Bezpečnostní centrum

Bezpečnost provozu

Pro G2 je naprostou samozřejmostí poskytovat služby s vysokou dostupností a extrémní kvalitou provozu. Proto měříme SLA dostupnosti, s garancí až 99,9999%. Stejně tak měříme i SLA kvality služeb, kdy u jednotlivých produktů kontrolujeme a garantujeme hodnoty důležité pro stabilní provoz.

Zabezpečení dat

Cloudové technologie G2 mohou být umístěny buď ve Vašem firemním datacentru nebo v datacentrech G2 s certifikací TIER3. Ty patří mezi nejbezpečnější v Evropě. Díky používaným technologiím jako je VPN, šifrování dat na storage, firewally a pokročilý virtualizační software, jsou Vaše data uložena na bezpečném místě.



Soulad s legislativou

Zpracování a uchování dat v G2 je díky přijatým a pravidelně auditovaným technologickým a organizačním opatřením vždy zcela v souladu s právními předpisy a normami. Objem certifikací stále zvyšujeme a podle nich vylepšujeme naše interní bezpečnostní a provozní procesy.

GDPR

G2 je GDPR ready! Jako Správce osobních údajů a Zpracovatel chápeme naši roli maximálně zodpovědně. Proto se zaměřujeme na kontinuální zvyšování bezpečnosti, procesů a předpisů. GDPR se dotýká i technologií, které jsou plně v souladu s nařízením EU.

Bezpečnost v cloudu


Proč bychom měli svá data svěřit cloudu? Není používání cloudu nebezpečné? A kde jsou data uložena?

To jsou nejčastější otázky našich potencionálních zákazníků, pro které zcela přirozeně představuje práce s daty a jejich náležitá ochrana důležitou součást jejich obchodní činnosti. Jako poskytovatel cloudu Vás můžeme ujistit, že bezpečí dat našich zákazníků je pro nás opravdu tou nejvyšší prioritou. Proto využíváme a pravidelně auditujeme taková technologická a organizační opatření, abychom pomocí naší služby mohli poskytovat zabezpečení, které po nás i po zákaznících právní předpisy vyžadují.

Díky G2 cloudu a zavedeným technologickým opatřením jste Vy páni svých vlastních dat, ke kterým tak budete mít zajištěnou vysokou dostupnost, garantovanou naší Service Level Agreement (více v sekci ISO 9001).

Data jsou v rámci našich služeb zálohována, čímž naši zákazníci minimalizují riziko jejich nenávratné ztráty. Zákazníci se také běžně obávají, že k jejich datům má mimo nich v cloudu přístup i někdo jiný. Zdůrazňujeme, že k datům v cloudu mají přístup pouze ta koncová zařízení a ti uživatelé, které určí zákazník. O striktní oddělení zákazníků se stará jak virtualizace VMware, tak i virtualizace sítí NSX s mikrosegmentací. Samozřejmostí je i poskytování dedikovaných cloudů či privátních cloudů s vyhrazením pro jednoho zákazníka.


Šifrování a místní přislušnost

Data v cloudu jsou pomocí technologie VPN již od koncového zařízení zákazníka přenášena v zašifrované podobě, a na diskových polích v našich datacentrech uložena náhodně do bloků a šifrována. Z toho důvodu i naši zaměstnanci, kteří mají v předem stanovených případech při řešení požadavků technické podpory k datům částečný přístup, nemohou bez aktivní součinnosti zákazníka do uložených dat nahlížet. Navíc, bez šifrovacího klíče je možnost data dešifrovat prakticky nemožné. Mimo uvedené technologie šifrování používáme k zabezpečení cloudu několik vrstev síťových firewallů, antiddos ochranu, pokročilé antivirové technologie a další software pouze od důvěryhodných a osvědčených dodavatelů. Data jsou uložena v naší infrastruktuře umístěné v rámci nejmodernějších datových center nacházejících se výhradně na území Evropské unie, a na základě preferencí zákazníka v příslušných členských státech. Nemusíte se bát, že budou data bez Vašeho svolení migrována mezi více zeměmi, ačkoliv je to z hlediska snížení rizika výpadku dostupnosti a ztráty dat při nečekaném zásahu vyšší moci žádoucí.

