Adatvédelmi nyilatkozat

1. Bevezetés

Cél és jogi keretrendszer

Jelen Adatvédelmi nyilatkozat határozza meg az átfogó jogi keretrendszert, amely a CypSec Group által végzett valamennyi személyes adatfeldolgozási tevékenységre kiterjed, különösen a fejlett kiberbiztonsági szolgáltatások kormányzati szervek, védelmi vállalkozók, kritikus infrastruktúra-üzemeltetők, kereskedelmi szervezetek és felhatalmazott magánszemélyek részére történő nyújtása során. Jelen nyilatkozat jogilag kötelező érvényű dokumentum, amely meghatározza az adatgyűjtés, feldolgozás, tárolás és továbbítás paramétereit, amelyek elengedhetetlenek a nemzeti biztonsági érdekek fenntartásához és a kritikus információs rendszerek védelméhez a kifinomult kiberfenyegetésekkel szemben.

Jelen nyilatkozat rendelkezései az alkalmazandó adatvédelmi jogszabályok – ideértve a Svájci Szövetségi Adatvédelmi törvényt, valamely alkalmazandó Általános Adatvédelmi Rendeletet és minden egyéb kötelező jogi követelményt – keretében működnek. Ugyanakkor minden feldolgozási tevékenység kifejezett elismerés mellett történik, miszerint a nemzeti biztonsági érdekek támogatását szolgáló kiberbiztonsági műveletek eltérést igényelhetnek a szokásos adatvédelmi paradigmáktól, amennyiben azt fenyegetésre adandó válaszintézkedések, hírszerző műveletek vagy a kritikus infrastruktúra-rendszerek védelmi intézkedései szükségessé teszik.

Alkalmazási kör

Jelen nyilatkozat teljes körű hatállyal alkalmazandó minden olyan személyes adatfeldolgozási műveletre, amely a fejlett fenyegetésészlelési és -megelőzési szolgáltatásokkal, biztonsági monitorozással és incidensválasz-tevékenységekkel, sérülékenység-felméréssel és penetrációs tesztelési műveletekkel, informatikai kriminalisztikai elemzéssel és nyomozási eljárásokkal, menedzselt biztonsági szolgáltatásnyújtással, valamint az engedélyezett felhasználók részére biztosított valamennyi kapcsolódó platformmal, technológiával és támogatási mechanizmussal összefüggésben történik.

Az alkalmazási kör kiterjed minden olyan személyes adatra, amely biztonságos kormányzati portálokon és minősített kommunikációs csatornákon, fenyegetés-hírszerző platformokon és biztonsági információkezelő rendszereken, felhőalapú biztonsági architektúrákon és helyszíni telepítéseken, mobilalkalmazásokon és távoli hozzáférési technológiákon, alkalmazásprogramozási felületeken és szoftverfejlesztési készleteken, valamint az átfogó fenyegetésészlelési képességek szempontjából létfontosságú, integrált harmadik féltől származó biztonsági eszközökön és adatforrásokon keresztül kerül feldolgozásra.

Elfogadás és jogi kötőerő

Bármely CypSec szolgáltatáshoz való hozzáférés vagy annak használata jelen Adatvédelmi nyilatkozat feltétel nélküli elfogadásának minősül, és jogilag kötelező érvényű megállapodást hoz létre az adatfeldolgozási tevékenységekről. A felhasználók kijelentik, hogy rendelkeznek a szükséges jogi kapacitással és felhatalmazással ahhoz, hogy ezen adatfeldolgozási feltételek tekintetében hozzájárulást adjanak saját maguk, valamint az általuk képviselt bármely szervezet nevében. Jelen nyilatkozat kivétel nélkül minden felhasználóra alkalmazandó, ideértve a kormányzati szerveket, védelmi vállalkozókat, kereskedelmi szervezeteket és az engedélyezett biztonsági keretrendszeren belül működő egyéni felhasználókat.

A CypSec szolgáltatások igénybevételével a felhasználók tudomásul veszik, hogy az adatfeldolgozási tevékenységek nemzeti biztonsági célok, kritikus infrastruktúra védelme, valamint engedélyezett kiberbiztonsági műveletek támogatása érdekében történhetnek, és hogy ezen feldolgozás a fenyegetésészleléshez, incidensválaszhoz és biztonsági fenntartási tevékenységekhez szükséges személyes adatok gyűjtését és elemzését is magában foglalhatja.

2. Személyes adatok kategóriái és gyűjtési módszertanok

A feldolgozott személyes adatok kategóriái

A CypSec kizárólag a kiberbiztonsági szolgáltatások nyújtásához, a fenyegetésészlelési képességekhez, az incidensválasz koordinációjához, valamint az alkalmazandó szerződéses kötelezettségeknek és kormányzati utasításoknak való megfeleléshez szükséges mértékben dolgoz fel személyes adatokat. A feldolgozott személyes adatok magukban foglalják az azonosítási és engedélyezési adatokat, így a teljes jogi neveket, a kormányzati szervek által kiadott azonosító számokat, biztonsági besorolási megjelöléseket, létesítmény-hozzáférési hitelesítő adatokat, biometrikus azonosítókat, valamint a minősített rendszerekhez és biztonságos létesítményekhez való hozzáféréshez szükséges szakmai tanúsítványokat. E kategória magában foglalja az útlevél adatokat, katonai azonosító számokat, valamint mindazon egyéb hitelesítő adatokat, amelyeket a kormányzati biztonsági protokollok és besorolási ellenőrzési eljárások előírnak.

