Bezpieczeństwo
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
sklepu internetowego fx-shop24.com
§1
POSTANOWIENIA OGÓLNE
- Definicje:
- Administrator danych – Pan Andrzej Możdżeń prowadzący działalność gospodarczą pod nazwą: Andrzej Możdżeń z siedzibą w Krośnie Odrzańskim, ul. Henryka Pobożnego 10, 66-600 Krosno Odrzańskie, posiadającej numer NIP PL9260008457 oraz numer REGON 970344754, wpisanej do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG);
- Administrator Bezpieczeństwa Informacji / ABI – osoba wyznaczona przez Administratora danych, odpowiedzialna za nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych;
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
- GIODO – Generalny Inspektor Ochrony Danych Osobowych;
- Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych;
- Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;
- Polityka bezpieczeństwa – niniejsza Polityka bezpieczeństwa przetwarzania danych osobowych w Sklepie;
- Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 roku, nr 100, poz. 1024);
- Sklep – sklep internetowy fx-shop24.com dostępny pod adresem: http://www.fx-shop24.com;
- Ustawa – Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 roku, nr 0, poz. 1182 z późn. zm.);
- Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie;
- Zbiór nieinformatyczny – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, prowadzony poza systemem informatycznym, w szczególności w formie kartoteki, skorowidza, księgi, wykazu lub innego zbioru ewidencyjnego.
- Niniejsza Polityka bezpieczeństwa określa zasady bezpieczeństwa przetwarzania danych osobowych jakie powinny być przestrzegane i stosowane w Sklepie przez pracowników i współpracowników, którzy przetwarzają dane osobowe.
- Stosowanie zasad określonych w Polityce bezpieczeństwa ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Sklep rozumianej jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
- Niniejsza Polityka bezpieczeństwa została opracowana zgodnie z wymogami Ustawy, Rozporządzenia oraz Wytycznymi GIODO w zakresie opracowania i wdrożenia polityki bezpieczeństwa.
- Dokumentem ściśle powiązanym z niniejsza Polityką bezpieczeństwa jest Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Sklepie.
§2
ZAKRES STOSOWANIA
- Politykę bezpieczeństwa stosuje się do danych osobowych przetwarzanych w systemie informatycznym, danych osobowych zapisanych na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych, w szczególności dotyczących wdrożonych zabezpieczeń technicznych i organizacyjnych.
- W zakresie podmiotowym, Polityka bezpieczeństwa obowiązuje wszystkich pracowników Sklepu oraz inne osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło.
§3
BEZPIECZEŃSTWO PRZETWARZANIA DANYCH OSOBOWYCH
- Przez bezpieczeństwo przetwarzania danych osobowych rozumie się zapewnienie:
a) poufności – właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;
b) integralności – właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalności – właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
- Przy przetwarzaniu danych osobowych należy stosować wysoki poziom bezpieczeństwa w rozumieniu §6 ust. 4 Rozporządzenia, ponieważ urządzenia systemu służącego do przetwarzania danych osobowych połączone są z siecią publiczną.
§4
ODPOWIEDZIALNOŚĆ
- Do obowiązków Administratora danych należy zrozumienie oraz zapewnienie świadomości bezpieczeństwa przetwarzania danych osobowych, jego problematyki oraz wymagań. Do obowiązków należy również:
a) podejmowanie odpowiednich i niezbędnych korków majach na celu zapewnienie prawidłowej ochrony danych osobowych;
b) podział zadań i obowiązków związanych z organizacją ochrony danych osobowych, w szczególności wyznaczenie Administratora Bezpieczeństwa Informacji;
c) wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych;
d) egzekwowanie rozwoju środków bezpieczeństwa przetwarzania danych osobowych;
e) poddawanie przeglądom skuteczność polityki bezpieczeństwa przetwarzania danych osobowych;
f) zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia;
g) zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu;
h) zapewnienie niezbędnych środków potrzebnych dla zapewnienia bezpieczeństwa przetwarzania danych osobowych.
- Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej. Do obowiązków należy również:
a) przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami;
b) postępowanie zgodnie z ustalonymi regulacjami wewnętrznymi dotyczącymi przetwarzania danych osobowych;
c) zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia;
d) ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;
e) informowanie ABI o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach oraz słabościach systemu przetwarzającego dane osobowe.
§5
ZARZĄDZANIE OCHRONĄ DANYCH OSOBOWYCH
- Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.
- Każda z osób mająca styczność z danymi osobowymi jest zobowiązana do ochrony danych osobowych oraz przetwarzania ich w granicach udzielonego jej upoważnienia.
- Należy zapewnić poufność, integralność i rozliczalność przetwarzanych danych osobowych.
- Należy stosować adekwatny do zmieniających się warunków i technologii poziom bezpieczeństwa przetwarzania danych osobowych.
- Dostęp do danych osobowych powinien być przyznawany zgodnie z zasadą wiedzy koniecznej.
- Dane osobowe powinny być chronione przed nieuprawnionym dostępem i modyfikacją.
- Dane osobowe należy przetwarzać wyłącznie za pomocą autoryzowanych urządzeń służbowych.
- Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane na mocy art. 37 Ustawy.
- Upoważnienia są wydawane indywidualnie przed rozpoczęciem przetwarzania danych osobowych przez Administratora Danych.
- W celu upoważnienia do przetwarzania danych osobowych należy dostarczyć do Administratora Danych podpisane oświadczenie, którego wzór stanowi Załącznik nr 1 niniejszej Polityki.
- Na podstawie otrzymanego oświadczenia Administratora Danych upoważnia formalnie wnioskującego do przetwarzania danych osobowych i wydaje upoważnienie sporządzane wg wzoru stanowiącego Załącznik nr 2 niniejszej Polityki.
- Upoważnienia, o których mowa powyżej przechowywane są w aktach osobowych pracownika i obowiązują do czasu ustania stosunku pracy lub obowiązków związanych z przetwarzaniem danych osobowych.
- Wzór odwołania upoważnienia do przetwarzania danych osobowych stanowi Załącznik nr 3 do niniejszej Polityki.
- Ewidencja osób upoważnionych do przetwarzania danych osobowych jest prowadzona przez Administratora Danych i zawiera w szczególności:
- imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych;
- zakres upoważnienia do przetwarzania danych osobowych;
- datę nadania i odebrania uprawnień.
- Wzór Ewidencji osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 4 niniejszej Polityki.
- Przełożeni osób upoważnionych odpowiadają za natychmiastowe zgłoszenie do Administratora Danych osób, które utraciły uprawnienia dostępu do danych osobowych.
- Osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, do których uzyskały dostęp w trakcie zatrudnienia, również po ustaniu zatrudnienia.
- Osoby upoważnione do przetwarzania danych osobowych zobowiązane są zapoznać się z regulacjami wewnętrznymi dotyczącymi ochrony danych osobowych w Sklepie, w szczególności Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
- Niniejsza Polityka powinna być aktualizowana wraz ze zmieniającymi się przepisami prawnymi o ochronie danych osobowych oraz zmianami faktycznymi w ramach Sklepu, które mogą powodować, że zasady ochrony danych osobowych określone w obowiązujących dokumentach będą nieaktualne lub nieadekwatne.