Zavedená a pravidelně auditovaná organizační opatření v rámci norem ISO/IEC 9001:2016 systém managementu kvality a ISO/IEC 27001:2014 systém managementu bezpečnosti informací garantují náležitou úroveň všech zavedených interních procesů, které jsou pro splnění veškerých nároků kladených na poskytovatele cloudu právními předpisy třeba.


Relevantní právní předpisy

  • Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů (GDPR)
  • zákon č. 101/2000 Sb., o ochraně osobních údajů
  • zákon č. 181/2014 Sb., o kybernetické bezpečnosti
  • zákon č. 480/2004 Sb., o některých službách informační společnosti
  • zákon č. 127/2005 Sb., o elektronických komunikacích

GDPR - Obecné nařízení o ochraně osobních údajů


Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů (GDPR), doplňuje již stávající národní právní předpisy závazné jak pro naše zákazníky, tak pro nás, jako poskytovatele digitální služby, obsažené zejména v:

  • zákoně č. 101/2000 Sb., o ochraně osobních údajů,
  • zákoně č. 181/2014 Sb., o kybernetické bezpečnosti,
  • zákoně č. 480/2004 Sb., o některých službách informační společnosti.

GDPR spolu s národními předpisy, které jsou značně ovlivněny harmonizační činností Evropské unie, tvoří všeobecný právní rámec pro nakládání s osobními údaji vymahatelný v členských státech Evropské unie a tvoří tak velmi podstatnou součást moderního systému kybernetické bezpečnosti. G2 server vystupuje při poskytování cloudu ve vztahu k zákazníkovi jak z pozice Správce osobních údajů, tak z pozice Zpracovatele, kdy:

  • z pozice Správce osobních údajů G2 server určuje, jaké údaje o zákazníkovi k poskytování služby potřebuje a jakým způsobem je bude pro zajištění této služby a svých vlastních potřeb zpracovávat,
  • a kdy z pozice Zpracovatele osobních údajů G2 server na základě smluvního vztahu přebírá některé povinnosti zákazníka, který vůči třetím subjektům vystupuje jako Správce osobních údajů, a který tyto údaje zpracovává v cloudu, tedy infrastruktuře G2 server. Pro pozici Zpracovatele provedla společnost G2 server dopadovou analýzu, kterou zapracovala do procesní dokumentace ISO/IEC 27001:2014.

GDPR přebírá původní roztříštěnou právní úpravu ochrany osobních údajů a přehledným způsobem ji sjednocuje, místy rozšiřuje a zdokonaluje. Přináší tak posílení právního postavení fyzických osob, jako Subjektů údajů. EU tak prostřednictvím vysokých sankcí násobí tlak na Správce osobních údajů, kteří musí zajistit soulad zpracování s GDPR a navíc musejí být schopni tento soulad doložit.

Na základě čl. 32 odst. 1 GDPR je Správce s přihlédnutím ke stavu techniky, nákladům provedení, povaze, rozsahu zpracování, kontextu a účelu zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, povinen provést náležitá technická a organizační opatření, aby zajistil úroveň odpovídající daným rizikům. To tedy pro Správce mimo přijetí náležitých interních procesů pro zajištění organizačních opatření znamená, že se musí věnovat i stránce technické.


Vhodná opatření dle čl. 32 odst. 1 GDPR

  • pseudonymizaci a šifrování osobních údajů;
  • schopnost zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
  • schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
  • procesy pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.

Role G2 serveru

Zde nastupuje G2 server, který jako smluvní dodavatel cloudu a profesionál v oboru zajišťuje úroveň zabezpečení odpovídající současnému stavu techniky, kterou je zákazník jako Správce povinen zajistit. Mimo pseudonymizace, která je třeba zajistit ještě před migrací dat do cloudu, zajišťuje společnost G2 server pomocí nastavených procesů zbylé požadavky kladené na Správce a umožňuje jim tak doložit soulad zpracování s požadavky GDPR.

Zásadním krokem k prokazatelnosti nastavených procesních a technických opatření byla certifikace nastavených procesů v rámci normy ISO/IEC 9001:2016 systém managementu kvality a ISO/IEC 27001:2014 systém managementu bezpečnosti informací.

