Gweld Gwyddoniaeth Cyf: Polisi Diogelwch Gwybodaeth

Ionawr 2021

1. Nod y Polisi Diogelwch Gwybodaeth

Nod y Polisi Diogelwch Gwybodaeth hwn yw darparu eglurder ynghylch yr hyn a ddisgwylir gan aelodau tîm Gweld Gwyddoniaeth Cyf o ran diogelwch data a defnyddio systemau a chymwysiadau'r cwmni. 

Dylai eu galluogi i ddeall sut y gallant gynnal diogelwch data a chymwysiadau. 

Mae'r polisi'n darparu canllawiau clir ar: 

  • Defnyddio dyfeisiau a gyhoeddir gan y cwmni 
  • Defnyddio dyfeisiau personol 
  • Diogelwch e-bost 
  • Creu a storio cyfrineiriau 
  • Trosglwyddo data.

2. Data a gedwir ar ddyfeisiau a systemau Gweld Gwyddoniaeth Cyf.

Mae'r polisi canlynol wedi'i gynllunio i fod yn briodol i ddiogelu'r mathau o ddata a gedwir ar ddyfeisiau a systemau Gweld Gwyddoniaeth Cyf. 

Defnyddir dyfeisiau a systemau Gweld Gwyddoniaeth  i storio  y mathau canlynol o wybodaeth yn unig.

2.1 Gwybodaeth personol

  • Gellir caffael a dal enwau, cyfeiriadau e-bost a rolau swyddi pobl sydd wedi gofyn am wybodaeth gan Gweld Gwyddoniaeth Cyf ac sydd wedi rhoi eu caniatâd (gweler Polisi Preifatrwydd Gweld Gwyddoniaeth am ragor o fanylion).
  • Nid yw gwybodaeth bersonol arall, gan gynnwys cyfeiriadau cartref, unrhyw fath o wybodaeth ariannol neu wybodaeth arall y gellid ei hystyried yn gyfrinachol, byth yn cael ei storio ar ddyfeisiau a systemau Gweld Gwyddoniaeth Cyf. 

2.2 Gwybodaeth sefydliadau 

  • Dim ond gwybodaeth am sefydliadau sy'n hygyrch yn gyhoeddus a gedwir ar ddyfeisiau a systemau Gweld Gwyddoniaeth Cyf.
  • Other information about organisations, including financial information or any other data that could be considered to be confidential, is never stored on See Science Ltd devices and systems.

3. Diogelwch dyfeisiau

3.1 Dyfeisiau'r cwmni

Mae'n hanfodol bod holl aelodau'r tîm yn cynnal diogelwch dyfeisiau a ddarperir gan Gweld Gwyddoniaeth. 

  • Rhaid amddiffyn pob dyfais gyda chyfrinair digonol (gweler 5. Rheoli cyfrinair isod). 
  • Meddalwedd gwrth firws effeithiol wedi'i osod a'i gadw'n gyfredol. 
  • Rhaid i'r holl feddalwedd arall gael y datganiadau a'r darnau meddalwedd diweddaraf. 
  • Rhaid cloi/diogelu dyfeisiau pan nad ydynt yn cael eu defnyddio neu heb oruchwyliaeth. 
  • Rhaid peidio â symud dyfeisiau sy'n eiddo i gwmni o adeilad Gweld Gwyddoniaeth heb gymeradwyaeth ymlaen llaw ar lefel rheoli. 
  • Os caiff dyfeisiau cwmni eu symud o'r adeilad busnes, rhaid hysbysu'r Rheolwr Data a TG ar unwaith os yw'r ddyfais yn cael ei cholli neu ei dwyn, fel y gellir cymryd camau priodol. 
  • Rhaid peidio â gosod cymwysiadau trydydd parti ar ddyfeisiau sy'n eiddo i'r cwmni heb gymeradwyaeth ar lefel reoli. 
  • Dim ond at ddibenion personol a gymeradwywyd ymlaen llaw ac i gyrchu gwefannau a chyfryngau cymdeithasol a gymeradwywyd ymlaen llaw y caniateir defnyddio dyfeisiau sy'n eiddo i'r cwmni.

3.2 Dyfeisiau personol

Pryd bynnag y defnyddir dyfeisiau personol at ddibenion gwaith neu i gael mynediad at wybodaeth gwaith, rhaid i ddefnyddwyr ddilyn y canllaw hwn:

  • Rhaid amddiffyn y ddyfais bersonol gyda chyfrinair digonol (gweler 5. Rheoli cyfrinair isod
  • Rhaid bod gan y ddyfais bersonol feddalwedd gwrth firws effeithiol wedi'i gosod a'i chadw'n gyfredo
  • Rhaid i'r holl feddalwedd arall gael y wybodaeth ddiweddaraf am y datganiadau a'r darnau meddalwedd diweddara
  • Rhaid sicrhau dyfeisiau personol a pheidio â'u gadael heb oruchwyliaeth ar unrhyw adeg.

