Politika pro dodavatele
Politika pro dodavatele
Společnost TREXIMA, spol. s r.o. je česká poradenská společnost, která se už od roku 1991 zaměřuje na zpracování mzdových statistik, odborné poradenství a vývoj moderního softwaru pro personalisty, a to především v České republice.
1. HODNOTY A ZÁSADY SPOLEČNOSTI
V zájmu rozvoje vzájemné spolupráce je nutné podporovat společné hodnoty a zásady, a proto se kromě společnosti TREXIMA a jejích zaměstnanců zavazují i dodavatelé dodržovat zásady a hodnoty společnosti, které jsou uvedeny v Politice společnosti.
2. PRAVIDLA MANAGEMENTU BEZPEČNOSTI INFORMACÍ PRO DODAVATELE
Naše společnost má zavedený systém managementu bezpečnosti informací dle normy ISO 27001. Součástí systému je i popis řízení bezpečnosti informací určený dodavatelům společnosti pracujícím s informačními aktivy společnosti a dodavatelům IT služeb a dat, infrastruktury, hardware a software.
Dodavatelé společnosti musí respektovat platná pravidla stanovená společností dle této normy. Smlouva, příp. dodatek ke smlouvě u stávajících klíčových dodavatelů, obsahuje požadavky na bezpečnost informací.
Základní pravidla pro dodavatele:
- Dodavatel musí mít vytvořenou a schválenou bezpečnostní politiku, která bude pokrývat zabezpečení dat a informací, jež mohou být vytvářeny a zpracovávány na straně dodavatele při poskytování předmětu plnění.
- Dodavatel řídí vlastní rizika, která mohou ovlivnit poskytování předmětu plnění.
- Dodavatel zavádí příslušná bezpečnostní opatření v rozsahu poskytovaného předmětu plnění, a to v případě zjištění bezpečnostních rizik či identifikace bezpečnostních potřeb. Bezpečnostní opatření monitoruje a vyhodnocuje jejich účinnost.
- Dodavatel stanovuje a udržuje aktuální bezpečnostní opatření ve formě procesů a technologií, které zajišťují naplnění bezpečnostní politiky.
- Pokud dodavatel využívá při poskytování předmětu plnění subdodavatele, musí zajistit adekvátní dodržování těchto bezpečnostních požadavků rovněž ve smluvních vztazích se svými subdodavateli.
- Dodavatel zajišťuje neustálé vzdělávání svých zaměstnanců s cílem poskytovat předmět plnění dle aktuální legislativy, požadavků a nejnovějších technologií či trendů.
- Dodavatel má zpracovanou politiku řešení incidentů a nenadálých událostí.
- Dodavatel poskytuje součinnost při pravidelném monitoringu, který je u něj prováděn.
- Dodavatel jako zaměstnavatel při provádění prací při plnění předmětu plnění odpovídá za dodržování předpisů BOZP a PO svými zaměstnanci.
V případě, že součástí IT služby je i dodání dat:
- jsou pro předávání dat použity výhradně šifrované komunikační kanály. V případě zaslání šifrované přílohy e-mailem je nutné předat heslo jiným komunikačním kanálem, např. SMS. Přenosná média, které mohou být použita pro předání důvěrných informací musí být šifrována nástrojem BitLocker.
- Seznámení dodavatele se způsobem předávání dat proběhne při podpisu smlouvy o dodání dat/smlouvy o spolupráci.
Doplňující pravidla pro dodavatele pracující s informačními aktivy:
- Přístup dodavatelů do aplikačních aktiv odpovídá druhu dodavatele.
- Dodavatel vede záznamy o vytváření a zpracování dat a informací v rozsahu poskytovaného předmětu plnění, zaznamenává veškeré podstatné okolnosti související se zajištěním bezpečnosti těchto dat a informací a na vyžádání tyto záznamy zpřístupňuje.
- Dodavatel, či jeho zaměstnanec podílející se na plnění smlouvy výpočetními prostředky dodavatele, musí mít v rámci své IT infrastruktury evidován a veden svůj vlastní jedinečný uživatelský účet, kterému jsou v jednotlivých určených systémech, modulech nebo aplikacích přiřazeny specifické role. Každý zaměstnanec dodavatele musí být veden s platnými identifikačními a aktuálními kontaktními údaji.