Veškerá data zpracovaná pro zákazníky jsou v rámci Cloudu šifrována již od zákazníka, a jsou na úrovni diskových polí ukládána náhodně do datových bloků, tudíž nemohou být ze strany G2 server CZ s.r.o. zneužita. G2 server CZ s.r.o. zároveň umožňuje zákazníkovi rozhodnout a mít přehled o tom, kde jsou jeho data uchována, dále díky virtualizaci a pokročilým zálohovacím technologiím garantuje zákazníkovi neustálou kontrolu nad uloženými daty, vysokou přístupnost k uloženým datům, jejich obnovitelnost, přenositelnost a garantovanou možnost výmazu uložených dat.


Pověřenci pro ochranu osobních údajů

G2 server dle požadavků GDPR vytvořil dvě pozice kvalifikovaných Pověřenců pro ochranu osobních údajů, kteří mají na starosti jak zpracování osobních údajů z pozice Správce, tak proces zpracování osobních údajů z pozice Zpracovatele. G2 server zároveň zajistil kompletní smluvní potvrzení souladu všech procesů s GDPR všech partnerů a dodavatelů.

Zákazník tak díky cloudu jako Správce osobních údajů dodrží Zásadu integrity a důvěrnosti a je schopen takový soulad doložit.

Zákon o Kybernetické bezpečnosti


Cílem zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 316/2014 Sb., je zejména po transpozici Směrnice Evropského parlamentu a Rady EU č. 2016/1148 (EU NIS) dosáhnout vysoké společné úrovně bezpečnosti sítí a informačních systémů. V praxi to znamená větší tlak regulátorů na plošné zvyšování bezpečnosti všech sítí a informačních systémů, na nichž je postaveno fungování naší společnosti a hospodářství. Za tímto účelem je od provozovatelů základních služeb v uvedených oblastech a klíčových poskytovatelů digitálních služeb, aby podnikli odpovídající kroky v zájmu řízení bezpečnostních rizik a oznamování případů závažných narušení bezpečnosti vnitrostátním příslušným orgánům.

Požadavky zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 316/2014 Sb. nemíří pouze na zpracování osobních údajů, ale na zpracování a uchování veškerých dat.

G2 server je ve smyslu § 2 písm. l) odst. 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti, poskytovatel digitální služby, který je dle § 4 odst. 2 a 3 tohoto zákona povinen zavést a provádět vhodná a přiměřená bezpečnostní opatření pro sítě elektronických komunikací a informační systémy, které využívá v souvislosti se zajišťováním své služby, přičemž tato bezpečnostní opatření zohledňují zajištění bezpečnosti informací, zvládání kybernetických bezpečnostních incidentů, řízení kontinuity činností, monitorování, audit, testování a soulad s mezinárodními předpisy. Jedná se tedy o velmi podobné požadavky, jaké na Správce osobních údajů klade čl. 32 GDPR.

Organizační opatření dle § 5 odst. 2 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (rozklikávací roleta) (zelené fajfky vedle povinností, jakože je splňujeme?)

  • a) systém řízení bezpečnosti informací,
  • b) řízení rizik,
  • c) bezpečnostní politika,
  • d) organizační bezpečnost,
  • e) stanovení bezpečnostních požadavků pro dodavatele,
  • f) řízení aktiv,
  • g) bezpečnost lidských zdrojů,
  • h) řízení provozu a komunikací kritické informační infrastruktury nebo významného informačního systému,
  • i) řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému,
  • j) akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů,
  • k) zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
  • l) řízení kontinuity činností a
  • m) kontrola a audit kritické informační infrastruktury a významných informačních systémů.

Organizační opatření dle § 5 odst. 3 zákona č. 181/2014 Sb., o kybernetické bezpečnosti

  • a) fyzická bezpečnost,
  • b) nástroj pro ochranu integrity komunikačních sítí,
  • c) nástroj pro ověřování identity uživatelů,
  • d) nástroj pro řízení přístupových oprávnění,
  • e) nástroj pro ochranu před škodlivým kódem,
  • f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů,
  • g) nástroj pro detekci kybernetických bezpečnostních událostí,
  • h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí,
  • i) aplikační bezpečnost,
  • j) kryptografické prostředky,
  • k) nástroj pro zajišťování úrovně dostupnosti informací a
  • l) bezpečnost průmyslových a řídících systémů.

