+41 52 511 3200 (SUI) + 1 713 955 7305 (USA)
Politika kybernetické bezpečnosti

1. Úvod a účel

1.1 Rheonics se zavázala chránit svá informační aktiva, včetně proprietárních dat, informací o zákaznících, duševního vlastnictví a IT infrastruktury, před neoprávněným přístupem, použitím, zveřejněním, pozměněním, narušením nebo zničením.

1.2 Tato politika vytváří rámec pro udržování bezpečného prostředí pro Rheonicsdigitální operace, v souladu s:

  • Předpisy: Švýcarský FADP, GDPR (pokud je to relevantní), státní/federální zákony USA a další příslušné národní zákony, kde Rheonics funguje.
  • Standardy: Principy Zero Trust, CIS Benchmarks, NIST směrnice (např. SP 800-88, SP 800-171 tam, kde je to relevantní) a OWASP směrnice.

1.3 Cíle:

  • Zabezpečte důvěrnost, integritu a dostupnost (CIA) dat a systémů.
  • Minimalizujte rizika kybernetických bezpečnostních incidentů a zajistěte kontinuitu podnikání.
  • Pěstujte u všech zaměstnanců kulturu uvědomující si bezpečnost.
  • Zajistěte dodržování zákonných, regulačních a smluvních závazků.

 

2. Rozsah

Platí pro všechny Rheonics zaměstnanci, dodavatelé, konzultanti, stážisté, dobrovolníci a třetí strany („Uživatelé“) Rheonics systémy, data nebo zařízení. Kryty:

2.1 Majetek

  • technické vybavení
  • Software (včetně SaaS/IaaS/PaaS)
  • Data (elektronická a fyzická)
  • Sítě
  • Fyzické vybavení

2.2 Činnosti

  • Práce na místě
  • Vzdálená práce
  • Použití zařízení vlastněných společností
  • Používání osobních zařízení (BYOD)
  • Vývojové aktivity
  • Interakce s dodavateli třetích stran

 

3. Role a odpovědnosti


RoleKlíčové povinnosti
managementŠampionská politika; alokovat zdroje; zajistit celkovou shodu a řízení rizik.
IT/bezpečnostní týmImplementujte/řídíte kontroly; hlavní reakce na incidenty; provádět audity a hodnocení.
Všichni uživateléDodržujte zásady; používat silná hesla + MFA; okamžitě hlásit incidenty; kompletní školení.

 

4. Politická prohlášení

4.1 Zabezpečení dat

  • Klasifikace a manipulace: Údaje musí být klasifikovány a musí se s nimi zacházet podle citlivosti (viz příloha A). Požadavky se zvyšují s citlivostí.
  • Šifrování: Omezená a důvěrná data musí být zašifrována v klidu a při přenosu pomocí silných standardních algoritmů.
  • Likvidace: Musí být použity bezpečné metody: stírání elektronických médií v souladu s NIST SP 800-88; křížové skartování (P-4 nebo vyšší) pro fyzické dokumenty obsahující důvěrná nebo omezená data. Je nutné dodržovat harmonogramy uchovávání dat.

4.2 Řízení přístupu

  • Nejmenší oprávnění a RBAC: Přístup je udělován na základě potřeby funkce úlohy (nejmenší oprávnění) pomocí řízení přístupu založeného na rolích (RBAC).
  • Ověření: Je vyžadováno jedinečné ID uživatele. Silná hesla (viz Příloha B) a MFA jsou povinná pro cloudové služby, vzdálený přístup, účty pro správu a systémy zpracovávající důvěrná/omezená data.
  • Hodnocení: Přístupová práva čtvrtletně kontrolována manažery/vlastníky systému; odvoláno okamžitě po ukončení nebo změně role. Pro udělení/změnu přístupu je vyžadován formální schvalovací proces.

4.3 Zásady přijatelného užívání (AUP)

  • Obchodní účel: Rheonics zdroje jsou primárně pro obchodní použití. Omezené náhodné osobní použití je povoleno, pokud nezasahuje do povinností, nespotřebovává nadměrné zdroje, nevzniká náklady nebo neporušuje zásady/zákony.
  • Zakázané činnosti: Mezi ně patří mimo jiné: nelegální aktivity, obtěžování, přístup/distribuce urážlivého materiálu, porušování autorských práv, neoprávněné úpravy systému, obcházení bezpečnostních kontrol, instalace neoprávněného softwaru, zavádění malwaru, neoprávněné sdílení/exfiltrace dat, nadměrné osobní použití.
  • Bdělost uživatele: Uživatelé musí být opatrní s e-maily (phishing), webovým procházením (škodlivé stránky) a manipulací s přílohami/odkazy.