Az azonosítási és hozzáférés-szabályozási adatok magukban foglalják a komplex azonosítási hitelesítő adatokat, többtényezős azonosítási tokeneket, digitális tanúsítványokat, kriptográfiai kulcsokat, munkamenet-azonosítókat, hozzáférési naplókat és jogosultságnövelési nyilvántartásokat, amelyek elengedhetetlenek a kritikus rendszerek biztonságos hozzáférésének fenntartásához és a jogosulatlan behatolási kísérletek megakadályozásához. Minden azonosítási adat FIPS 140-2 3. szintű hitelesítésű titkosítással kerül feldolgozásra, és kormányzati biztonsági szabványoknak megfelelő hardverbiztonsági modulokban kerül tárolásra. A műszaki felderítési és telemetriai adatok magukban foglalják az internetprotokoll-címeket, eszközujjlenyomatokat, hálózati topológiai információkat, rendszerkonfigurációs paramétereket, biztonsági eseménynaplókat, fenyegetésészlelési telemetriát, sérülékenység-ellenőrzési eredményeket, csomag-rögzítési metaadatokat, valamint mindazon kapcsolódó műszaki mutatókat, amelyek elengedhetetlenek a fenyegetésvadászati műveletekhez és a biztonsági helyzet értékeléséhez.

Gyűjtési módszerek és műszaki megvalósítás

Az adatgyűjtési műveletek több műszaki és működési csatornán keresztül történnek, ideértve a biztonságos azonosítási portálokkal és minősített kommunikációs rendszerekkel történő közvetlen felhasználói interakciót, az üzembe helyezett biztonsági érzékelők, behatolás-észlelési rendszerek és fenyegetés-hírszerző platformok általi automatikus gyűjtést, a kormányzati azonosítási rendszerekkel és biztonsági besorolási adatbázisokkal történő integrációt, a partnerügynökségektől és fenyegetés-megosztó konzorciumoktól származó biztonságos adatfolyamokat, valamint a megfelelő jogi felhatalmazás alapján végzett törvényes lehallgatási és monitorozási tevékenységeket.

Minden gyűjtési tevékenység kormányzati jóváhagyású titkosítási szabványokat alkalmaz, és az alkalmazandó besorolási követelményeknek megfelelő biztonságos kommunikációs csatornákon keresztül történik. A szolgáltatás működtetéséhez és a fenyegetéskorrelációhoz szükséges metaadatokat a nemzeti biztonsági megőrzési követelményeknek és kormányzati ellenőrzési kötelezettségeknek megfelelően meghatározott ütemezés szerint őrizzük meg. Amennyiben a CypSec adatfeldolgozóként működik kormányzati szerződések vagy minősített megállapodások keretében, minden adatkategóriát és gyűjtési módszert a szerződő hatóság határoz meg, amely minden működési utasítás és feldolgozási cél tekintetében adatkezelői státuszt tart fenn.

Feldolgozási korlátozások és adatminimalizálás

A CypSec kizárólag a szerződéses jogi eszközökben és az alkalmazandó biztonsági besorolási útmutatókban meghatározott paramétereken belül dolgozza fel az adatokat. A Társaság nem folytat olyan automatizált döntéshozatali folyamatokat, amelyek joghatásokkal járnak az egyénekre nézve, kivéve, amennyiben az ilyen feldolgozás elengedhetetlen a fenyegetésészlelési műveletekhez, biztonsági besorolási ellenőrzéshez vagy egyéb, kormányzati utasítás által kifejezetten engedélyezett és megfelelő felügyeleti mechanizmusok alá tartozó tevékenységekhez. Minden feldolgozási tevékenység kifejezett elismerés mellett történik, miszerint a kiberbiztonsági műveletek valós idejű automatizált elemzést igényelhetnek a közelgő biztonsági fenyegetések észleléséhez és azokra való válaszadáshoz.

Az adatminimalizálás elveit következetesen alkalmazzuk minden feldolgozási művelet során, amelynek során az adatgyűjtés és -megőrzés a biztonsági helyzet fenntartásához, a szerződéses kötelezettségek teljesítéséhez, valamint a kritikus infrastruktúra és a nemzeti biztonsági eszközök védelméhez kapcsolódó törvényes kormányzati érdekek támogatásához szükséges információkra korlátozódik. Az egyéni jogokat fokozottabb kockázatnak kitett feldolgozási tevékenységek fokozott felügyeleti mechanizmusoknak és az alkalmazandó jogi keretrendszerekben és kormányzati utasításokban előírt további óvintézkedéseknek vetik alá.

3. Feldolgozási célok és jogalapok

Szerződéses teljesítés és szolgáltatásnyújtás

A CypSec személyes adatokat dolgoz fel, amennyiben az szükséges a kormányzati szerződések, védelmi beszerzési megállapodások és engedélyezett szolgáltatási rendezvények teljesítéséhez. Ez magában foglalja a fenyegetésészlelési és -válasz képességek biztosítását, a biztonságos azonosítási és hozzáférés-szabályozási rendszerek fenntartását, a sérülékenység-felmérési és penetrációs tesztelési szolgáltatások nyújtását, a minősített kommunikációs platformok és biztonságos együttműködési eszközök működtetését, valamint az incidensválasz koordinációs és informatikai kriminalisztikai elemzési műveletek végrehajtását. Minden szerződéses feldolgozás kizárólag a megkötött megállapodások és az alkalmazandó beszerzési szabályozások keretein belül történik.

Személyes adatokat dolgozunk fel, amennyiben az szükséges a felhasználókkal vagy az általuk képviselt szervezetekkel kötött szerződések teljesítéséhez, vagy az ilyen szerződéses kapcsolatok létrehozása előtt a felhasználó kérésére történő lépések megtételéhez. Ez magában foglalja a CypSec termékek és szolgáltatások biztosítását, működtetését, konfigurálását, karbantartását és támogatását, a felhasználói fiókok és azonosítási mechanizmusok kezelését, a szolgáltatási kérelmek és technikai támogatási megkeresések kezelését, valamint a kormányzati beszerzési keretrendszerek keretében végzett számlázási, számlakibocsátási és kapcsolódó pénzügyi tranzakciók adminisztrációját.