I v případě zákona č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcí vyhlášky č. 316/2014 Sb. jsme vyžadované povinnosti zapracovali do procesní dokumentace systému managementu bezpečnosti informací ISO/IEC 27001:2014, který díky pravidelným auditům garantuje náležitou úroveň všech zavedených interních procesů.

ISO 9001:2016


Zavedení a udržování systému managementu kvality je považováno managementem firmy G2 server CZ s.r.o. za strategické rozhodnutí. Díky implementaci systému managementu kvality je možné poskytované služby přizpůsobit potřebám zákazníků a možným rizikům spojených s kvalitou poskytované služby.

Přijatá opatření

Integrovaná příručka jakosti

Integrovaná příručka popisuje integrovaný systém řízení a zasahuje do všech procesů a činností společnosti. Integrovaná příručka je všeobecná a obsahuje platné, závazné, ale základní informace, které nepodléhají častým změnám na nižších úrovních řízení. Interní dokumentace však slouží pouze k nastavení postupů požadovaných externí dokumentací, kterou tvoří všeobecné závazné právní předpisy, technické normy a dokumentace zákazníků.

Interní příručka stanovuje integrovaný postup plánování procesů, řízení procesů a jejich následné zlepšování po dokončení životního cyklu, aby mohla být kvalita poskytovaných služeb a nabídka produktů neustále zdokonalována. Cílem společnosti je soustavně zkvalitňovat služby poskytované stávajícím zákazníkům a prostřednictvím udržitelného růstu tržní kapacity získat zákazníky nové. Proto všichni zodpovědní pracovníci zajišťují, aby potřeby a očekávání zákazníka byly převedeny na požadavky a plněny k jeho plné spokojenosti.

Maticí odpovědnosti definuje vedení společnosti funkce a jejich vzájemné vztahy, včetně jejich povinností a pravomocí. Stanovené organizační schéma znázorňuje řídící strukturu společnosti a slouží pro efektivní a účinný management.

Interní směrnice a Pracovní postupy

Odpovědnosti a pravomoci každého pracovníka jsou stanoveny Příručkou kvality a navazujícími interními směrnicemi, čímž je efektivně eliminována možnost lidského pochybení na absolutní minimum. Interními směrnicemi zajišťuje společnost efektivní koordinaci pracovních postupů jak směrem dovnitř organizace, tak směrem k zákazníkům a dodavatelům.

SLA a kvalita služby

Klíčovým prvkem našich služeb je garantovaná vysoká dostupnost a kvalita služeb, která je zaručena v Service Level Agreement, obsažené v našich obchodních podmínkách s partnery a koncovými zákazníky. Standardně poskytujeme měsíční SLA ve výši 99,99 %, které představuje dostupnost služby. Naši zákazníci však mají možnost si v případě potřeby prostřednictvím doplňkových produktů SLA navýšit, případně pro úsporu finančních prostředků snížit. Cloud je poskytován na nejvyšší úrovni kvality a v rámci příplatkových služeb našim zákazníkům garantujeme i měřitelné hodnoty CPU Ready, Storage Response Time a Veeam Backup RTO.

ISO 27001:2014


Rozvoj IT služeb a jejich plošné využívání ruku v ruce způsobuje zranitelnost jejich uživatelů vzhledem k bezpečnostním hrozbám, mezi které patří kybernetická kriminalita, ztráta dat, porušení důvěrnosti informací atd. Ochrana informačního kapitálu je tak dnes již nezbytnou nutností.

Poškození a ztráta uložených informací, natož krádež důvěrných dat by na Cloud mělo nedozírné následky. Proto je nezbytná ochrana všech systémů, které obsahují důležitá data, prostřednictvím systému řízení bezpečnosti informací, známého pod zkratkou ISMS, jehož zavedení je nezbytné pro certifikaci procesů ISO/IEC 27001:2014.

ISO/IEC 27001:2014 je pravidelně auditovaný systém managementu bezpečnosti informací, který jako mezinárodně platný standard definuje požadavky na ochranu osobních údajů a kybernetickou bezpečnost, především pak na řízení bezpečnosti důvěry informací pro zaměstnance, interní procesy, IT systémy a strategii společnosti.