4.4 Zabezpečení sítě

  • Obvod a segmentace: Firewally, IDS/IPS udržovány. Segmentace sítě izoluje kritické systémy (např. výzkum a vývoj, výroba) a datová úložiště.
  • Wi-Fi: Zabezpečené WPA3-Enterprise (nebo WPA2-Enterprise minimum) pro interní sítě. Wi-Fi pro hosty musí být logicky oddělena a nesmí poskytovat žádný přístup k interním zdrojům.
  • Vzdálený přístup: Pouze přes společností schválenou VPN s MFA. Dělené tunelování může být omezeno.
  • Nulová důvěra: Implementace principů architektury Zero Trust (např. mikrosegmentace, průběžné ověřování, kontroly stavu zařízení) probíhá s cílem dokončení do 1. čtvrtletí 2026 pro kritické sítě.

4.5 Zabezpečení koncového bodu vlastněné společností

  • Ochrana: Všechny koncové body vlastněné společností (stolní počítače, notebooky, mobily) musí mít spuštěný a aktualizovaný antivirový software spravovaný společností Endpoint Detection & Response (EDR) nebo schválený antivirový software.
  • Oprava: Operační systémy a aplikace musí být aktualizovány prostřednictvím firemního procesu správy oprav. Kritické opravy aplikované v rámci definovaných časových os [Rheonics definovat časové osy, např. 72 hodin pro kritický OS].
  • Šifrování: U notebooků a přenosných zařízení je povinné šifrování celého disku (např. BitLocker, FileVault).

4.6 Přineste si vlastní zařízení (BYOD)

  • Schválení a standardy: Použití osobních zařízení (BYOD) pro neveřejný přístup Rheonics data vyžadují výslovné schválení a dodržování minimálních standardů (viz příloha D).
  • Bezpečnostní požadavky: Zahrnuje registraci MDM, podporované verze OS, bezpečnostní software, šifrování, přístupové kódy, možnost vzdáleného vymazání a segregaci/kontejnerizaci dat.
  • Disclaimer: Rheonics si vyhrazuje právo spravovat/vymazat firemní data ze zařízení BYOD; Rheonics nenese odpovědnost za ztrátu osobních údajů při bezpečnostních akcích.

4.7 Zabezpečení a správa softwaru

  • Autorizovaný software: Instalovat lze pouze licencovaný software schválený IT oddělením. Uživatelům je zakázáno instalovat neautorizované aplikace.
  • Správa oprav: Platí pro veškerý software (OS, aplikace, firmware) na všech systémech (servery, koncové body, síťová zařízení).
  • Správa zranitelnosti: Provádí se pravidelné skenování zranitelnosti. Kritická zranitelnost musí být opravena v definovaných časových lhůtách [Rheonics definovat]. Periodicky prováděné penetrační testy na kritických systémech.
  • Bezpečný vývoj: (Pokud je to možné) Vývojové týmy musí dodržovat postupy bezpečného kódování (např. OWASP Top 10), provádět kontroly kódu a používat nástroje pro testování zabezpečení (SAST/DAST).
  • Analýza složení softwaru (SCA): Komponenty s otevřeným zdrojovým kódem musí být inventarizovány a prohledány na zranitelnosti. Používání softwaru/komponent s ukončenou životností (EOL) je zakázáno, pokud to není výslovně schváleno vedením/IT Security.

4.8 Fyzická bezpečnost

  • Řízení přístupu: Přístup k Rheonics zařízení, serverovny a výzkumné a vývojové laboratoře omezeny fyzickými kontrolami (odznaky, klíče, biometrické údaje). Přístupové protokoly udržované pro citlivé oblasti.
  • Správa návštěvníků: Návštěvníci se musí přihlásit, dostat dočasný průkaz totožnosti a být doprovázeni v neveřejných prostorách.
  • Zabezpečení pracovní stanice: Uživatelé musí zamknout pracovní stanice bez dozoru (Windows+L / Ctrl+Cmd+Q).
  • Vymazat plochu/obrazovku: Citlivé informace (fyzické dokumenty, obrazovky) by měly být chráněny před neoprávněným prohlížením, zejména v otevřených prostorách nebo při ponechání stolů bez dozoru. Používané bezpečné odpadkové koše.