- Dodavatel, či jeho zaměstnanec, pokud přistupuje k interním systémům, má veden a evidován jedinečný uživatelský účet, kterému jsou v jednotlivých systémech, modulech nebo aplikacích přiřazeny specifické role související výhradně s plněním předmětu smlouvy.
- Pokud dodavatel požaduje přístup ke konkrétním informačním aktivům pro výkon činnosti vedoucí k plnění smlouvy, musí písemně zaslat požadavek Správci sítě, který tento požadavek prověří a přidělí přístup, pokud je na něj nárok.
- Společnost eviduje všechny přístupy k informačním aktivům, které byly dodavatelům, či jejich zaměstnancům, přiděleny.
- Všichni dodavatelé, pokud mají přístup k informačním aktivům, jsou seznámeni s pravidly bezpečnosti informací, a musí se jimi řídit.
- Dodavatel odpovídá za činnosti svých zaměstnanců, popřípadě dalších fyzických osob, které vykonávají práci v jeho prospěch, a zajišťuje, že jejich činnosti je v souladu s bezpečnostními pravidly a dalšími bezpečnostními informacemi předanými ze strany společnosti na základě vyžádání ze strany dodavatele. Veškeré škody, které vzniknou porušením těchto a dalších upřesňujících bezpečnostních informací zaměstnanci dodavatele, či jinými osobami vykonávajícími práci v jeho prospěch, jdou na vrub dodavatele, který je povinen tyto škody v plném rozsahu společnosti nahradit.
- Dodavatelé, či jeho zaměstnanci, mohou využívat svá přidělená oprávnění jen v přiměřené míře a jen po dobu nezbytně nutnou pro vykonání činnosti v souladu s plněním předmětu smlouvy.
- Dodavatelé jsou informováni, ke kterým chráněným informacím mají přístup a jak s nimi mohou nakládat. Jiné manipulace nemá dodavatel povoleny.
3. SOUPIS PRAVIDEL PRO VÝBĚR DODAVATELE
| Skupina dodavatelů | Kód dodavatele |
| Práce s informačními aktivy společnosti | A |
| IT služby a infrastruktura | S |
| Hardware a software | HS |
| 3.1 Soupis pravidel pro výběr dodavatele: práce s informačními aktivy společnosti |
| odborné znalosti a dovednosti dle aktuálního požadavku |
| anglický jazyk na pokročilé úrovni |
| hodinová sazba |
| spolehlivost v jednání a dobrá komunikace |
| sebevzdělávání |
| důvěryhodnost |
| předchozí zkušenosti |
| termín zahájení spolupráce |
| 3.2 Soupis pravidel pro výběr dodavatele: IT služby, data a infrastruktura |
| odbornost poskytovaných služeb |
| cena nabízených služeb |
| kvalita nabízených služeb |
| úroveň komunikace |
| spolehlivost v jednání |
| pověst firmy a reference |
| 3.3 Soupis pravidel pro výběr dodavatele: hardware a software |
| cena |
| termín a rychlost dodání |
| cena za dopravu |
| kvalita nabízených služeb, produktů |
| možnost vrácení zboží, reklamace služeb |
| pozitivní externí hodnocení společnosti |
4. POPIS POSTUPU PŘI VÝBĚRU DODAVATELE
| Popis postupu při výběru dodavatele | Zainteresovaná osoba |
| Přípravná fáze: definice toho, co bude společnost nakupovat, za jakým účelem, v jakém termínu. | Poptávající manažer, Správce sítě |
| Identifikace potenciálních dodavatelů: stanovení kritérií výběru a předvýběr potenciálních dodavatelů (min. 2 při částce od 20 000 Kč do 100 000 Kč; min. 3 při částce nad 100 000 Kč) | Správce sítě |
| Prozkoumání vybraných dodavatelů: sepsání poptávky a kontaktování potenciálních dodavatelů, lhůta 14 dnů pro zaslání nabídky. | Správce sítě |
| Vyhodnocení nabídek: Porovnání a vyhodnocení sesbíraných nabídek od potenciálních dodavatelů. Dle stanovených kritérií se ohodnotí jednotlivé nabídky a sestaví se žebříček. | Správce sítě, poptávající manažer |
| Výběr dodavatele: Volba konečného dodavatele na základě vyhodnocení nabídek. | Jednatel společnosti |
| Uzavření kontraktu: Uzavření smlouvy s dodavatelem včetně nastavení podmínek spolupráce. | Správce sítě, Jednatel společnosti |
5. POPIS ŘÍZENÍ ZMĚN VE VZTAHU SPOLEČNOSTI A DODAVATELE
5.1 Změny ze strany společnosti
Pokud společnost rozhodne o změně spolupráce s dodavatelem, Správce sítě informuje písemně kontaktní osobu dodavatele (e-mailem).