G2 server při zavádění potřebných procesů zvolila externí poradenství a certifikaci mezinárodně uznávanou společností TÜV SÜD, která zároveň provádí pravidelné audity nastavených procesů.

Přijatá opatření

Opatření přijatá procesy ISO/IEC 27001:2014 odpovídají požadavkům vyhlášky č. 316/2014 Sb., která provádí zákon č. 181/2014 Sb., o kybernetické bezpečnosti a Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů (GDPR).

Bezpečnostní politika

Bezpečnostní politika je základním a zároveň ústředním strategickým dokumentem zajišťujícím rámec informační bezpečnosti společnosti G2 Server CZ s.r.o. Jejím cílem je:

  • zajištění požadované úrovně ochrany dostupnosti, důvěrnosti a integrity informačních aktiv, kdy veškeré významné uživatelské operace nad aktivy jsou jednoznačně identifikovány, bezpečně zaznamenávány a následně vyhodnocovány.
  • Schopnost detekovat kybernetické bezpečnostní incidenty, a to včetně identifikace původce bezpečnostního incidentu, způsobu narušení bezpečnosti, dopadů a přijmutí příslušných reaktivních bezpečnostních opatření.
  • Zavedení a řízení bezpečnostních opatření a udržování aktualizované bezpečnostní dokumentace.
  • Aplikovat procesní rámec řízení informační bezpečnosti v organizaci.

Nastavený procesní systém, který Bezpečnostní politika zastřešuje, je vypracován v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcími vyhláškami, dále s nařízením Evropského parlamentu a rady EU 2016/679 GDPR a dalšími požadavky, které vyplývají z obecně závazných právních předpisů. Nastavené procesy dále odpovídají vysoké úrovni rizik, která hrozí informačním prostředkům společnosti G2 server CZ s.r.o. a potřebám společnosti v oblasti zpracování a ochrany informací.

Bezpečnostní politika zřizuje funkce Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti a Výboru kybernetické bezpečnosti.

Standardy informační bezpečnosti

Cílem Standardu informační bezpečnosti je nastavení a kontrola účinného souboru opatření pro zaměstnance a externí konzultanty společnosti G2 server CZ s.r.o., který minimalizuje rizika ohrožení dostupnosti, důvěrnosti a integrity dat, která společnost vytváří a zpracovává.

Dostupností se dle tohoto dokumentu rozumí zajištění takových procesů a informací, které jsou nezbytné pro splnění cílů společnosti společně se zákonnými požadavky, důvěrností ochrana osobních údajů (vč. zvláštní kategorie osobních údajů), software, know-how před prozrazením nebo krádeží a integritou zajištění správnosti a dostupnosti informací, služeb a software.

Ve Standardech informační bezpečnosti jsou definovány procesy řízení aktiv, bezpečnosti lidských zdrojů, fyzické bezpečnosti, řízení komunikací a provozu, kontroly přístupů, přejímání, vývoje a údržby informačních systémů, řízení incidentů informační bezpečnosti, Business Continuity Management.

Příručka ISMS

Příručka ISMS je metodický dokument, který je vytvořen za účelem řízení systému informační bezpečnosti dle ISO/IEC 27001:2014 a slouží jako podklad pro efektivní řízení pravomocí kompetentních osob v systému kybernetické bezpečnosti ve společnosti G2 Server CZ s.r.o., tedy Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti, Výboru kybernetické bezpečnosti, Auditora kybernetické bezpečnosti, Garanta aktiva a Technického správce aktiva.

Příručka ISMS je založena na cyklickém modelu PDCA, tedy Plan-Do-Check-Act, který je pravidelně přezkoumáván za účelem zdokonalování nastavených procesů.

Oblast definovaná pro Příručku ISMS (rozklikávací roleta) (zelené fajfky vedle povinností, jakože je splňujeme?)

