IT pyta: Jak wygląda dostęp administracyjny do Empatyzera po stronie dostawcy i jak to audytujecie?

Po stronie dostawcy dostęp administracyjny do Empatyzera jest przyznawany jedynie wyselekcjonowanym osobom na zasadzie najmniejszych uprawnień. Konta administracyjne są ograniczone, przypisane do ról i podlegają wieloskładnikowej autoryzacji oraz nadzorowi. Wszystkie operacje administracyjne są rejestrowane w nieulotnych logach, które zawierają kto, kiedy i co zrobił oraz kontekst akcji. Logi przechowywane są na serwerach w Unii Europejskiej zgodnie z umowną separacją danych klientów i zabezpieczone technicznie. Dostęp krótkoterminowy (just-in-time) i sesje podwyższonego uprawnień są stosowane tam, gdzie to konieczne, a każde takie podniesienie jest dokumentowane. Regularnie przeprowadzamy przeglądy uprawnień, wewnętrzne audyty i automatyczne alerty o nietypowych aktywnościach. Na żądanie klienta dostarczamy zapisy audytowe i raporty dostępu, a poważne incydenty są zgłaszane zgodnie z umową w maksymalnie pięć dni roboczych. Umowy z dostawcą zawierają klauzule o poufności, obowiązki pracownicze oraz procedury postępowania z danymi i dostępem. Infrastruktura jest zorganizowana tak, żeby dane klientów były logicznie i fizycznie oddzielone, co utrudnia nieuprawniony wgląd. Dodatkowo stosujemy mechanizmy szyfrowania danych w spoczynku i podczas transmisji, a zarządzanie kluczami realizowane jest zgodnie z dobrymi praktykami chmurowymi. Automatyczne monitorowanie i integracja z systemami SIEM pozwalają na szybkie wykrycie anomalii i wsparcie procesu dochodzenia. Wreszcie każdy dostęp administracyjny można odtworzyć w formie sekwencji działań, co umożliwia dokładny audyt i analizę przyczyn operacji.

Podsumowując: dostęp administracyjny jest ograniczony, śledzony i audytowalny; na żądanie dostarczamy logi i raporty oraz regularnie weryfikujemy uprawnienia.