- Okresowy przegląd Polityki powinien mieć na celu stwierdzenie, czy postanowienia Polityki odpowiadają aktualnej i planowanej działalności Sklepu oraz stanowi prawnemu aktualnemu w momencie dokonywania przeglądu.
- Zmiany niniejszej Polityki wymagają przeglądu innych dokumentów dotyczących ochrony danych osobowych obowiązujących w Sklepie.
§6
ZARZĄDZANIE USŁUGAMI ZEWNĘTRZNYMI
- Należy zapewnić, aby usługi zewnętrzne były prowadzone wyłącznie zgodnie z wymaganiami bezpieczeństwa przetwarzania danych osobowych obowiązującymi w Sklepie, wymaganiami umowy oraz wymaganiami prawa.
- Wymagania bezpieczeństwa przetwarzania danych osobowych, zakres usług oraz poziom ich dostarczania należy określić w umowie świadczenia usług.
- Należy zapewnić aby użytkownicy nie będący pracownikami Sklepu stosowali te same zasady bezpieczeństwa przetwarzania danych osobowych co użytkownicy będący pracownikami.
- Powierzenie przetwarzania danych osobowych może mieć miejsce wyłącznie na podstawie pisemnej umowy określającej w szczególności zakres i cel przetwarzania danych. Umowa musi określać również zakres odpowiedzialności podmiotu, któremu powierzono przetwarzanie danych z tytułu niewykonania lub nienależytego wykonania umowy.
- Powierzenie przetwarzania danych osobowych musi uwzględniać wymogi określone w art. 31 i nast. Ustawy. W szczególności podmiot zewnętrzny, któremu ma zostać powierzone przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych do podjęcia środków zabezpieczających zbiór danych, o których mowa w art. 36-39a Ustawy.
- W umowach stanowiących podstawę powierzenia przetwarzania danych albo eksploatacji systemu informatycznego lub części infrastruktury należy umieścić zobowiązanie podmiotu zewnętrznego do przestrzegania niniejszej Polityki oraz zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo i odpowiedni poziom ochrony danych.
- Powierzenie przetwarzania danych osobowych nie oznacza zwolnienia z odpowiedzialności Sklepu za zgodne z prawem przetwarzanie powierzonych danych, co wymaga w umowach stanowiących podstawę powierzenia przetwarzania danych umieszczenia prawa Sklepu do kontroli wykonania przedmiotu umowy w siedzibie podmiotu zewnętrznego m. in. w zakresie przestrzegania Polityki obowiązujących regulacji wewnętrznych, umów i właściwych przepisów prawa.
- Dane osobowe mogą być udostępniane wyłącznie podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa oraz osobom, których dotyczą.
- Udostępnianie danych osobowych może nastąpić wyłącznie za zgodą Administratora Danych.
- Informacje zawierające dane osobowe powinny być przekazywane uprawnionym podmiotom lub osobom za potwierdzeniem odbioru listem poleconym za pokwitowaniem odbioru lub innym bezpiecznym sposobem, określonym wymogiem prawnym lub umową.
- Udostępniając dane osobowe innym podmiotom należy odnotowywać informacje o udostępnieniu bezpośrednio w systemie informatycznym z którego udostępniono dane lub w inny zatwierdzony sposób. Odnotować należy: informacje o odbiorcy danych, dacie i zakresie udostępnionych danych osobowych.
- Udostępniając dane osobowe należy zaznaczyć, że można je wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione.
- Monitorowanie usług strony trzeciej powinno być udokumentowane i powinno zawierać informacje o: poziomie wykonania usługi, incydentach bezpieczeństwa teleinformatycznego oraz ochrony danych osobowych, śladach audytowych, problemach operacyjnych, awariach, błędach i zakłóceniach.
§7
BEZPIECZEŃSTWO FIZYCZNE OBSZARÓW PRZETWARZANIA
- Dane osobowe mogą być przetwarzane wyłącznie w obszarach przetwarzania danych osobowych, na które składają się pomieszczenia biurowe oraz części pomieszczeń, gdzie Sklep prowadzi działalność. Do takich pomieszczeń, zalicza się w szczególności:
- pomieszczenia biurowe, w których zlokalizowane są stacje robocze lub serwery służące do przetwarzania danych osobowych;
- pomieszczenia, w których przechowuje się dokumenty źródłowe oraz wydruki z systemu informatycznego zawierające dane osobowe;
- pomieszczenia, w których przechowywane są sprawne i uszkodzone urządzenia, elektroniczne nośniki informacji oraz kopie zapasowe zawierające dane osobowe.
- Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych, w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym.
- Osoby upoważnione zobowiązane są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszarów, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku drzwi. Nie można wynosić ww. kluczy po zakończeniu pracy poza miejsca przeznaczone do ich przechowywania.
- Wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w wyznaczonych miejscach, które znajdują się w obszarach przetwarzania danych osobowych.
- Niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek.
- Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych.
- Szczegółowy wykaz obszarów przetwarzania danych osobowych znajduje się w Załączniku nr 5 niniejszej Polityki.
- Lokalizację i umiejscowienie danych osobowych należy starannie dobierać z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych. W szczególności należy rozważyć aspekty dotyczące:
- zasilania energią elektryczną;
- klimatyzacji oraz wentylacji;
- wykrywania oraz ochrony przed pożarem i powodzią;
- fizycznej kontroli dostępu.
- Pomieszczenia wchodzące w skład obszaru przetwarzania danych osobowych należy wyposażyć w odpowiednie środki ochrony fizycznej i organizacyjnej chroniące przed nieautoryzowanym lub nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami pracy.
- Kopie zapasowe zawierające dane osobowe należy przechowywać w drugiej fizycznej lokalizacji w bezpiecznej odległości od lokalizacji podstawowej.
- Urządzenia służące do przetwarzania danych osobowych należy przechowywać w bezpieczny i nadzorowany sposób.
- Urządzenia mobilne takie jak np. komputery przenośne, urządzenia PDA, tablety, telefony komórkowe nie powinny być pozostawiane bez opieki jeżeli nie są zastosowane odpowiednie środki ochrony.
- Należy wdrożyć procedury eksploatacyjne w celu ochrony danych osobowych oraz dokumentacji systemowej przed nieautoryzowanym lub nieuprawnionym ujawnieniem, modyfikacją, usunięciem i zniszczeniem.
- Należy wdrożyć politykę czystego biurka i czystego ekranu w celu redukcji ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych.
- Klucze dostępowe, karty, hasła, itd. służące do uzyskania dostępu do systemów informatycznych służących do przetwarzania danych osobowych należy zabezpieczać, a sposób ich uzyskiwania należy szczegółowo zdefiniować w procedurach.
- Dostęp do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych lub zbiory nieinformatyczne należy rejestrować oraz okresowo przeglądać.
- Dostęp dla gości do serwerowni lub innych pomieszczeń, w których znajdują się systemy informatyczne służące do przetwarzania danych osobowych należy nadzorować przez cały czas ich pobytu.
- Przyznawanie dostępu gościom należy wykonywać wyłącznie w określonych i autoryzowanych celach.
- Kończąc pracę, należy zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację, wydruki, elektroniczne nośniki informacji i umieścić je w zamykanych szafkach.