Jogi kötelezettség és szabályozási megfelelés

A feldolgozás akkor történik, amikor azt az alkalmazandó törvények, kormányzati szabályozások és nemzeti biztonsági irányelvek előírják. Az ilyen kötelezettségek magukban foglalják a Szövetségi Beszerzési Szabályozásnak és a Védelmi Szövetségi Beszerzési Szabályozás Kiegészítésének való megfelelést, a biztonsági besorolási útmutatók és kezelési eljárások betartását, a Nemzetközi Löfegyver-forgalmi Szabályozás és a Kiviteli Adminisztrációs Szabályozás keretében fennálló exportellenőrzési kötelezettségek teljesítését, a bíróságoktól, szabályozó hatóságoktól és felügyeleti szervektől származó törvényes folyamatokra való válaszadást, valamint a kormányzati vállalkozókra vonatkozó adó-, számviteli és társasági irányítási követelményeknek való megfelelést.

A CypSec személyes adatokat dolgoz fel, amennyiben az szükséges a Társaságot terhelő jogi kötelezettségek teljesítéséhez. Az ilyen kötelezettségek adó-, számviteli, társasági irányítási, exportellenőrzési, kiberbiztonsági, pénzügyi szabályozási, munkajogi kötelezettségekből, vagy bíróságoktól, szabályozóktól vagy felügyeleti hatóságoktól származó törvényes kérelmekre való válaszadási kötelezettségekből eredhetnek, amelyek megfelelő joghatósággal rendelkeznek a Társaság működése felett.

Törvényes biztonsági érdekek és nemzeti biztonsági követelmények

A CypSec személyes adatokat dolgoz fel, amennyiben az szükséges az egyéni adatvédelmi jogokat felülíró alapvető biztonsági érdekek védelméhez. Az ilyen érdekek magukban foglalják a kritikus infrastruktúra-rendszerek és -hálózatok biztonságának és integritásának fenntartását, a kiberfenyegetések, kémkedési tevékenységek és állami szintű támadások megelőzését, észlelését és azokra való válaszadást, fenyegetés-hírszerző elemzések és attribúciós vizsgálatok végrehajtását, a minősített információk és ellenőrzött műszaki adatok védelmét, az alapvető szolgáltatások folyamatos rendelkezésre állásának biztosítását, valamint a törvényes felhatalmazás alapján végzett bűnüldözési és ellenhírszerző tevékenységek támogatását.

A törvényes érdekek magukban foglalják az infrastruktúra, termékek és szolgáltatások biztonságának és integritásának biztosítását, a csalások, visszaélések vagy biztonsági incidensek megelőzését, kivizsgálását és azokra való válaszadást, platformok és kínálatok fejlesztését, belső elemzések és jelentések készítését, üzleti kapcsolatok fenntartását és bővítését, jogi igények érvényesítését, valamint vállalati tranzakciók – így egyesülések, felvásárlások vagy átszervezések – kezelését. Minden törvényes érdeken alapuló feldolgozás formális egyensúly-elemzés alá esik, amely mérlegeli az azonosított fenyegetések súlyosságát, a kritikus infrastruktúra-védelem potenciális hatását, a kormányzati szerződő hatóságokkal szembeni kötelezettségeket, valamint az alkalmazandó nemzeti biztonsági irányelveket.

Hozzájáruláson alapuló feldolgozás és különleges kategóriák

Személyes adatokat az alkalmazandó jogszabályok által előírt esetekben kifejezett hozzájárulás alapján dolgozunk fel, ideértve a választható biztonsági kutatási és fejlesztési kezdeményezésekben való részvételt, fejlett képzési programokba és tanúsítási tanfolyamokba való beiratkozást, fenyegetés-információmegosztó konzorciumokba és iparági együttműködési erőfeszítésekbe való bekapcsolódást, marketingcélú ajánlások vagy esettanulmányok biztosítását, valamint az alapvető biztonsági követelményeken túlmenő fokozott monitorozási vagy elemzési funkciók aktiválását. A hozzájárulás bármikor visszavonható anélkül, hogy ez érintené a visszavonás előtt végzett feldolgozás jogszerűségét.

A kiberbiztonsági műveletek szempontjából létfontosságú korlátozott körülmények között a CypSec különleges kategóriájú személyes adatokat is feldolgozhat, ideértve a többtényezős azonosításhoz szükséges biometrikus azonosítókat, biztonsági besorolási információkat és háttérellenőrzési eredményeket. Az ilyen feldolgozás kizárólag akkor történik, ha az jogi igények érvényesítéséhez, gyakorlásához vagy védelméhez szükséges, lényeges közérdekű okokból – ideértve a nemzeti biztonsági célokat – kötelező, az adatalanyok által megfelelő jogi óvintézkedések mellett kifejezetten engedélyezett, vagy az alkalmazandó kormányzati biztonsági követelmények és besorolási eljárások által előírt.

Minden feldolgozási célt formális szükségességi és arányossági értékelés alá vetünk annak biztosítása érdekében, hogy az adatgyűjtési és feldolgozási tevékenységek szigorúan a törvényes biztonsági célok eléréséhez szükséges mértékre korlátozódjanak, miközben megfelelő tiszteletet tanúsítanak az egyéni adatvédelmi érdekek iránt az alkalmazandó jogi követelmények és kormányzati utasítások keretében.