  • a) systém řízení bezpečnosti informací,
  • b) organizační bezpečnost,
  • c) řízení vztahů s dodavateli,
  • d) klasifikace aktiv,
  • e) bezpečnost lidských zdrojů,
  • f) řízení provozu a komunikací,
  • g) řízení přístupu,
  • h) bezpečné chování uživatelů,
  • i) zálohování a obnova,
  • j) bezpečné předávání a výměna informací,
  • ) řízení technických zranitelností,
  • l) bezpečné používání mobilních zařízení,
  • m) poskytování a nabývání licencí programového vybavení a informací,
  • n) dlouhodobé ukládání a archivace informací,
  • o) ochrana osobních údajů,
  • p) fyzická bezpečnost,
  • q) bezpečnost komunikační sítě,
  • r) ochrana před škodlivým kódem,
  • s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
  • t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí,
  • u) používání kryptografické ochrany.

Výbor kybernetické bezpečnosti

Výbor kybernetické bezpečnosti je orgán odpovědný za řízení bezpečnosti informací ve společnosti G2 Server CZ s.r.o. Činnosti Výboru kybernetické bezpečnosti spočívají v řízení bezpečnostní strategie, bezpečnostních politik, implementace bezpečnostních opatření, rozpočtu na bezpečnost, bezpečnostních incidentů, vzdělávání a školení v oblasti bezpečnosti a také bezpečnostních kontrol a auditů.

Výbor kybernetické bezpečnosti se skládá z představitelů všech klíčových oddělení společnosti G2 server CZ s.r.o., je veden Manažerem kybernetické bezpečnosti a je jako celek odpovědný vedení společnosti G2 server CZ s.r.o. (kontaktní formulář na Výbor kybernetické bezpečnosti)

ITIL V3


Information Technology Infrastructure Library (ITIL) jsme se rozhodli necertifikovat jako systém ISO 20000, ale vycházíme ze souboru prověřených konceptů a postupů (tedy Best practices v IT), které umožňují lépe plánovat, využívat a zkvalitňovat poskytování IT produktů zákazníkům. ITIL stejně jako ISO 27001:2014 slouží pouze k nastolení agendy a nespecifikuje přímo způsob, jakým mají být modelové postupy aplikovány. Díky tomu je možné využít to nejlepší z obou systémů a přizpůsobit jak systém managementu bezpečnosti informací ISO/IEC 27001:2014, který pokrývá obecnou problematiku kybernetické bezpečnosti, tak systém ITIL, který se specializuje na životní cyklus IT produktů.

PDCA cyklus ISO 27001:2016 - Systém řízení bezpečnosti informací ITIL
Plan Část 4 - koncepce organizace
Část 5 - vedení organizace
Část 6 - plánování
Část 7 - podpora
- strategie služby
- návrh služby
Do Část 8 - provoz organizace - vývoj služby - provoz služby
Check Část 9 - hodnocení výkonnosti neustálý vývoj služby
Act Část 10 - zavádění nových účinnějších řešení neustálý vývoj služby

Ačkoliv se ITIL téměř shoduje se systémem ISO/IEC 20000, zvolil G2 server CZ s.r.o. flexibilnější cestu rozšíření stávajícího systému ISO/IEC 27001:2014, jehož je IT pouze jednou z mnoha součástí, o prvky ITIL zabývajícími se výhradně IT, které nám pomáhají s vývojem produktů a nastavení vztahů s našimi zákazníky.

A jak ITIL vlastně ve vztahu k IT produktům funguje? (nemohl by grafik předělat do našeho návrhu, tento jsem upirátil a nevypadalo by to dobře)

SOC2 a SOC3


System & Organization Control (SOC) reporty jsou dalším nezávislým systémem reportingu, který poskytuje informace o nastavených opatřeních pro provoz služby, zejména zabezpečení, dostupnosti a integrity. Systém SOC 2 je detailnější a obsahuje kvalifikované informace pro společníky a vedení organizace, zatímco systém SOC 2 je kratší a je určený zejména pro širokou uživatelskou veřejnost. SOC 2 report je stále velmi oblíbený zejména kvůli faktu, že nejen IT vendoři, ale i jejich zákazníci mají povinnost poskytovat své služby v souladu s právními předpisy a zejména v oblasti cloudových technologií je záruka důvěryhodnosti naprosto klíčová. Proto se SOC 2 report soustřeďuje na pět naprosto klíčových kritérií, tedy zabezpečení, dostupnost, celistvost zpracování, důvěryhodnost a zabezpečení soukromí.