- Monitory należy ustawić w taki sposób aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione.
§8
OCENA RYZYKA I PRZEGLĄDY
- Systemy informatyczne i aplikacje powinny być poddawane ocenie ryzyka pod kątem identyfikacji zagrożeń dla bezpieczeństwa przetwarzania danych osobowych, co najmniej raz na dwa lata. Ocena ryzyka powinna być również przeprowadzana przy dużych zmianach procesów biznesowych, systemów informatycznych i aplikacji.
- Narzędzia informatyczne służące do oceny ryzyka bezpieczeństwa przetwarzania danych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem, a ich użycie odpowiednio kontrolowane.
- Przeglądy bezpieczeństwa przetwarzania danych osobowych powinny być przeprowadzane okresowo, co najmniej raz na dwa lata w celu określenia wymaganego poziomu zabezpieczeń pozwalającego na ograniczenie ryzyka do poziomu akceptowalnego.
- Przeglądy zgodności z zasadami bezpieczeństwa przetwarzania danych osobowych urządzeń informatycznych oraz sieci teleinformatycznych należy przeprowadzać okresowo, co najmniej raz na rok.
- Narzędzia informatyczne służące do przeprowadzania przeglądów bezpieczeństwa przetwarzania danych osobowych powinny być chronione przed nieautoryzowanym lub nieuprawnionym dostępem, a ich użycie odpowiednio kontrolowane.
§9
ZARZĄDZANIE INCYDENTAMI
- Incydenty związane z bezpieczeństwem przetwarzania danych osobowych powinny być wykrywane, rejestrowane i monitorowane w celu ich zidentyfikowania i zapobiegania ich wystąpieniu w przyszłości.
- Zdarzenia systemowe powinny być przechowywane jako materiał dowodowy zaistniałych incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.
- Użytkownicy systemów powinni znać i przestrzegać zasad zgłaszania incydentów związanych z bezpieczeństwem przetwarzania danych osobowych.
- Zaistniałe zdarzenia związane z naruszeniem lub podejrzeniem naruszenia bezpieczeństwa przetwarzania danych osobowych takie jak np. utrata integralności, niedostępność, awarie, uszkodzenia, ostrzeżenia i alarmy bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych powinny być niezwłocznie zgłaszane do Administratora Danych.
§10
ZBIORY DANYCH OSOBOWYCH
- Dokumentacja zbiorów danych osobowych jest prowadzona przez Administratora Danych i stanowi Załącznik nr 6 niniejszej Polityki.
- Dane osobowe gromadzone we wskazanych zbiorach są przetwarzane w systemach informatycznych oraz w kartotekach ewidencyjnych, które są zlokalizowane w pomieszczeniach lub części pomieszczeń należących do obszaru przetwarzania danych osobowych.
- Wskazane w załączniku nr 6 zakresy danych osobowych przetwarzanych w poszczególnych zbiorach danych osobowych są ustalone w oparciu o strukturę zbiorów danych osobowych prowadzonych w systemach informatycznych oraz powiązania pól informacyjnych utworzonych w tych systemach.
- Zawartość pól informacyjnych, występujących w systemach zastosowanych w celu przetwarzania danych osobowych, musi być zgodna z przepisami prawa, które uprawniają Administratora danych do przetwarzania danych osobowych.
- Dokumentacja systemów informatycznych służących do przetwarzania danych osobowych powinna zawierać opis współpracy z innymi systemami informatycznymi oraz sposób przepływu danych pomiędzy systemami z którymi współpracuje.
- Administrator systemów informatycznych jest zobowiązany do poprowadzenia aktualnej dokumentacji opisującej sposób przepływu danych osobowych pomiędzy systemami.
- Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych znajduje się w Załączniku numer 7 niniejszej Polityki.
§11
POSTANOWIENIA KOŃCOWE
- Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Polityce może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
- W sprawach nieuregulowanych w niniejszej Polityce bezpieczeństwa mają zastosowanie przepisy Ustawy oraz przepisy wykonawcze do niej.
- Pracownicy Sklepu zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Polityce, w wypadku odrębnych od zawartych w niniejszej Polityce uregulowań występujących w innych procedurach obowiązujących w Sklepie, użytkownicy mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych.
- Polityka niniejsza obowiązuje od dnia 1 stycznia 2016 roku.
OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH
Dane osobowe są chronione przy zastosowaniu następujących zabezpieczeń niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych dany osobowych:
- Ochrona pomieszczeń wykorzystanych do przetwarzania danych osobowych:
- budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych;
- dokumentacja papierowa po godzinach pracy jest przechowywana w zamykanych biurkach lub szafach;
- przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych jest dopuszczalne w obecności osoby upoważnionej do przetwarzania danych osobowych lub za zgodą wyznaczonej osoby.
- Przedsięwzięcia w zakresie zabezpieczenia sprzętu komputerowego:
- dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania danych osobowych stosuje się w nich sprzęt oraz oprogramowanie wyprodukowane przez renomowanych producentów;
- zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych;
- kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności.
- Przedsięwzięcia w zakresie ochrony teletransmisji danych:
- w celu ochrony systemów informatycznych służących do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z Internetu stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem;
- Przedsięwzięcia w zakresie środków ochrony w ramach oprogramowania systemów:
- w celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło;
- Przedsięwzięcia w zakresie środków ochrony w ramach narzędzi baz danych i innych narzędzi programowych:
- w celu ochrony zbiorów danych osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem stosuje się mechanizmy kontroli dostępu do tych danych;
- system zapewnia automatyczne odnotowywanie w systemie informacji o identyfikatorze użytkownika, który wprowadził dane osobowe oraz dacie pierwszego wprowadzenia danych do systemu;
- system zapewnia przygotowania i wydruk raportu, który zawiera informacje, o których mowa w §7 Rozporządzenia;
- stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną.
- Przedsięwzięcia w zakresie środków ochrony w ramach systemu użytkowego:
- w celu ochrony danych osobowych przetwarzanych na stacjach roboczych na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, stosuje się mechanizm blokady stacji roboczej zabezpieczony hasłem;
- stosuje się oprogramowanie antywirusowe z automatyczną aktualizacją w celu ochrony systemu przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
- kontrola antywirusowa jest przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie jak i do celów instalacyjnych.
- Przedsięwzięcia w zakresie środków organizacyjnych.
- prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych;
- dostęp do danych osobowych możliwy jest po uzyskaniu formalnego upoważnienia do przetwarzania danych osobowych wydanego przez upoważnione osoby;
- wprowadzono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych;
- monitoruje się wdrożone zabezpieczenia systemu informatycznego.