4. Adatmegőrzés, tárolási architektúra és biztonsági óvintézkedések

Megőrzési időszakok és jogi keretrendszer

A CypSec a kiberbiztonsági műveletek működési követelményei és az alkalmazandó jogi kötelezettségek, valamint a kormányzati nyilvántartási előírások közötti egyensúlyt biztosító, kifejezetten erre a célra kidolgozott megőrzési ütemtervek szerint kezeli a személyes adatokat. Minden megőrzési időtartamot formális értékelési folyamatok során határoznak meg, amelyek során mérlegelik a feldolgozott információk besorolási szintjét és érzékenységi megjelölését, a kormányzati szerződésekben és beszerzési megállapodásokban meghatározott szerződéses kötelezettségeket, a kormányzati vállalkozókra vonatkozó törvényes elévülési időszakokat, a nemzeti biztonsági megőrzési követelményeket és hírszerző felügyeleti előírásokat, valamint a fenyegetéskorrelációs és informatikai kriminalisztikai elemzési képességek működési szükségességét.

A fiók- és azonosítási adatokat az aktív szolgáltatás időtartama plusz hét évig őrizzük meg az ellenőrzési követelmények, biztonsági vizsgálatok és kormányzati felügyeleti tevékenységek támogatása érdekében. A biztonsági naplók és eseményadatok minimum huszonnégy hónapig kerülnek megőrzésre a fenyegetésvadászati műveletek, incidenskorreláció és informatikai kriminalisztikai elemzési tevékenységek lehetővé tétele céljából. A pénzügyi és szerződésnyilvántartásokat a kormányzati beszerzési szabályozásoknak, adókötelezettségeknek és ellenőrzési nyomkövetési követelményeknek megfelelően tíz évig őrizzük meg. A biztonsági mentési és katasztrófa-helyreállítási rendszereket kilencven napig megőrizzük, kivéve, ha specifikus szerződéses kötelezettségek vagy besorolási követelmények hosszabb megőrzést írnak elő.

Tárolási architektúra és műszaki ellenőrzések

Minden személyes adat több független biztonsági réteggel rendelkező, védelem-mélység architektúrát alkalmazó biztonságos környezetben kerül tárolásra. A tárolási rendszerek FIPS 140-2 3. szintű hitelesítésű titkosítást alkalmaznak minden nyugalmi helyzetű adat esetében AES-256 vagy erősebb algoritmusok használatával, hardverbiztonsági modulokat a kriptográfiai kulcskezeléshez és hozzáférés-szabályozási műveletekhez, hálózati szegmentációt és mikroszegmentációt az érzékeny adattárolási rendszerek elkülönítésére, folyamatos monitorozási rendszereket valós idejű fenyegetésészlelési képességekkel, valamint megváltoztathatatlan ellenőrzési naplózást a megőrzési nyilvántartások jogosulatlan módosításának megakadályozása érdekében.

Az adattárolási műveletek kormányzati jóváhagyású felhőinfrastruktúrát is igénybe vehetnek, amelyek megfelelnek a FedRAMP High vagy azzal egyenértékű biztonsági alapvonalaknak, helyszíni rendszereket biztonságos létesítményeken belül a megfelelő besorolási szintekre kiértékelve, hibrid architektúrákat specifikus kormányzati szerződésekre jóváhagyva, valamint biztonsági mentési rendszereket földrajzilag elkülönített helyszíneken katasztrófa-helyreállítási célokból. Minden harmadik féltől származó tárolási szolgáltatónak megfelelő biztonsági besorolásokkal kell rendelkeznie, és létesítmény-besorolásokat kell fenntartania, amelyek összhangban vannak a tárolt adatok besorolási szintjével.

Incidensválasz és adatvédelmi incidens-értesítési eljárások

A CypSec átfogó incidensválasz eljárásokat tart fenn a személyes adatokat érintő biztonsági események kezelésére. Minden gyanított vagy megerősített biztonsági incidens észlelését követően a Társaság azonnal aktiválja a konténmentelési eljárásokat a további jogosulatlan hozzáférés megakadályozása érdekében, átfogó hatásvizsgálatot végez az érintett személyes adatok terjedelmének és természetének meghatározása céljából, végrehajtja a megszüntetési intézkedéseket a sérülékenységek kezelésére és a megismétlődés megakadályozására, koordinál a megfelelő kormányzati hatóságokkal és szerződéses tisztviselőkkel, amennyiben minősített információk érintettek, valamint részletes dokumentációt tart fenn ellenőrzési és felügyeleti célokból.

Az értesítési kötelezettségeket az alkalmazandó jogi követelményeknek és kormányzati szerződéses rendelkezéseknek megfelelően teljesítjük. Amennyiben a törvény előírja, a CypSec az incidens megerősítésétől számított hetvenkét órán belül értesítést nyújt be a felügyeleti hatóságokhoz. Az érintett egyének értesítése késedelem nélkül megtörténik, amennyiben az incidens magas kockázatot jelent az egyéni jogokra és szabadságokra. Minden értesítés magában foglalja az incidens természetének és terjedelmének leírását, az érintett személyes adatkategóriák azonosítását, a potenciális következmények értékelését, a konténmentelési és megszüntetési intézkedések leírását, valamint a további megkeresésekhez szükséges kapcsolattartási információkat.

Biztonságos megsemmisítés és adatmegsemmisítési protokollok

Az alkalmazandó megőrzési időszakok lejártát követően a személyes adatokat az információk besorolási szintjének és érzékenységének megfelelő módszerekkel semmisítjük meg. A megsemmisítési eljárások magukban foglalják a NIST által jóváhagyott módszerekkel történő kriptográfiai törlést a titkosított adatok esetében, a DoD 5220.22-M szabványnak megfelelő többszörös átíró felülírást a mágneses adathordozók esetében, a fizikai megsemmisítést aprításon vagy mágneses kioltáson keresztül a minősített információkat tartalmazó tárolóeszközök esetében, valamint tanúsított megsemmisítést láncbirtoklási dokumentációval minden kormányzati szerződésre vonatkozó adat esetében.