4.9 Zabezpečení cloudu

  • Schválené služby: Využití cloudových služeb (SaaS, IaaS, PaaS) pro Rheonics data musí být schválena IT/bezpečnostním oddělením.
  • Konfigurace a monitorování: Služby musí být nakonfigurovány bezpečně, v souladu s CIS Benchmarks, kde je to možné (AWS/GCP/Azure). Musí být vynuceny zásady podmíněného přístupu (např. geografická poloha, soulad zařízení). API a protokolování aktivity uživatelů povoleno a monitorováno.
  • Ochrana dat: Zajistěte, aby se poskytovatelé cloudu setkali RheonicsPožadavky na zabezpečení dat, šifrování, zálohování a pobyt prostřednictvím smluv a hodnocení.

4.10 Správa třetí strany / Prodejce

  • Odhad rizika: Bezpečnostní hodnocení prováděná před zapojením dodavatelů, kteří přistupují, zpracovávají a ukládají Rheonics dat nebo připojení k sítím. Úroveň rizika určuje hloubku hodnocení.
  • Smluvní požadavky: Smlouvy musí obsahovat klauzule týkající se důvěrnosti, ochrany údajů (včetně DPA při zpracování osobních údajů podle GDPR/FADP), bezpečnostních kontrol, oznamování incidentů a práv na audit.
  • Průběžné monitorování: Pravidelná kontrola kritického stavu zabezpečení dodavatele.

4.11 Reakce na incident

  • Hlášení: Podezřelé incidenty musí být hlášeny okamžitě (cíl do 1 hodiny od zjištění) prostřednictvím () nebo (24/7 kanál interních týmů společnosti).
  • Plán odezvy: Rheonics udržuje plán reakce na incidenty (IRP). Základní průtok viz příloha C.
  • Kritické události: (např. ransomware, potvrzené narušení dat) Spustit eskalaci a zadržovací akce (cíl do 4 hodin). Právní/výkonné oznámení se řídí časovými harmonogramy diktovanými nařízeními (např. 72hodinové oznámení o porušení GDPR/FADP, pokud je to relevantní).
  • Spolupráce: Všichni uživatelé musí plně spolupracovat při vyšetřování reakce na incidenty.

 

5. Prosazování

Porušení budou řešena na základě závažnosti a úmyslu, v souladu s místním pracovním právem.

PorušeníPříkladDůsledek (příklady)
MenšíNáhodné odchylky od politiky; zameškaný nekritický tréninkPísemné varování; povinná rekvalifikace
HlavníSdílené přihlašovací údaje; opakovaná drobná porušení; instalace neautorizovaného P2P softwaruSuspenze; formální disciplinární řízení
Kritické / ZáměrnéÚmyslné narušení dat; škodlivá činnost; sabotovatUkončení; případné právní kroky

 

6. Údržba zásad

  • Kadence recenze: Alespoň jednou ročně přezkoumává vlastník politiky (vedoucí IT) a zúčastněné strany.
  • Spouštěče kontroly: Ad-hoc kontroly vyvolané: velkými bezpečnostními incidenty, významnými regulačními změnami (např. nové zákony o ochraně osobních údajů), významnými změnami technologie/infrastruktury (např. velká migrace do cloudu), zjištěními auditu.
  • Zprávy: Schválené změny sděleny všem uživatelům.