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM
DO PRZETWARZANIA DANYCH OSOBOWYCH
w sklepie internetowym fx-shop24.com
§1
POSTANOWIENIA OGÓLNE
- Definicje:
- Administrator danych – Pan Andrzej Możdżeń prowadzący działalność gospodarczą pod nazwą: Andrzej Możdżeń z siedzibą w Krośnie Odrzańskim, ul. Henryka Pobożnego 10, 66-600 Krosno Odrzańskie, posiadającej numer NIP PL9260008457 oraz numer REGON 970344754, wpisanej do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG);
- Administrator Bezpieczeństwa Informacji / ABI – osoba wyznaczona przez Administratora danych, odpowiedzialna za nadzorowanie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób trzecich do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie ochrony danych osobowych;
- Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
- GIODO – Generalny Inspektor Ochrony Danych Osobowych;
- Instrukcja zarządzania – niniejsza Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Sklepie;
- Osoba upoważniona – osoba posiadająca formalne upoważnienie wydane przez Administratora danych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych;
- Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie;
- Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 roku, nr 100, poz. 1024);
- Sklep – sklep internetowy fx-shop24.com dostępny pod adresem: http://www.fx-shop24.com;
- System informatyczny – zespół współpracujących urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
- Ustawa – Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 roku, nr 0, poz. 1182 z późn. zm.);
- Użytkownik systemu – osoba upoważniona do bezpośredniego dostępu do danych osobowych przetwarzanych w systemie informatycznym;
- Zbiór danych osobowych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.
- Niniejsza Instrukcja zarządzania określa zasady właściwego zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać wchodzące w jego skład, urządzenia, odpowiednio do skali zagrożeń i kategorii danych objętych ochroną.
- Stosowanie zasad określonych w Instrukcji zarządzania ma na celu zapewnienie prawidłowej ochrony danych osobowych przetwarzanych przez Sklep w systemach informatycznych rozumiane jako ochronę danych przed ich udostępnieniem osobom nieupoważnionym, zmianą lub zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy oraz utratą, uszkodzeniem lub zniszczeniem.
- Niniejsza Instrukcja zarządzania została opracowana zgodnie z wymogami Ustawy, Rozporządzenia oraz Wytycznymi GIODO w zakresie opracowania i wdrożenia instrukcji zarządzania systemem informatycznym.
- Dokumentem ściśle powiązanym z niniejszą Instrukcją zarządzania jest Polityka bezpieczeństwa przetwarzania danych osobowych w Sklepie.
§2
ZAKRES STOSOWANIA
- Instrukcję stosuje się do danych osobowych przetwarzanych w systemach informatycznych, danych osobowych zapisanych w postaci elektronicznej na zewnętrznych nośnikach informacji oraz informacji dotyczących bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.
- Instrukcja zawiera specyfikację podstawowych środków technicznych ochrony danych osobowych oraz elementów zarządzania systemem informatycznym. W przypadku wystąpienia potrzeb wprowadzenia nowych lub modyfikacji istniejących zasad bezpieczeństwa przetwarzania danych osobowych w systemie, wnioski o ich uwzględnienie i wdrożenie powinni składać właściwi przedstawiciele komórek organizacyjnych, w których przetwarzane są dane osobowe, bezpośrednio do Administratora Bezpieczeństwa Informacji.
§3
ODPOWIEDZIALNOŚĆ
- Do obowiązków Administratora Danych, należy nadzorowanie przestrzegania zasad ochrony danych osobowych w systemach informatycznych. Do obowiązków należy również:
- nadzór nad stosowaniem środków ochrony w systemach informatycznych;
- nadzór nad przestrzeganiem przez administratorów i użytkowników systemu procedur bezpieczeństwa;
- uzgadnianie z właściwymi administratorami szczególnych procedur regulujących wykonywanie czynności w systemach lub aplikacjach służących do przetwarzania danych osobowych;
- zapewnienie doradztwa w zakresie przestrzegania przez pracowników firm zewnętrznych zasad ochrony danych osobowych przyjętych w Sklepie.
- Do obowiązków administratorów należy bieżąca ocena ryzyka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych, za które są odpowiedzialni, identyfikacja podatności na zagrożenia bezpieczeństwa przetwarzania danych osobowych oraz bezpieczne zarządzanie systemami. Do obowiązków należy również:
- zarządzanie kontrolą dostępu do systemów informatycznych;
- weryfikacja zdarzeń systemowych;
- zarządzanie kontami użytkowników;
- wdrażanie mechanizmów bezpieczeństwa przetwarzania danych osobowych;
- kontrola przepływu informacji pomiędzy systemem informatycznym, a siecią publiczną oraz kontrola działań inicjowanych z sieci publicznej, a systemem informatycznym;
- regularne tworzenie kopii zapasowych zasobów danych osobowych oraz programów służących do ich przetwarzania oraz okresowe sprawdzanie poprawności wykonania tych kopii zapasowych.
- Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do swojej stacji roboczej. Do obowiązków należy również:
- współpraca przy ustaleniu przyczyn naruszenia ochrony danych osobowych oraz usuwania skutków tych naruszeń, w tym zapobieganie ich ewentualnemu ponownemu wystąpieniu;
- przestrzeganie opracowanych dla systemu zasad przetwarzania danych osobowych oraz procedur i instrukcji;
- informowanie Administratora Danych o wszelkich naruszeniach, podejrzeniach naruszenia i nieprawidłowościach w sposobie przetwarzania i ochrony danych osobowych;
- wykonywania bez zbędnej zwłoki poleceń Administratora Danych w zakresie ochrony danych osobowych jeśli są one zgodne z przepisami prawa powszechnie obowiązującego.
§4
ZARZĄDZANIE BEZPIECZEŃSTWEM SYSTEMÓW
- Podstawowym celem zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych jest zapewnienie jak najwyższego poziomu bezpieczeństwa tych danych, które są w nich przetwarzane.
- W celu zachowania odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych, dostęp do systemu informatycznego przetwarzającego dane osobowe powinien być możliwy wyłącznie po podaniu identyfikatora odrębnego dla każdego użytkownika systemu i poufnego hasła lub innego elementu uwierzytelniającego.
- Należy zapewnić poufność, integralność i rozliczalność systemów informatycznych służących do przetwarzania danych osobowych.
- Należy zapewnić aby użytkownicy systemów informatycznych służących do przetwarzania danych osobowych nie posiadali wyższych poziomów uprawnień w tych systemach niż wymagane do wykonywania powierzonych obowiązków.
- Należy zapewnić, aby wszelkie działania użytkowników systemów informatycznych zapewniały rozliczalność tych działań.
- Prawidłowy poziom zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych zostaje zapewniony poprzez przestrzeganie następujących zasad:
- uniemożliwienie osobom postronnym uzyskiwania nieupoważnionego dostępu do systemu;
- instalowanie nowego lub aktualizowanie już zainstalowanego oprogramowania wyłącznie przez uprawnionych użytkowników systemu;
- niepodejmowanie przez użytkowników systemu prób testowania, modyfikacji i naruszenia zabezpieczeń systemu lub jakichkolwiek działań noszących takie znamiona.
§5
BEZPIECZEŃSTWO SYSTEMÓW INFORMATYCZNYCH
- Bezpieczeństwo powinno być integralną częścią systemów informatycznych służących do przetwarzania danych osobowych.
- Usługi oraz aplikacje, które nie są wykorzystywane powinny być wyłączone.
- Krytyczne poprawki bezpieczeństwa powinny być przetestowane i zainstalowane.
- Dostęp do poszczególnych usług systemów informatycznych powinien być chroniony kontrolą dostępu.
- Wymagania bezpieczeństwa, na które mogą się również składać wymagania prawne związane z ochroną danych osobowych należy identyfikować i uzgodnić przed opracowaniem i/lub ich wdrożeniem. W szczególności wymagania muszą być zidentyfikowane dla:
- systemów operacyjnych;
- aplikacji;
- baz danych;
- narzędzi programowych;
- infrastruktury teleinformatycznej;
- poszczególnych usług.