Amennyiben műszaki korlátozások akadályozzák az azonnali törlést, a személyes adatokhoz való hozzáférést szigorúan korlátozzuk minden felhasználói hozzáférési jogosultság és azonosítási hitelesítő adatok eltávolításán keresztül, megvalósítjuk a hozzáférést megakadályozó műszaki ellenőrzéseket, korlátozott adminisztratív hozzáféréssel biztonságos offline tárolásban tartjuk, valamint a műszaki korlátozások megoldását követően végleges megsemmisítést hajtunk végre. Minden megsemmisítési tevékenységet formális megsemmisítési tanúsítványokon keresztül dokumentálunk, amelyeket az alkalmazandó kormányzati nyilvántartási követelményeknek és felügyeleti előírásoknak megfelelően tartunk nyilván.

5. Adatközlés és nemzetközi átviteli protokollok

Engedélyezett közlési kategóriák és címzettek

A CypSec semmilyen körülmények között nem folytat személyes adatok értékesítését, bérbeadását vagy kereskedelmi kihasználását. Minden közlés kizárólag akkor történik, ha azt működési követelmények, szerződéses kötelezettségek vagy törvényes eljárás szükségessé teszi, és a törvényes kiberbiztonsági műveletekhez és kormányzati szolgáltatásnyújtáshoz szükséges legkisebb mértékre korlátozódik. Személyes adatokat átvilágított szervezeteknek lehet közzétenni, amelyek kötelező titoktartási és biztonsági kötelezettségek alatt működnek, ideértve a megfelelő létesítmény- és személybiztonsági besorolásokkal rendelkező átvilágított vállalkozókat és stratégiai partnereket, a FedRAMP High vagy azzal egyenértékű biztonsági alapvonalaknak megfelelő kormányzati jóváhagyású infrastruktúraszolgáltatókat, a kormányzati beszerzési szabályozások keretében engedélyezett tranzakciókat feldolgozó pénzügyi intézményeket, a megfelelő biztonsági besorolásokkal és szükségességi engedélyezésekkel rendelkező jogi tanácsadókat és megfelelőségi tanácsadókat, valamint a törvényes joghatósággal és megfelelő besorolási szinttel rendelkező könyvvizsgáló cégeket és felügyeleti szerveket.

A CypSec vállalati struktúrán belüli közlés azon entitásokra korlátozódik, amelyek egyenértékű biztonsági szabványokat és megfelelő létesítmény-besorolásokat tartanak fenn. Minden csoporton belüli átvétel biztonságos kommunikációs csatornákon keresztül történik megfelelő besorolási megjelölésekkel, és alá van vetve a címzett entitás biztonsági besorolási státuszának ellenőrzésének, a szükségességi hozzáférés-szabályozások végrehajtásának, minden adatmozgás ellenőrzési nyomkövetésének, valamint az alkalmazandó kormányzati felügyeleti követelmények és ahol megfelelő, a kongresszusi értesítési előírásoknak való megfelelésnek.

Kormányzati és bűnüldözési közlési követelmények

Személyes adatokat kormányzati ügynökségeknek, szabályozó hatóságoknak és bűnüldözési szerveknek adunk át, amennyiben azt törvényes eljárás írja elő, ideértve a bírósági végzéseket, idézéseket és körözéseket, a nemzeti biztonsági irányelveket és minősített kormányzati követelményeket, a Szövetségi Beszerzési Szabályozás és az ügynökség-specifikus beszerzési szabályok alatti felügyeleti kötelezettségeket, a kritikus infrastruktúrát érintő közvetlen károk megakadályozására szolgáló vészhelyzeti közlési eljárásokat, valamint a nemzetközi együttműködési megállapodásokat és kölcsönös jogsegélynyújtási egyezményeket. Minden kormányzati közlés megfelelő biztonsági csatornákon keresztül történik megfelelő besorolási kezeléssel és felügyeleti koordinációval.

A CypSec szigorú alvállalkozói átvilágítási és felügyeleti eljárásokat tart fenn. Minden alvállalkozó átfogó biztonsági értékelés alá esik, amely során ellenőrzik a kormányzati biztonsági követelményeknek való megfelelést, az egyenértékű műszaki és szervezeti intézkedések végrehajtására vonatkozó szerződéses kötelezettségeket, a kifejezett engedély nélküli továbbközlés tilalmát, a biztonsági kötelezettségek való megfelelés ellenőrzésére szolgáló auditjogosultságokat, valamint a biztonsági szabálysértések vagy titoktartási kötelezettségek megszegése esetére szolgáló azonnali megszüntetési rendelkezéseket. Az engedélyezett alvállalkozók aktuális nyilvántartását fenntartjuk, és kormányzati szerződéstisztségviselők kérésére rendelkezésre bocsátjuk.

Nemzetközi átviteli mechanizmusok és óvintézkedések

A határokon átnyúló adatmozgások kizárólag a kormányzati és védelmi alkalmazásokra jóváhagyott biztonságos csatornákon keresztül történnek, megvalósítva a nyugalmi helyzetű és tranzitben lévő adatok FIPS 140-2 3. szintű hitelesítésű kriptográfiai modulokkal történő titkosítását, a kulcskezelés-szabályozásokat, amelyek biztosítják, hogy a kulcsok megfelelő kormányzati joghatóság alatt maradjanak, a hálózati útválasztási korlátozásokat, amelyek megakadályozzák a jogosulatlan joghatóságokon keresztül történő tranzitot, a kormányzati szerződések által előírt adatlokalizációs követelményeket, valamint minden határokon átnyúló mozgás átfogó auditnaplózását a felügyelet és a megfelelőség ellenőrzése céljából.