4. Diogelwch e-bost

Er mwyn osgoi seiber-ymosodiadau trwy e-bost fel gwe-rwydo, rhaid i aelodau tîm Gweld Gwyddoniaeth ddilyn y canllawiau diogelwch e-bost hyn bob amser: 

  • Rhaid sefydlu cyfreithlondeb pob e-bost - a yw'r e-bost mewn gwirionedd gan bwy y mae'n honni ei fod? 
  • Dylid rhoi sylw i wallau gramadeg neu sillafu mewn e-byst - mae'r rhain yn aml yn ddangosydd nad yw'r e-bost yn ddilys. 
  • Rhaid peidio ag agor e-byst â theitlau 'clickbait'. 
  • Dylai pob e-bost na ellir ei gadarnhau ei fod yn gyfreithlon gael ei ddileu neu ei roi mewn cwarantîn (efallai y bydd meddalwedd gwrth firws effeithiol yn gallu cyflawni'r swyddogaeth hon yn y cefndir). 
  • Rhaid i aelodau'r tîm beidio ag agor unrhyw atodiadau na chlicio ar unrhyw ddolenni sydd wedi'u cynnwys mewn e-byst na ellir eu gwirio fel rhai dilys. 
  • Rhaid rhoi gwybod i'r Rheolwr Data a TG am unrhyw bryderon y gallai cywirdeb systemau cwmni gael ei gyfaddawdu trwy e-bost amheus.

5. Rheoli cyfrineiriau

Cyfrineiriau yw'r llinell amddiffyn gyntaf ym maes diogelwch TG. Os yw hacwyr neu ddefnyddwyr diawdurdod yn gallu dyfalu neu ddarganfod cyfrineiriau, gall hyn roi mynediad iddynt i'r seilwaith TG cyfan. 

Rhaid i aelodau'r tîm Gweld Gwyddoniaeth ddilyn y canllawiau hyn ar gyfer creu a defnyddio cyfrineiriau: 

  • Rhaid i gyfrineiriau fod o leiaf 8 nod o hyd. 
  • Rhaid peidio â defnyddio cyfrineiriau cyffredin na chyfrineiriau un gair (ee cyfrinair, abcdefgh, 987654, admin ac ati). 
  • Rhaid peidio â nodi cyfrineiriau. 
  • Os yw'r busnes wedi gweithredu teclyn rheoli cyfrinair, fel 1Password, rhaid i aelodau'r tîm ddefnyddio hwn i greu a storio cyfrineiriau ar hap, diogel. 
  • Ni ddylid ailddefnyddio cyfrineiriau Gweld Gwyddoniaeth at ddibenion nad ydynt yn gysylltiedig â gwaith. 
  • Dylid defnyddio dilysiad aml-ffactor lle bynnag y darperir hyn. 
  • Rhaid peidio â rhannu cyfrineiriau ag aelod arall o'r tîm. 
  • Os yn bosibl, dylai fod gan bob aelod o'r tîm gyfrif unigol ar gyfer cymwysiadau neu systemau cwmni y maent yn eu defnyddio.

6. Trosglwyddo data yn ddiogel

Nid yw See Science Ltd yn storio unrhyw ddata y gellid ei ystyried yn gyfrinachol neu'n werthfawr (gweler uchod). Fodd bynnag, mae'r canllawiau canlynol yn berthnasol mewn unrhyw sefyllfa bosibl yn y dyfodol lle gallai fod angen i aelod o'r tîm drosglwyddo data yn ddiogel. 

Mae hyn yn bwysig nid yn unig o safbwynt TG ond hefyd er mwyn cyflawni dyletswyddau Gweld Gwyddoniaeth o ran gwarchodaeth data o dan GDPR. 

  • Dim ond pan fydd hynny'n hollol angenrheidiol y dylid trosglwyddo data cyfrinachol i weithwyr eraill neu drydydd parti. 
  • Cyn anfon data cyfrinachol rhaid gwirio gwybodaeth y derbynnydd a rhaid cadarnhau bod gan y dyfeisiau a'r systemau derbyn fesurau diogelwch digonol. 
  • Rhaid awdurdodi pob trosglwyddiad o ddata cyfrinachol ar lefel reoli. 
  • Cyn cychwyn ar unrhyw drosglwyddiad o ddata cyfrinachol rhaid i'r anfonwr sicrhau bod y ffurf gywir o amgryptio yn cael ei defnyddio ar gyfer trosglwyddo data (os yw hyn wedi'i nodi) a bod y dull trosglwyddo cywir yn cael ei ddefnyddio (os yw hyn wedi'i nodi). 
  • Rhaid i'r holl drosglwyddiadau data gael eu gwneud yn unol â GDPR ac unrhyw gytundebau cyfrinachedd a allai fod ar waith.

7. Cwynion neu ymholiadau am y polisi hwn 

Gallwch wneud cwyn i ni trwy ymholiadau@gweld-gwyddoniaeth.co.uk os ydych chi'n credu bod y polisi hwn yn anghywir neu'n methu â mynd i'r afael â materion TG sy'n berthnasol i Gweld Gwyddoniaeth Cyf. Rydym hefyd yn croesawu unrhyw awgrymiadau ar gyfer gwella ein gweithdrefnau.

8. Rheolwr Data a TG: enw a manylion cyswllt 

Y Rheolwr Data a TG yn Gweld Gwyddoniaeth Cyf a'r person sy'n gyfrifol am weinyddu'r polisi hwn yw Cerian Angharad. 

Cerian Angharad
Gweld Gwyddoniaeth Cyf
8 Cilgant Sant Andreas
Caerdydd CF10 3DD

02920 344727

cerian.angharad@gweld-gwyddoniaeth.co.uk

www.gweld-gwyddoniaeth.co.uk

www.see-science.co.uk