- Aplikacje WWW powinny być zabezpieczone zgodnie z zaleceniami Open Web Application Security Project (OWASP).
- Aplikacje WWW przed wdrożeniem należy poddać obiektywnemu przeglądowi bezpieczeństwa mającemu na celu zidentyfikowanie podatności na zagrożenia pochodzące z sieci Internet.
- Administratorzy systemu powinni zarządzać systemami operacyjnymi, bazodanowymi, urządzeniami sieciowymi korzystając z kont dodatkowych o mniejszych uprawnieniach niż konta główne. Konta główne powinny służyć wyłącznie do zakładania i usuwania kont dodatkowych.
- Administratorzy powinni odnotowywać w prowadzonych rejestrach systemów wszystkie ważne zdarzenia związane z zarządzanym systemem, w szczególności:
- zmiany, np. instalacja nowego oprogramowania;
- fakty wejścia do serwerowni osób trzecich;
- okresowe testy i konserwacje;
- incydenty bezpieczeństwa (awarie sprzętu, błędy oprogramowania, naruszenia bezpieczeństwa, zdarzenia losowe, ataki szkodliwego oprogramowania) i sposób ich obsługi;
- fakty audytowania i kontroli.
- Należy prowadzić dokumentację eksploatowanych systemów informatycznych w celu zapewnienia oczekiwanej funkcjonalności, jakości, dostępności i bezpieczeństwa systemów.
- Dokumentacja systemów powinna być aktualizowana na bieżąco, a dostęp do niej ograniczony dla uprawnionych osób na zasadzie wiedzy koniecznej.
- System informatyczny służący do przetwarzania danych osobowych powinien zapewniać dla każdej osoby, której dane osobowe są przetwarzane w tym systemie automatyczne odnotowywanie, po zatwierdzeniu przez użytkownika systemu operacji wprowadzenia danych, informacji o dacie pierwszego wprowadzenia danych do systemu oraz o identyfikatorze osoby wprowadzającej dane.
- W przypadku zbierania danych osobowych od osoby, której dane nie dotyczą należy zapewnić w systemie informatycznym odnotowywanie informacji o źródle pochodzenia danych. Proces ten nie musi odbywać się automatycznie.
- Dla każdego systemu służącego do przetwarzania danych osobowych, z którego udostępniane są dane osobowe odbiorcom danych, należy zapewnić odnotowanie komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione, chyba, że dane pochodzą z jawnego zbioru danych osobowych.
- W przypadku zgłoszenia sprzeciwu, o którym mowa w art. 32 ust 1 pkt. 8 Ustawy, wobec przetwarzania danych osobowych system powinien zapewniać odnotowywanie tej informacji.
- Należy zapewnić dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym sporządzenie i wydrukowanie:
- zestawień zakresu i treści przetwarzanych na jej temat danych osobowych;
- zestawienia zawierającego informacje wymagane w §7 ust. 1 Rozporządzenia.
- W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach, wymagania, o których mowa w §7 ust. 1 pkt 4 Rozporządzenia, mogą być realizowane w jednej z nich lub w odrębnej aplikacji przeznaczonej do tego celu.
- Treść ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, nie może być wyłącznie wynikiem operacji na danych osobowych, prowadzonych w aplikacji lub systemie informatycznym.
- Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w aplikacjach ewidencjonujących osoby fizyczne.
- Użytkownicy systemu powinni podlegać okresowym szkoleniom, stosownie do potrzeb wynikających ze zmian w systemie informatycznym (np. wymiana sprzętu na nowszej generacji, zmiana oprogramowania) oraz w związku ze zmianą przepisów o ochronie danych osobowych lub zmianą wewnętrznych regulacji.
§6
KONTROLA DOSTĘPU
- Należy zapobiegać nieautoryzowanemu i nieuprawnionemu dostępowi do systemów informatycznych służących do przetwarzania danych osobowych.
- Wszelkie czynności mogące powodować nieuprawniony dostęp do systemów informatycznych są zabronione.
- Dane osobowe przechowywane na urządzeniach mobilnych takich jak np. komputerach przenośnych, urządzeniach PDA, tabletach, telefonach komórkowych powinny być zabezpieczone w sposób zapewniający poufność tym danym.
- Serwery oraz stacje robocze należy tak skonfigurować, aby w przypadku nieaktywności użytkownika przez zdefiniowany okres (zalecane 10 minut) uruchamiał się wygaszasz ekranu odblokowywany hasłem.
- Dostęp do systemów informatycznych służących do przetwarzania danych osobowych należy zapewnić wyłącznie autoryzowanym użytkownikom na podstawie formalnych procedur przyznawania praw dostępu.
- Należy zapewnić niezwłoczną zmianę praw dostępu użytkownikom, którzy zmienili stanowisko pracy lub obszar odpowiedzialności.
- Należy zapewnić niezwłoczne odebranie i zablokowanie praw dostępu użytkownikom, którzy nie są już pracownikami lub którzy zakończyli świadczenie usług na podstawie umów, zamówień lub porozumień.
- Systemy informatyczne powinny zapewniać blokowanie użytkowników po określonej liczbie nieudanych prób uwierzytelniania (zalecana wartość: maksymalnie 5 prób).
- Należy zapewnić aby każdy użytkownik posiadał unikalny identyfikator wyłącznie do swojego osobistego użytku, wygenerowany zgodnie z przyjętą konwencją nazewnictwa.
- Wykorzystywanie identyfikatorów grupowych powinno być dozwolone wyłącznie, gdy uzasadniają to potrzeby biznesowe i powinno być udokumentowane oraz zatwierdzone.
- Należy wprowadzić zakaz wydania innym użytkownikom wykorzystanych wcześniej identyfikatorów.
- Konta funkcyjne lub serwisowe należy oznaczyć i zapewnić ich łatwą identyfikację oraz powinny wygasać po określonym czasie.
- Konta użytkowników, którzy nie są etatowymi pracownikami należy oznaczyć i zapewnić ich łatwą identyfikację oraz powinny wygasać po określonym czasie.
- Wszystkie konta dostępowe (identyfikatory) do systemów informatycznych należy chronić hasłem lub innym bezpiecznym sposobem uwierzytelniania.
- Wszelkie konta typu „gość” należy usunąć lub zablokować.
- Konta użytkownika uprzywilejowanego należy oznaczyć, zapewnić ich łatwą identyfikację oraz zapewnić, że odwołują się do jednego użytkowania.
- Wyłącznie czynności, które wymagają użycia uprawnień uprzywilejowanych należy wykonywać z konta posiadającego uprawnienia uprzywilejowane.
- Konta uprzywilejowane i ich uprawnienia należy okresowo przeglądać.
- Czynności wykonywane za pomocą kont uprzywilejowanych należy rejestrować oraz zapewnić możliwości ich identyfikacji i rozliczalności.
- Przydzielanie haseł powinno być kontrolowane za pośrednictwem formalnego procesu zarządzania.