Megfelelőségi döntéssel nem rendelkező joghatóságokba történő átvételek esetén a CypSec formális átviteli hatásvizsgálatokat végez, amelyek során értékelik a célország megfigyelési és adathozzáférési törvényeinek jogi keretrendszer-elemzését, a potenciális kormányzati hozzáférést az átadott adatokhoz, az adatalanyok számára rendelkezésre álló jogorvoslati lehetőségek értékelését, a kiegészítő műszaki és szerződéses intézkedések azonosítását, valamint az arányossági elemzés dokumentációját, amely mérlegeli a biztonsági előnyöket az adatvédelmi kockázatokkal szemben. Minden értékelést képzett jogi tanácsadó felülvizsgál, és a vezetőség hagy jóvá az átvitel engedélyezése előtt.

Kormányok közötti átviteli protokollok

A formális kormányzati megállapodások keretében végzett nemzetközi átvételek jóváhagyott biztonságos kommunikációs csatornákat használnak, és alá vannak vetve a két- vagy többoldalú megállapodásoknak, amelyek megfelelő óvintézkedéseket határoznak meg, a NATO biztonsági protokolloknak és minősített információkezelési eljárásoknak, a hírszerző felügyeleti követelményeknek és kongresszusi tájékoztatási kötelezettségeknek, az átviteli megállapodások által előírt specifikus műszaki ellenőrzéseknek, valamint a nemzeti biztonsági követelményekkel való megfelelés biztosítása céljából végzett folyamatos felügyeletnek a megfelelő kormányzati hatóságok által.

Minden nemzetközi átvitel a törvényes kiberbiztonsági műveletek szempontjából szükséges legkisebb mértékre korlátozódik, és kifejezett elismerés mellett történik, miszerint a nemzeti biztonsági érdekek és a kritikus infrastruktúra védelme a korlátlan adatmozgással szemben a kollektív biztonsági célok prioritását igényelheti. A feldolgozási tevékenységek úgy vannak kialakítva, hogy a legmagasabb rendelkezésre álló védelmi szintet fenntartsák, miközben biztosítják a működőképességet a fenyegetésészlelési és -válasz műveletekhez engedélyezett joghatóságokon és szövetséges nemzeteken át.

6. Egyéni jogok és gyakorlási mechanizmusok

Jogi keretrendszer és jogi korlátozások

Az alkalmazandó jogi keretrendszerek és felülíró nemzeti biztonsági követelmények függvényében az egyének konkrét jogokkal rendelkeznek a CypSec által feldolgozott személyes adatokkal kapcsolatban. Ezen jogok hatóköre és gyakorlása módosítható, amennyiben azt besorolási követelmények és biztonsági besorolási kötelezettségek, kormányzati szerződéses rendelkezések és beszerzési szabályozások, nemzeti biztonsági irányelvek és hírszerző felügyeleti követelmények, folyamatban lévő fenyegetésvizsgálatok és ellenhírszerző műveletek, valamint a kritikus infrastruktúra és minősített rendszerek védelmi intézkedései szükségessé teszik.

Az egyének jogosultak hozzáférést kérni a feldolgozás alatt álló személyes adatokhoz, feltéve, hogy rendelkeznek megfelelő biztonsági besorolással és szükségességi engedéllyel. A hozzáférési kérelmeknek meg kell határozniuk a kért konkrét adatkategóriákat, a hozzáférési kérelem törvényes alapját, a személyazonosság kormányzati jóváhagyású azonosítási mechanizmusokon keresztül történő igazolását, valamint az alkalmazandó titoktartási és biztonsági kezelési követelmények elfogadását. A hozzáférés megtagadásra vagy korlátozásra kerülhet, amennyiben a közzététel veszélyeztetné a minősített információkat vagy a nemzeti biztonsági érdekeket, beavatkozna a folyamatban lévő fenyegetésvizsgálatokba, feltárná a tulajdonosi fenyegetés-hírszerző forrásokat vagy módszereket, vagy megsértené a biztonsági besorolási kötelezettségeket vagy rekeszesítési követelményeket.

Helyesbítési és adatminőségi jogok

A pontatlan személyes adatok kijavítására irányuló kérelmeket akkor dolgozzuk fel, ha a pontatlanság megfelelő dokumentáció útján igazolásra kerül, a javítás nem veszélyezteti a biztonsági műveleteket vagy az ellenőrzési nyomkövetési integritást, a kérelmező rendelkezik a módosítás kérelmezésére vonatkozó megfelelő engedéllyel, és a javítás összhangban van az alkalmazandó kormányzati nyilvántartási követelményekkel. A biztonsági besorolási információkat, háttérellenőrzési eredményeket vagy fenyegetés-hírszerző adatokat érintő kérelmek további ellenőrzési eljárások alá esnek, és koordinációt igényelhetnek a megfelelő kormányzati hatóságokkal.

A törléshez való jog felülíró nemzeti biztonsági megőrzési követelmények, kormányzati szerződéses rendelkezések és hírszerző felügyeleti parancsok alá esik. A törlés nem kerül végrehajtásra, amennyiben a személyes adatokra folyamatban lévő fenyegetésészlelési vagy incidensválasz tevékenységekhez van szükség, kormányzati ellenőrzési vagy felügyeleti követelmények szerint meg kell azokat őrizni, azok tényleges vagy potenciál jogi eljárásokban bizonyítékként szolgálnak, szükségesek biztonsági besorolási ellenőrzéshez vagy háttérellenőrzési célokhoz, vagy az alkalmazandó törvények vagy kormányzati irányelvek által meghatározott kötelező megőrzési időszakok alá esnek.

