drugog nadležnog tijela, u toj mjeri će se smatrati da nije dio ovog DPA i provedivost, zakonitost i valjanost ostatka ovog DPA neće biti pogođena. Stranke se slažu da pokušaju zamijeniti bilo koju nevažeću ili neprovedivu odredbu važećom ili provedivom odredbom koja što je moguće više postiže isti učinak kao što bi bio postignut nevažećom ili neprovedivom odredbom. Osim za izmjene provedene ovim DPA, Ugovor o korisniku ostaje nepromijenjen i u punoj snazi.

Članak I.4 Pravo na prijenos 

Stranke mogu prenijeti ovaj DPA samo u skladu s Ugovorom o korisniku (klauzula 8.9). 

Članak I.5 Mjerodavno pravo 

Ovaj DPA podliježe i tumači se u skladu s zakonima Nizozemske. Svaka strana pristaje na isključivu nadležnost sudova u Amsterdamu za rješavanje svih sporova koji proizlaze iz ovog DPA. Ako bilo koje tijelo ili administrativni organ nadležan za rješavanje sporova utvrdi da je neka odredba ovog DPA nevažeća, neprovediva ili ilegalna, ostale odredbe ovog DPA ostat će na snazi.

DODATAK A - SPECIFIKACIJA OBRADNJE OSOBNIH PODATAKA 

1. SVRHA OBRADNJE

Obrada osobnih podataka izravno se odnosi na pružanje usluga koje se pružaju prema Ugovoru o korisniku.

Svhe svrhe obrade su:

• Olakšavanje slanja faktura kupcima Kontrolora putem proizvoda i usluga Mollie 

2. KATEGORIJE OSOBA NA KOJE SE PODACI ODNOSE 

Obraditelj će obrađivati osobne podatke sljedećih kategorija osoba na koje se podaci odnose za Kontrolora:

• Kupci Kontrolora (tj. platioci (potrošači, poslovni kupci))

3. TIPOVI OSOBNIH PODATAKA 

Obraditelj će obrađivati sljedeće tipove osobnih podataka za Kontrolora:

• Osnovni kontaktni podaci (uključuje puno ime, (ured) broj telefona, (poslovni) adresu e-pošte, adresu stanovanja/tvrtke)

• Detalji računa (kako ih je naveo Kontrolor)

Nema posebnih kategorija osobnih podataka (kako je definirano člankom 9. GDPR-a) koje će obrađivati Obraditelj. 

4. MJERE SIGURNOSTI 

Kontext 

Kao financijska institucija, sigurnosne kontrole i operativne procedure koje je Mollie stvorila za naše aplikacije, sustave i IT procese podložne su pregledu od strane Nizozemske središnje banke (DNB), koja koristi smjernice Europske agencije za bankarstvo (EBA) za tehničke standarde kojima bi se licencirani subjekti trebali pridržavati. 

Nadalje, budući da Mollie (također) djeluje kao kontrolor osobnih podataka, Mollie je regulirana drugim zakonodavstvom koje postavlja standarde za sigurnost i zaštitu podataka, uz dodatne nadležnosti - posebno GDPR i njegov regulator unutar Nizozemske (Autoriteit Persoonsgegevens). 

Pored toga, sustavi koji obrađuju podatke o karticama specifično su sustavi koji udovoljavaju razini 1 PCI DSS, što znači da je ova posebna aplikacija i procedure za njezin razvoj i održavanje podložne mjerama zaštite podataka koje su navedene od strane PCI vijeća, čiju usklađenost svake godine ocjenjuje vanjska strana.

Opće mjere

Sve aplikacije, sustavi i postupci koji se odnose na njih podložni su Politici informacijske sigurnosti Mollie. Istaknuti dijelovi iz ove i drugih politika koje su relevantne za opseg pruženih usluga su:

• Provjera zaposlenika

• Program sigurnosne obuke za programere

• Program podizanja svijesti o sigurnosti

• Razdvajanje dužnosti

• Upravljanje promjenama

• Upravljanje ranjivostima

• Upravljanje incidentima

• Upravljanje otpornosti i sigurnosnim kopijama

• Provođenje jakih kontrola pristupa (IAM i IGA)

• Pregledi autorizacije korisnika

• Standardi klasifikacije sustava

• Standardi klasifikacije podataka i politika podataka

• Standardi sigurne konfiguracije temeljem industrijskih najboljih praksi, provedba politika (hardening)

• Razdvajanje fizičkog i logičkog mrežnog okruženja

• Standardi sigurne enkripcije

• Upravljanje ključevima za enkripciju

• Enkripcija (u prijenosu, u mirovanju za dijeljena infrastrukturalna okruženja kao što je oblak)

• Upravljanje rizicima trećih strana

• Praćenje dostupnosti i grešaka

• Sigurno razvojno životno razdoblje

  • Modeliranje prijetnji na značajne promjene i nove karakteristike

  • Upravljanje ovisnostima i skeniranje poznatih ranjivosti

  • Statička analiza sigurnosti koda

  • Unutarnje i vanjsko skeniranje ranjivosti

• Koordinirano objavljivanje ranjivosti (CVD) i program nagrade za pronalaženje grešaka

• Program obavještavanja o prijetnjama (npr. sudjelovanje u nizozemskoj PI-ISAC, centru za razmjenu informacija i analizu platnih institucija, praćenju tamnog weba)

• Suradnja s pružateljima usluga upravljanja sigurnošću (MSSP) za sigurnosne operacije, analizu i forenzička istraživanja

• Upravljanje informacijama o sigurnosti i događajima (SIEM)

• Sigurnost krajnjih točaka osoblja

• Email sigurnost

Mollie platforma

Pored općih mjera sigurnosti navedene iznad, aplikacija Mollie platforme pokrivena je sljedećim sigurnosnim mjerama - bilo kao rezultat implementacije naših općih sigurnosnih politika ili kao mjera ublažavanja kako bi se riješio rizik prepoznat u procjeni rizika specifičnih za aplikaciju:

• 2-faktorska kontrola pristupa

• Testovi penetracije trećih strana

• Upravljanje sigurnosnim incidentima

• DDoS mitigacija

• Odgovor na sigurnosni incident

• Praćenje dostupnosti

• Sigurno pohranjivanje akreditiva

• Redundantna infrastruktura

• Plan oporavka od katastrofe

• Ograničavanje brzine i zaključavanje

• Stroga politika sigurnosti sadržaja

• Captcha

• Web aplikacijski vatrozid

DODATAK B - PREGLED POD-OBRADITELJA