- Hasła powinny być dobrej jakości:
- długości co najmniej 8 znaków;
- które są łatwe do zapamiętania, a trudne do odgadnięcia;
- nie są oparte na prostych skojarzeniach, łatwych do odgadnięcia lub wywnioskowania z informacji dotyczących właściciela konta (np. imię, nazwisko, numer telefonu, data urodzenia itp.);
- w których występuje przynajmniej jedna duża litera, jedna mała litera, jedna cyfra i znak specjalny.
- Należy zapewnić aby hasła były regularnie zmieniane, okresowo, zgodnie z wymaganiami dla danego systemu informatycznego (przed upływem terminu ważności hasła) oraz/lub w przypadku ujawnienia lub podejrzenia ujawnienia hasła.
- W przypadku gdy dla danego systemu występuje wymaganie prawne związane ze zdefiniowaną częstotliwością zmiany hasła, należy przyjąć, że powinien on wymusić zmianę hasła co najmniej raz na 30 dni.
- W przypadku gdy funkcjonalność danego systemu nie zapewnia automatycznego wymuszania zmiany haseł, należy zobligować użytkowników do samodzielnej zmiany haseł, zgodnie z zasadami przyjętymi dla danego systemu informatycznego.
- Hasło początkowe, które jest przydzielane przez administratora systemu, powinno umożliwiać użytkownikowi zarejestrowanie się w systemie tylko jeden raz i powinno być natychmiast zmienione przez użytkownika systemu.
- Hasła należy niezwłocznie zmieniać w przypadkach, gdy cokolwiek mogłoby wskazywać na możliwość naruszenia bezpieczeństwa systemu informatycznego lub hasła.
- Należy zapewnić aby wszelkie urządzenia sprzętowe lub programowe, które na początku posiadały hasło domyślne, miały zmienione hasło zgodnie z przyjętymi wymogami dotyczącymi formułowania haseł.
- Systemy informatyczne powinny przechowywać historię haseł oraz uniemożliwić zastosowanie haseł, które były wcześniej używane przez danego użytkownika (zalecana historia 10 haseł).
- Hasła nie powinny być przechowywane w systemach, aplikacjach, bazach danych, skryptach i plikach konfiguracyjnych w postaci jawnej, bez zapewnienia im poufności.
- Hasła nie powinny być przesyłane za pomocną narzędzi i usług teleinformatycznych w postaci jawnej, bez zapewnienia im poufności.
- Należy stosować bezpieczną procedurę przekazywania haseł użytkownikom np. nieprzesyłanie przez sieć haseł (np. w niechronionych wiadomościach poczty elektronicznej).
- Czynności związane z przechwytywaniem lub odgadywaniem haseł innych użytkowników są zabronione.
- Hasła należy utrzymywać w tajemnicy również po upływie ich ważności.
- Wszystkie konta należy blokować po zdefiniowanym okresie bezczynności.
- Przegląd kont i uprawnień należy przeprowadzać regularnie, co najmniej raz na 12 miesięcy.
- Należy zapewnić niezwłoczne blokowanie zbędnych kont użytkowników oraz uprawnień.
- Konto użytkownika należy zablokować po upływie zdefiniowanego okresu bezczynności (zalecane 60 dni od daty ostatniego użycia).
- Pierwsze zarejestrowanie użytkownika w systemie i nadanie odpowiednich uprawnień do systemu przetwarzającego dane osobowe musi być poprzedzone złożeniem przez użytkownika oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczania oraz przetwarzaniu danych osobowych zgodnie z przepisami, a także uzyskaniem formalnego upoważnienia do przetwarzania danych osobowych.
- Użytkownicy powinni zapobiegać nieuprawnionemu dostępowi, naruszeniu bezpieczeństwa, kradzieży lub systemów informatycznych służących do przetwarzania danych osobowych.
- Użytkownicy powinni być świadomi swojej odpowiedzialności za utrzymanie skutecznej kontroli dostępu, szczególnie w odniesieniu do haseł i zabezpieczenia swojego sprzętu.
- Użytkownicy nie powinni stosować jednego hasła do wielu systemów informatycznych.
§7
ROZPOCZĘCIE, ZAWIESZENIE I ZAKOŃCZENIE PRACY
- Przed przystąpieniem do pracy z systemem informatycznym, użytkownik systemu zobowiązany jest dokonać sprawdzenia stanu urządzeń informatycznych oraz oględzin swojego stanowiska pracy, ze zwróceniem szczególnej uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych.
- W przypadku stwierdzenia bądź podejrzenia, iż miało miejsce naruszenie ochrony danych osobowych, użytkownik systemu zobowiązany jest powiadomić o tym fakcie swojego przełożonego lub Administratora Bezpieczeństwa Informacji.
- Kończąc pracę, użytkownik systemu obowiązany jest do wylogowania się z systemu informatycznego i zabezpieczenia stanowiska pracy, w szczególności wszelkiej dokumentacji, wydruków oraz elektronicznych nośników informacji, na których znajdują się dane osobowe i umieszczenia ich w zamykanych szafkach.
- Stacje robocze powinny być tak skonfigurowane, aby w przypadku nieobecności użytkownika systemu dłużej niż 10 minut uruchamiał się wygaszasz ekranu odblokowywany hasłem. Alternatywnie może obowiązywać wymaganie wylogowania się z systemu lub blokowania stacji roboczej w przypadku chwilowego opuszczenia stanowiska pracy.
§8
BEZPIECZEŃSTWO DANYCH
- Dane osobowe zapisane w postaci elektronicznej należy przetwarzać wyłącznie na urządzeniach służbowych zabezpieczonych zgodnie z obowiązującymi procedurami.
- Należy zapewnić aby wszelkie informacje o systemach informatycznych służących do przetwarzania danych osobowych, których ujawnienie może powodować utratę bezpieczeństwa tego systemu lub danych w nim przetwarzanych nie były ujawniane użytkownikom ani żadnej innej nieuprawnionej osobie za wyjątkiem informacji niezbędnych do prawidłowego korzystania z tych systemów.
- Użytkownicy systemów informatycznych służących do przetwarzania danych osobowych nie powinni ujawniać informacji o charakterze, funkcjonalności, zastosowanych środkach kontrolnych, sposobie ich obsługi oraz lokalizacji wykorzystywanych systemów osobom, które nie są uprawnione do otrzymania tego typu informacji.
- Dane osobowe powinny być przetwarzane przy użyciu systemów informatycznych zgodnie z zasadą wiedzy koniecznej.
- Należy utrzymywać dostępność i integralności systemów informatycznych służących do przetwarzania danych osobowych oraz danych przetwarzanych w tych systemach poprzez wykonywanie kopii zapasowych.
- Sposób i zakres (tj. pełna lub różnicowa kopia zapasowa) oraz częstotliwość tworzenia kopii zapasowych powinien odzwierciedlać wymagania biznesowe, wymagania bezpieczeństwa, wymagania prawne oraz stopień krytyczności informacji.
- Kopie zapasowe zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania powinny być wykonywane na bieżąco przez Administratora systemu lub inną wyznaczoną do tego celu osobę.
- Administrator systemu odpowiedzialny za tworzenie kopii zapasowych zobowiązany jest przestrzegać terminów sporządzania kopii zapasowych oraz okresowo dokonywać kontroli możliwości odtworzenia danych zapisanych na tych kopiach pod kątem ewentualnej przydatności w sytuacji awarii systemu.