Feldolgozási korlátozások és kifogásolási jogok

Az egyének kérhetik a feldolgozási tevékenységek korlátozását abban az esetben, ha a pontosságot jogosan vitatják és a hitelesítés folyamatban van, a feldolgozás jogellenes, de a törlést nemzeti biztonsági követelmények tiltják, az adatokra már nincs szükség működési célokra, de jogi eljárások céljából meg kell azokat őrizni, vagy a feldolgozással szembeni kifogásolás folyamatban van a felülíró törvényes alapok hitelesítése. A korlátozott adatok továbbra is megfelelő biztonsági ellenőrzések alá esnek, és továbbra is feldolgozhatók kormányzati irányelvek által engedélyezett nemzeti biztonsági célokból, a kritikus infrastruktúra-rendszerek védelme, az alkalmazandó jogi kötelezettségeknek való megfelelés, vagy jogi igények érvényesítése, gyakorlása vagy védelme céljából.

Az egyének jogosultak kifogásolni a törvényes érdekeken alapuló feldolgozást abban az esetben, ha az ilyen érdekeket nem írják felül a nemzeti biztonsági követelmények, kormányzati szerződéses kötelezettségek vagy kritikus infrastruktúra-védelmi szükségletek. A közvetlen marketingcélú feldolgozással szembeni kifogásokat azonnal teljesítjük. A biztonsággal kapcsolatos feldolgozás kifogásolása formális egyensúly-elemzések alá esik, amelyek során mérlegelik az azonosított fenyegetések súlyosságát és azonnalmasságát, a kritikus infrastruktúra-védelem potenciális hatását, a kormányzati szerződő hatóságokkal szembeni kötelezettségeket, valamint az alkalmazandó nemzeti biztonsági irányelveket.

Gyakorlási eljárások és hitelesítési követelmények

Minden jogosultsági kérelmet biztonságos csatornákon keresztül kell benyújtani megfelelő személyazonosság-ellenőrzéssel és biztonsági besorolási megerősítéssel. A kérelmeket kizárólag akkor dolgozzuk fel, ha a kérelmező személyazonossága kormányzati jóváhagyású azonosítási mechanizmusokon keresztül igazolásra kerül, a kérelmező rendelkezik a kért információkhoz való hozzáféréshez szükséges megfelelő biztonsági besorolással, a közzététel nem veszélyeztetné a minősített információkat vagy a nemzeti biztonsági érdekeket, és a feldolgozás műszakilag megvalósítható az alkalmazandó biztonsági korlátozásokon belül. A nem hitelesíthető kérelmek feldolgozásra nem kerülnek.

A hitelesített kérelmeket az alkalmazandó jogszabályok által előírt időkereteken belül, tipikusan harminc napon belül dolgozzuk fel, kivéve, ha azt minősített információkat érintő kérelmek összetettsége, kormányzati hatóságokkal való koordinációs követelmények, biztonságos rendszerekből történő adatlekérdezést érintő műszaki korlátozások, vagy az egyéni adatvédelmi jogokat felülíró nemzeti biztonsági érdekek hosszabb feldolgozási időszakokat igénylő meghosszabbítását teszik szükségessé. A kérelmezőket minden meghosszabbításról értesítjük, és állapotfrissítéseket biztosítunk számukra a feldolgozási időszak teljes időtartama alatt.

Minden joggyakorlási tevékenységet kifejezett elismerés mellett hajtanak végre, miszerint a nemzeti biztonsági érdekek támogatását szolgáló kiberbiztonsági műveletek a kollektív biztonsági célok egyéni adatalany jogokkal szembeni prioritását igényelhetik, amennyiben az ilyen prioritást az alkalmazandó jogi keretrendszerek és kormányzati irányelvek engedélyezik. Az egyének megőrzik a jogot, hogy panaszt nyújtsanak be illetékes felügyeleti hatóságokhoz a feldolgozási tevékenységekkel kapcsolatban, további jogorvoslattal a megfelelő szerződéses tisztviselők, ügynökségi általános főfelügyelők és ahol alkalmazandó, a kongresszusi felügyeleti bizottságok felé a kormányzati szerződések tekintetében.

7. Irányítási szabályzat és adminisztratív keretrendszer

Adminisztratív hatóság és joghatósági keretrendszer

Jelen Adatvédelmi nyilatkozatot a CypSec Group kezeli, mint a kiberbiztonsági műveletek támogatása érdekében végzett valamennyi személyes adatfeldolgozási tevékenységre kiterjedő irányadó keretrendszert. A nyilatkozat egységes védelmi szabványokat határoz meg minden művelet során, ugyanakkor eliszi, hogy specifikus kormányzati szerződések, minősített megállapodások és nemzeti biztonsági irányelvek további követelményeket írhatnak elő, amelyek az alkalmazandó jogszabályok vagy felülíró biztonsági érdekek által előírt esetekben felülírják az általános rendelkezéseket.

Abban az esetben, ha jelen nyilatkozat és a kormányzati szerződéses rendelkezések vagy beszerzési szabályozások, nemzeti biztonsági irányelvek és minősített kezelési eljárások, nemzetközi szerződések vagy kétoldalú megállapodások, hírszerző felügyeleti parancsok, vagy a kritikus infrastruktúra védelmére vonatkozó vészhelyzeti irányelvek között ellentmondásos követelmények merülnek fel, a kormányzati biztonsági követelményeket kielégítő legvédőbb alkalmazandó szabvány érvényesül. Minden ellentmondást formális jogi felülvizsgálat útján oldanak fel, minősített információk érintettsége esetén megfelelő kormányzati koordinációval.

Műszaki megvalósítás és nyomkövetési technológiák

A CypSec sütiket és összehasonlítható nyomkövetési technológiákat kizárólag biztonságos azonosítási munkamenetek fenntartása és jogosulatlan hozzáférés megakadályozása, ügyfélkörnyezeteken belüli fenyegetésészlelés és anomália-azonosítás, biztonsági infrastruktúra és válaszrendszerek teljesítménymonitorozása, valamint a kormányzati biztonsági követelményekkel való megfelelőség ellenőrzése céljából használ fel. A biztonságos platformműködéshez szükséges alapvető sütik egyéni hozzájárulás nélkül kerülnek telepítésre. A nem alapvető nyomkövetési technológiák kizárólag akkor kerülnek megvalósításra, ha azt az alkalmazandó jogszabályok kifejezetten engedélyezik, és megfelelő biztonsági felügyeleti mechanizmusok alá vannak vetve.