 

7. Přílohy

7.1 Příloha A: Klasifikace dat

KlasifikacePříkladPožadavky na manipulaci
OmezenýPII zákazníka, zdrojový kód výzkumu a vývoje, šifrovací klíče• Šifrování (v klidu/přepravě)
• Přísné protokoly přístupu
• Potřeba vědět + výslovné schválení
• Roční kontrola přístupu
důvěrnýZáznamy zaměstnanců, finanční údaje, interní strategie• MFA doporučeno/požadováno
• Základ „need-to-know“.
• Omezené interní sdílení
InterníPoznámky ze schůzek, interní zásady, obecná komunikace• Žádné externí sdílení bez schválení.
• Používejte firemní systémy
VeřejnéMarketingové materiály, veřejný obsah webových stránek• Žádná omezení pro manipulaci/sdílení

 

7.2 Příloha B: Požadavky na heslo

  • Minimální délka:
    • Uživatelské účty: 12 znaků
    • Účty správce/služby: 16 znaků
  • Komplexita
    • Alespoň 3 ze 4: velká písmena, malá písmena, čísla, symboly (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Nesmí obsahovat uživatelské jméno ani běžná slova ze slovníku.
  • Rotace
    • Maximálně 90 dní (pokud nepoužíváte schválené metody nepřetržité autentizace).
  • Historie
    • Předchozích 5 hesel nelze znovu použít.
  • Skladování:
    • Nesmí být zapsáno nezabezpečeně. Pro ukládání složitých jedinečných hesel používejte správce hesel schválený společností (např. Bitwarden, 1Password). Sdílení hesel je zakázáno. Obejití vícefaktorové autentizace je zakázáno.

 

7.3 Příloha C: Tok odezvy na incident

  • Detekce a analýza: Identifikujte potenciální incidenty.
  • Hlášení: Nahlaste OKAMŽITĚ (do cíle do 1 hodiny) oddělení IT/bezpečnosti prostřednictvím definovaných kanálů.
  • Třídění a hodnocení: IT/zabezpečení posuzuje závažnost a dopad.
  • Zadržování: Izolujte postižené systémy/účty (v případě kritických incidentů do 4 hodin).
  • Eradikace: Odstraňte hrozbu/zranitelnost.
  • Obnova: Bezpečná obnova systémů/dat.
  • Kontrola po incidentu: Poučení, zlepšování procesů.
    • Oznámení: Právní/regulační/zákaznická oznámení prováděná podle potřeby na základě posouzení (např. do 72 hodin v případě porušení ochrany osobních údajů GDPR/FADP).

 

7.4. Příloha D: Minimální standardy BYOD

  • Odsouhlasení: Vyžaduje se před přístupem k neveřejným datům.
  • Požadavky na zařízení:
    • Verze OS: Musí běžet verze aktuálně podporované dodavatelem (např. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Zabezpečení Zámek obrazovky/biometrie povoleny; šifrování zařízení povoleno; může být vyžadován schválený bezpečnostní software (AV/anti-malware); zařízení není jailbreaknuté/rootované.
    • MDM: Zápis do RheonicsŘešení Mobile Device Management (MDM) je povinné.
    • Vzdálené vymazání: Schopnost musí být povolena pro firemní data/profil.
  • Segregace dat: Firemní data zpřístupněná/uložená prostřednictvím schválených aplikací v rámci spravovaného profilu nebo kontejneru (např. Microsoft Intune MAM, Android Work Profile). Žádné kopírování firemních dat do osobních aplikací/úložišť.
  • Síť: Připojení přes zabezpečené Wi-Fi; vyhněte se nedůvěryhodné veřejné Wi-Fi pro práci.

 

8. Kontakt a potvrzení

  • Bezpečnostní otázky/obavy: Kontakt () nebo IT/bezpečnostním týmem prostřednictvím interních kanálů.
  • Nahlásit incidenty: Použijte naléhavé metody: () a (kanál interních firemních týmů 24/7).
  • Potvrzení: Všichni uživatelé jsou povinni si tyto zásady přečíst, porozumět jim a potvrdit jejich přijetí elektronicky prostřednictvím (HR portálu, školicího systému) při nástupu a po následujících důležitých aktualizacích. Nepotvrzení těchto zásad neznamená, že jsou platné.
Stáhněte si zásady kybernetické bezpečnosti
Rheonics Politika kybernetické bezpečnosti
Hledat

Rheonics na veletrhu EXPOCOBRÉ 2026

Připojte Rheonics na veletrhu EXPOCOBRE 2026 v Limě a prozkoumejte, jak přesné snímání zlepšuje efektivitu těžby. Od monitorování hustoty kalu až po monitorování chemikálií – podívejte se na naši technologii v akci.

Objevte více