- Kopie zapasowe powinny być tworzone w bezpiecznym systemie archiwizacji, który powinien zapewniać ograniczony dostęp fizyczny do nośników oraz przyznanie uprawnień dostępu tylko wyznaczonym imiennie administratorom systemu.
- Okres przechowywania kopii zapasowych zawierających dane osobowe powinien być ustalony przez osobę kierującą komórką organizacyjną, w której te dane są przetwarzane i przekazany do Administratora systemu odpowiedzialnego za wykonywanie kopii zapasowych.
- Kopie zapasowe zawierające dane osobowe, dla których cel przetwarzania ustał powinny być pozbawiane zapisu tych danych, a w przypadku gdy nie jest to możliwe, należy je zniszczyć w sposób uniemożliwiający odczytanie/odzyskanie danych osobowych.
- Kopie zapasowe należy odpowiednio zabezpieczyć przed nieuprawnionym dostępem, nadużyciem lub uszkodzeniem.
- Należy zapewnić aby dostęp do kopii zapasowych był zgodny z nadanymi i autoryzowanymi uprawnieniami.
- Należy zapewnić aby procedury niszczenia kopii zapasowych były zgodne z obowiązującymi regulacjami i przepisami prawa.
- Kopie zapasowe należy wyraźnie oznaczyć, że są własnością Sklepu, a ich nieuprawnione użycie jest zabronione.
- Wymienne nośniki elektroniczne, o ile nie są użytkowane, powinny być przechowywane w zamykanych szafkach.
- Okres przechowywania nośników elektronicznych zawierających dane osobowe powinien być ustalony przez Kierownika danego obszaru, w którym te dane są przetwarzane.
- Na każdym nośniku powinna być odnotowywana data maksymalnego okresu przechowywania np. data ustania celu przetwarzania danych osobowych.
- Nośniki elektroniczne zawierające dane osobowe, dla których cel przetwarzania ustał powinny być pozbawiane zapisu tych danych, a w przypadku gdy nie jest to możliwe, należy je zniszczyć w sposób uniemożliwiający odczytanie/odzyskanie danych osobowych.
- W przypadku przekazywania urządzeń lub nośników zawierających dane osobowe w tym dane wrażliwe, poza obszar przetwarzania danych osobowych, zabezpiecza się je w sposób zapewniający poufność, integralność i rozliczalność tych danych, przez co rozumie się:
- ograniczenie dostępu do danych osobowych hasłem zabezpieczającym dane przed osobami nieupoważnionymi;
- stosowanie metod kryptograficznych;
- stosowanie odpowiednich zabezpieczeń fizycznych;
- stosowanie odpowiednich zabezpieczeń organizacyjnych.
W zależności od stopnia zagrożenia zalecane jest stosowanie kombinacji wyżej wymienionych zabezpieczeń.
- Dane osobowe przetwarzane na komputerach przenośnych powinny być zabezpieczone w sposób zapewniający poufność tych danych, w szczególności dane te powinny być zabezpieczone metodami kryptograficznymi.
- Osoba używająca komputer przenośny zawierający dane osobowe zobowiązana jest zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych.
- Osoba używająca komputer przenośny zawierający dane osobowe w szczególności powinna:
- stosować ochronę kryptograficzną wobec danych osobowych przetwarzanych na komputerze przenośnym;
- zabezpieczyć dostęp do komputera na poziomie bios-u i systemu operacyjnego - identyfikator i hasło;
- nie zezwalać na używanie komputera osobom nieupoważnionym do dostępu do danych osobowych;
- nie wykorzystywać komputera przenośnego do przetwarzania danych osobowych w obszarach użyteczności publicznej;
- zachować szczególną ostrożność przy podłączaniu do sieci publicznych poza obszarem przetwarzania danych osobowych.
- W przypadku podłączania komputera przenośnego do sieci publicznej poza siecią Administratora danych należy zastosować firewall zainstalowany bezpośrednio na tym komputerze oraz system antywirusowy.
- Użytkownik powinien zachować wyjątkową ostrożność podczas korzystania z zasobów sieci publicznej.
§9
ZARZĄDZANIE BEZPIECZEŃSTWEM SIECI
- Należy zapewnić, właściwą ochronę infrastruktury sieciowej, adekwatnie do zagrożeń mogących powodować utratę bezpieczeństwa przetwarzania danych osobowych.
- Dane osobowe przesyłane poprzez publiczną sieć telekomunikacyjną powinny być zabezpieczone środkami kryptograficznej ochrony.
- Administrator systemu powinien chronić system przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, poprzez:
- kontrolę przepływu informacji pomiędzy systemem informatycznym, a siecią publiczną;
- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego.
- Wewnętrzna adresacja IP, konfiguracja oraz informacja o systemach powiązanych nie powinna być ujawniana osobom nieuprawnionym, bez akceptacji ze strony uprawnionej do tego celu osoby.
- Podłączanie do infrastruktury sieciowej nieautoryzowanych urządzeń takich jak modemy, urządzenia sieciowe, w tym urządzenia sieci bezprzewodowych jest zabronione.
- Podłączanie we własnym zakresie stacji roboczych do publicznej sieci telekomunikacyjnej poprzez nieautoryzowane urządzenia sieciowe, będąc jednocześnie podłączonym do infrastruktury lokalnej LAN powinno być zarobione.
- Należy zastosować specjalne zabezpieczenia (np. kryptograficzne środki ochrony) w celu ochrony integralności i poufności danych przesyłanych przez sieci bezprzewodowe.
- Użytkownikom należy zapewnić dostęp tylko do tych usług infrastruktury teleinformatycznej (np. dostęp do Internetu, zdalny dostęp, poczta elektroniczna) do których zostali autoryzowani.
- Należy zapewnić, że osoby nie będące pracownikami nie posiadają nieautoryzowanego i niekontrolowanego dostępu do infrastruktury teleinformatycznej.
- Należy zapewnić, że niezabezpieczone usługi infrastruktury teleinformatycznej, pozwalające przesyłać hasła w postaci niezabezpieczonej np. telnet lub ftp, nie są wykorzystywane i są zablokowane.
- Sieci bezprzewodowe podłączone do infrastruktury teleinformatycznej powinny być autoryzowane, udokumentowane, monitorowane oraz odpowiednio zabezpieczone.
- Wszystkie urządzenia sieci bezprzewodowych, do których podłączane są systemy informatyczne powinny posiadać zatwierdzone przez Administratora Bezpieczeństwa Informacji bezpieczne protokoły szyfrowania i uwierzytelniania.
- Wszystkie urządzenia sieci bezprzewodowych podłączone do infrastruktury informatycznej powinny wykorzystywać bezpieczne protokoły komunikacyjne z zaawansowaną funkcją szyfrowania (AES) o długości klucza co najmniej 128 bitów.
- Wykonywane połączenia do Internetu powinny być monitorowane i rejestrowane.
- Systemy monitorowania połączeń do Internetu powinny rejestrować źródłowy adres IP, datę i godzinę połączenia, wykorzystywany protokół, docelową witrynę lub urządzenie (adres IP) oraz nazwę użytkownika nawiązującego połączenie.