Minden műszaki megvalósítás kormányzati jóváhagyású titkosítási szabványokat használ, és az alkalmazandó besorolási követelményeknek megfelelő biztonságos kommunikációs csatornákon keresztül történik. A nyomkövetési adatokat a nemzeti biztonsági megőrzési követelményeknek és kormányzati ellenőrzési kötelezettségeknek megfelelően meghatározott ütemtervek szerint őrizzük meg, a hozzáférés szigorúan a megfelelő biztonsági besorolásokkal és szükségességi engedéllyel rendelkező személyzetre korlátozódik.

Korlátozási korlátozások és kiskorúvédelmi protokollok

A CypSec szolgáltatásokat engedélyezett kormányzati személyzet, átvilágított vállalkozók, jóváhagyott biztonsági keretrendszeren belül működő hitelesített kereskedelmi szervezetek és az adatvédelmet elősegítő technológiák iránt érdeklődő egyének számára tervezték és korlátozzák. A Társaság tudatosan nem gyűjt személyes adatokat tizenhat éven aluli egyénektől. Amennyiben a véletlen gyűjtés észlelésre kerül, az ilyen adatok azonnali törlésre kerülnek, kivéve, ha a megőrzést folyamatban lévő fenyegetésvizsgálatok, biztonsági incidensválasz követelmények, kormányzati ellenőrzési vagy felügyeleti kötelezettségek, alkalmazandó jogi megőrzési parancsok, vagy a folyamatban lévő feldolgozást igénylő nemzeti biztonsági érdekek előírják azt.

Minden korhitelesítési eljárás biztonságos azonosítási mechanizmusokon keresztül kerül megvalósításra, amelyek hitelesítik a minősített rendszerekhez és érzékeny információkhoz való hozzáférési engedélyt. A kiskorúkat érintő feldolgozási tevékenységek fokozott felügyelet alá esnek, és azonnali felülvizsgálatra kerülnek a megfelelő kormányzati hatóságok és szerződéses tisztviselők által.

Irányzatmódosítás és frissítési eljárások

Jelen nyilatkozat frissítésre kerülhet az alkalmazandó adatvédelmi jogszabályok vagy kormányzati beszerzési szabályozások módosításainak, a biztonsági technológiák és fenyegetésészlelési képességek fejlesztéseinek, szerződéses követelmények vagy besorolási iránymutatások változásainak, nemzetközi adatátviteli mechanizmusok fejlesztéseinek, vagy a fokozott kiberbiztonsági képességek működési követelményeinek tükrözése céljából. A frissített verziókat biztonságos értesítési csatornákon keresztül terjesztjük.

A nemzetközi adatátviteli mechanizmusokat, kormányzati felügyeleti vagy ellenőrzési eljárásokat, biztonsági besorolási kezelési követelményeket, felelősségkorlátozási vagy garanciarendelkezéseket, vagy kormányzati szerződések vitarendezési eljárásait érintő jelentős módosításokat formális szerződésmódosítási folyamatokon keresztül kommunikáljuk, az alkalmazandó beszerzési szabályozások által előírt megfelelő előzetes értesítéssel. Minden lényeges változás megvalósítása előtt engedélyezett kormányzati képviselők elismerését igényli.

Irányítási struktúra és szabályozási megfelelés

A CypSec átfogó irányítási mechanizmusokat tart fenn, ideértve a minősített információk kezelésére alkalmas biztonsági besorolásokkal rendelkező képzett adatvédelmi tisztségviselők kinevezését, kormányzati kapcsolattartó irodák létrehozását a szerződő hatóságokkal való koordináció céljából, formális felülvizsgálati eljárások végrehajtását minden kormányzati szerződéseket érintő irányzatmódosítás tekintetében, jogi, biztonsági és kormányzati kapcsolatok funkciókból álló felügyeleti bizottságok fenntartását, valamint az alkalmazandó jogszabályok által előírt megfelelő felügyeleti hatóságokkal és hírszerző felügyeleti szervekkel való koordinációt.

Amennyiben az alkalmazandó jogszabályok előírják, a CypSec képviselőket jelöl ki a vonatkozó joghatóságokban az Általános Adatvédelmi Rendelet 27. és 37. cikkei szerint. Minden képviselő megfelelő biztonsági besorolásokkal rendelkezik, és fel van hatalmazva arra, hogy minősített információkat érintő ügyekben koordináljon a felügyeleti hatóságokkal, elősegítse a jogok gyakorlási eljárásait a nemzeti biztonsági korlátozások figyelembevételével, kezelje az adatvédelmi incidens-értesítési folyamatokat megfelelő kormányzati koordinációval, valamint szolgáljon kapcsolattartási pontként a biztonsági besorolási hitelesítést igénylő szabályozási megkeresések tekintetében.

Jelen nyilatkozat minden személyes adatfeldolgozási tevékenység tekintetében végleges irányítási keretrendszert működtet, felülírva minden korábbi irányzékot, eljárást és informális gyakorlatot. Minden feldolgozási tevékenységet kifejezett elismerés mellett hajtanak végre, miszerint a nemzeti biztonsági érdekek és a kritikus infrastruktúra védelme a kollektív biztonsági célok egyéni preferenciákkal szembeni prioritását igényelheti, amennyiben az ilyen prioritást az alkalmazandó jogi keretrendszerek és kormányzati irányelvek engedélyezik.