Součástí písemné komunikace je předmět a termín změny, a případně další úpravy podmínek spolupráce.
V případě změny osoby Správce sítě je dodavatel informován min. 14 dní předem.
5.2 Změny ze strany dodavatele
Pokud dodavatel chce změnit podmínky dodávek služeb, cenu, či jiné podmínky spolupráce, musí kontaktovat Správce sítě, a navrhované změny podat písemně.
V písemné komunikaci dodavatel uvede, jaké změny navrhuje a jaké důvody jej k tomu vedou.
Správce sítě předá požadavek dodavatele Jednateli společnosti, který rozhodne, zda navrhované změny akceptuje.
Zásadní změny, jako předmět dodávaných služeb, cena či lhůty pro dodání, musí být řešeny písemným dodatkem.
V případě změny kontaktní osoby na straně dodavatele, musí být v dostatečném předstihu (min. 14 dnů) informován Správce sítě
5.3 Ostatní:
Ukončení smluvního vztahu mezi společností a dodavatelem určuje smlouva, včetně délky výpovědní lhůtu.
V případě náhlých událostí na straně dodavatele, musí být Správce sítě neprodleně informován, obzvláště pokud by mohlo dojít k narušení dodávky služeb.
6. NENADÁLÉ UDÁLOSTI A INCIDENTY
Dodavatel musí hlásit veškerá podezření na kybernetické bezpečnostní události / incidenty:
- bezprostředně po zjištění kybernetické bezpečnostní události / incidentu
- e-mailem, telefonicky nebo osobně Správci sítě, který bezpečnostní událost/incident bezprostředně zaeviduje do Evidence incidentů
- popisem celé události, včetně důkazů a identifikace příčiny
- data a času zjištění, včetně informace o tom, kdo událost zjistil
- uskutečněná okamžitá opatření (pokud byla provedena)
- popis potencionálního dopadu
- návrh opatření na odstranění a vypořádání se s incidentem
7. HODNOCENÍ DODAVATELE
Společnost pravidelně (1x ročně) provádí monitoring u stanovených dodavatelů, kteří pracují s informačními aktivy společnosti a u dodavatelů IT služeb, infrastruktury, hardware a software. Dodavatelé jsou povinni poskytnout součinnost při provádění monitoringu.
Monitoring se provádí dle stanovených kritérií v souladu se stanovenou metodikou.
V případě závažných důvodů (např. při podezření na rizikové chování dodavatele), a to v souvislosti s plněním smlouvy, si společnost vyhrazuje právo provést neohlášenou kontrolu u dodavatele.
Metodika monitoringu:
- je stanoveno 12 oblastí, které jsou vyhodnocovány
- ke každé oblasti je přidělena známka 1–5, jako ve škole
- pokud je známka 3 a horší, tak se stanoví opatření/nápravy, včetně termínů jejich zavedení
- dodavatel má povinnost zrealizovat dohodnutá nápravná opatření, a to v dohodnutém termínu
- dodavatel vypracuje zprávu, ve které popíše, jaká nápravná opatření zrealizoval
- odsouhlasí se přijatá zpráva a zrealizované opatření
Seznam kritérií pro hodnocení dodavatelů:
- Dodržování smlouvy, způsobilost
- Úroveň dodavatelské infrastruktury
- Dodržování termínů
- Kvalita zboží/služeb, reklamace
- Zastupitelnost
- Incidenty (počet, závažnost)
- Existence bezpečnostních opatření, plán krizových opatření
- Existence zavedeného GDPR
- Zacházení se svěřenými fyzickými aktivy
- Ochrana přidělených přístupů
- Vztah k životnímu prostředí
- Neustálé vzdělávání pracovníků dodavatele