- Dostęp do Internetu powinien być zabezpieczony poprzez zastosowanie narzędzi służących do blokowania stron internetowych lub usług zawierających niepożądane treści lub zawartość, np. takie jak: materiały o charakterze pornograficznym, nielegalnym, obraźliwym, szkodliwe oprogramowanie oraz usługi udostępniania plików.
- Wszystkie pliki ściągnięte z Internetu powinny być sprawdzane przez system antywirusowy.
- Użytkownicy powinni być uświadamiani o zagrożeniach występujących podczas korzystania z Internetu.
- Użytkownicy nie powinny instalować żadnego oprogramowania ściągniętego z Internetu bez upewniania się czy został on ściągnięty z zaufanej strony oraz czy nie zagraża bezpieczeństwu systemów informatycznych.
- Należy zapewnić świadomość użytkowników, że poczta elektroniczna nie może być wykorzystywana do przesyłania informacji zawierających treści obraźliwe, szkodliwe, nielegalne, pornograficzne, dotyczących przekonań politycznych i uprzedzeń rasowych.
- Wykorzystywanie prywatnych skrzynek pocztowych znajdujących się poza domeną pocztową Sklepu do przesyłania informacji służbowych jest niedozwolone, chyba że zastosowano właściwe zabezpieczenia uzgodnione wcześniej z Administratorem Bezpieczeństwa Informacji.
- Przychodzące i wychodzące wiadomości poczty elektronicznej należy sprawdzać na wypadek występowania wirusów i kodów złośliwych a potencjalne niebezpieczne załączniki należy blokować.
- Wiadomości poczty elektronicznej otrzymane z nieznanych i podejrzanych źródeł nie powinny być otwierane i przekazywane dalej.
- Wewnętrzne adresy poczty elektronicznej nie powinny być udostępniane i ujawniane osobom nieuprawnionym.
- Wewnętrzna lista adresowa powinna być zabezpieczona przed nieautoryzowanym dostępem i modyfikacją.
§10
SZKODLIWE OPROGRAMOWANIE
- Systemy informatyczne należy chronić przed szkodliwym oprogramowaniem (np. trojany, bomby logiczne, robaki, wirusy, programy szpiegujące, fałszywe alarmy) poprzez stosowanie odpowiednich środków technicznych i organizacyjnych.
- Oprogramowanie antywirusowe należy aktywować na wszystkich serwerach, stacjach roboczych oraz na stacjach roboczych i serwerach połączonych za pomocą zdalnego dostępu.
- Zastosowane zabezpieczenia ochrony antywirusowej powinny być adekwatne dla danego zasobu teleinformatycznego lub usługi.
- Oprogramowanie antywirusowe powinno być zainstalowane tak aby użytkownik systemu nie był w stanie wyłączyć lub pominąć etapu skanowania.
- Kontrola antywirusowa powinna być przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie, jak i do celów instalacyjnych.
- Nowe wersje oprogramowania antywirusowego oraz uaktualnienia bazy sygnatur wirusów instalują wyznaczone osoby niezwłocznie po ich otrzymaniu lub ściągnięciu, uprzednio weryfikując pochodzenie oprogramowania.
- Aktualizacja oprogramowania antywirusowego powinna być przetestowana i zgodna z wymaganiami procesu zarządzania zmianą.
- Aktualizacja sygnatur szkodliwego oprogramowania powinna być prowadzona automatycznie. Jeżeli automatyczna dystrybucja nowych sygnatur szkodliwego oprogramowania nie jest możliwa, powinna być prowadzona manualnie, co najmniej raz na tydzień.
§11
PRZEGLĄD I MONITOROWANIE SYSTEMÓW
- Przeglądy, naprawy i konserwacje systemu informatycznego, które będą przeprowadzane w miejscu użytkowania tego systemu wymagają obecności Administratora systemu lub innej wyznaczonej osoby.
- W przypadku gdy konieczne jest dokonanie przeglądu, naprawy lub konserwacji systemu informatycznego poza miejscem jego użytkowania, z urządzenia należy wymontować element, na którym zapisane są dane osobowe, o ile jest to możliwe. W przeciwnym wypadku należy zawrzeć z podmiotem dokonującym naprawy umowę powierzenia w rozumieniu art. 31 Ustawy.
- Osoby nie będące pracownikami, które prowadzą prace serwisowe na rzecz Administratora danych przed rozpoczęciem prac, powinny być poddane weryfikacji tożsamości przez Administratora systemu lub inną wyznaczoną do tego celu osobę.
- Przegląd programów i narzędzi programowych powinien być przeprowadzany w przypadku zmiany wersji oprogramowania aplikacji, zmiany wersji oprogramowania bazy danych lub wykonania zmian w projekcie systemu spowodowanych koniecznością naprawy, konserwacji lub modyfikacji systemu.
- Mechanizmy monitorowania i tworzenia dzienników zdarzeń powinny być stosowane w celu umożliwienia rejestracji działań związanych z bezpieczeństwem przetwarzania danych osobowych.
- Dziennik zdarzeń powinien odzwierciedlać wymagania biznesowe oraz wymagania bezpieczeństwa przetwarzania danych osobowych. Jako domyślnie dziennik audytu powinien być przechowywany przez minimum 6 miesięcy.
- Dziennik zdarzeń powinien zawierać w szczególności:
- identyfikator użytkownika, który wygenerował zdarzenie;
- datę, czas i szczegóły ważnych zdarzeń, np. rozpoczęcia i zakończenia pracy w systemie;
- pliki lub obiekty powiązane z wygenerowanym zdarzeniem;
- adres IP źródłowy i docelowy;
- zmiany konfiguracji systemu;
- informację o zdarzeniu.
- Zarejestrowane zdarzenia powinny być analizowane w celu identyfikacji problemów związanych z przetwarzaniem danych osobowych oceny skuteczności zaimplementowanych mechanizmów kontrolnych.
- Dziennik zdarzeń należy zabezpieczyć przed modyfikacją oraz nieuprawnionym dostępem.
- Zapisy w dziennikach zdarzeń należy regularnie przeglądać. Podczas przeglądu należy weryfikować ich integralność.
- Dzienniki zdarzeń powinny bazować na poprawnym mechanizmie synchronizacji czasu.
§12
POSTANOWIENIA KOŃCOWE
- Niezależnie od odpowiedzialności określonej w przepisach prawa powszechnie obowiązującego, naruszenie zasad określonych w niniejszej Instrukcji może być podstawą rozwiązania stosunku pracy bez wypowiedzenia z osobą, która dopuściła się naruszenia.
- W sprawach nieuregulowanych w niniejszej Instrukcji zarządzania mają zastosowanie przepisy Ustawy oraz przepisy wykonawcze do niej.
- Użytkownicy systemu zobowiązani są do bezwzględnego stosowania przy przetwarzaniu danych osobowych postanowień zawartych w niniejszej Instrukcji, w wypadku odrębnych od zawartych w niniejszej Instrukcji uregulowań występujących w innych procedurach obowiązujących w Sklepie użytkownicy systemu mają obowiązek stosowania zapisów dalej idących, których stosowanie zapewni wyższy poziom ochrony danych osobowych przetwarzanych w systemie informatycznym.
- Instrukcja niniejsza obowiązuje od dnia 1 stycznia 2016 r.