Zapewnienie bezpieczeństwa ochrony danych osobowych
- Zapewnienie bezpieczeństwa ochrony danych osobowych - pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
RODO wymienia przykładowe czynności jakie mogą pomóc w ochronie danych osobowych. Należy pamiętać, że nie każde z tych czynności będą miały zastosowania w danej firmie. Konieczne jest bowiem dopasowanie takich zabezpieczeń, które faktycznie w danym miejscu będą spełniały swoją rolę. Jak powinno wyglądać zapewnienie bezpieczeństwa ochrony danych osobowych?
Zapewnienie bezpieczeństwa ochrony danych osobowych - pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych
Anonimizacja dotyczy procesu nieodwracalnego mającego na celu uniemożliwienie wykorzystania danych osobowych. W systemie księgowym gdzie dane wykorzystywane są dla konkretnych celów księgowych czyli czynności związanych z prawem, anonimizacja nie ma zastosowania z uwagi na prawny wymóg archiwizacji do czasu przedawnienia obowiązku podatkowego i/ lub roszczeń umownych.
Pseudonimizacja - jest to zamiana listy danych osobowych na np. numerki czyli pseudonimy, tak by nie można było w łatwy sposób rozszyfrować kogo dane są podawane. Stosowana jest od dawna np. na uczelniach - student Jan Kowalski na listach wyników widnieje zamiast pod imieniem i nazwiskiem to pod numerem indeksu - w ten sposób tylko znający numery indeksów są w stanie przypisać konkretny wynik do danej osoby fizycznej. Pseudonimizację wykorzystuje się często dla celów tworzenia statystyk. Zatem w praktyce dotyczy głównie sytuacji udostępniania danych na zewnątrz i to w określonych celach i sytuacjach co nie dotyczy systemu księgowego.
Szyfrowanie danych osobowych to zabezpieczenie wykorzystywane szczególnie przy czynności przesyłu danych. Poprzez szyfrowanie wszystkich danych wychodzących i wchodzących z/do aplikacji transmisja staje się bezpieczna. Protokół używany przez wfirma.pl SSL-EV jest takim wysokim zabezpieczeniem jakiego używają banki.
Innym sposobem szyfrowania danych osobowych jest zabezpieczenie przesyłanych między firmami plików hasłem - jak bezpiecznie przesłać plik z danymi?
Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
Osiąga się to dzięki:
-
szyfrowanym kanałom przepływu danych ssl ev
-
uwierzytelnieniu użytkownika - możliwość włączenia dwuetapowego logowania
-
automatycznym procedurą wylogowania - na wypadek utraty zasilania
-
zarządzaniu upoważnieniami dostępu do danych np. pomoc ekspertów serwisu wfirma.pl - eksperci nie mają dostępu do danych przechowywanych przez użytkowników serwisu, a ponadto w procesie relacji ekspert wfirma - użytkownik (przedsiębiorca) używana jest pseudoanonimizacja danych - ekspert widzi jedynie imię i numer ID (do listy ID przypisanych do konkretnych danych osobowych użytkowników upoważnienie mają jedynie pracownicy serwisu wfirma.pl, którym jest to niezbędne do realizacji zadań pracowniczych)
-
stosowaniu wysokiej klasy zabezpieczeniom infrastruktury technicznej
-
procedury związane z bezpieczeństwem serwisu wfirma.pl są monitorowane na bieżąco (system alertów), sprawdzane-testowane (w zależności od zakresu raz na kwartał lub raz na rok) i aktualizowane - dostosowywane do aktualnych wymogów prawa.
Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
W głównej mierze dotyczy to tworzenia kopii zapasowych. Przy tworzeniu kopii zapasowych zwraca się szczególną uwagę na to by miejsce przechowywania kopii zapasowych było w odmiennej lokalizacji niż serwer główny oraz na procedury i czynności dotyczące sprawdzania poprawności tworzenia backupów.
Dodatkowo wysokim standardem zabezpieczeń jest wprowadzona replikacja danych czyli proces powielania informacji pomiędzy różnymi serwerami baz danych w czasie prawie rzeczywistym (czyli minimalne opóźnienia). W razie awarii pozwala to na szybsze przełączenie i zachowanie ciągłości działania i dostępu do danych.
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Zarówno serwis wfirma.pl jak i infrastruktura techniczna poddawana jest ciągłemu testowaniu i odtwarzaniu a prowadzona regularnie ocena ryzyka pozwala na ocenę skuteczności stosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo.