Instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania
systemem informatycznym
służącym do przetwarzania danych
osobowych w sklepie internetowym
www.stork3d.pl
prowadzonym przez firmę
STORK Szymon Małachowski
Właścicielem materialnych praw autorskich do udostępnionych wzorców dokumentacji
przetwarzania danych osobowych jest Safe Buy Sp. z o.o. Sp. k., która udzieliła sklepowi
uczestniczącemu w programie eCommerce Fair Play niewyłącznego i niezbywalnego prawa do
wykorzystywania tej dokumentacji do celów związanych z własną działalnością handlową w
internecie. Kopiowanie oraz rozpowszechnianie niniejszej dokumentacji bez zgody Safe Buy Sp. z
o.o. Sp. k. jest zabronione.
Sprzedawcy internetowi mogą dowiedzieć się więcej o programie eCommerce Fair Play i
możliwości darmowego korzystania z wzorca Regulaminu Sprzedaży i dokumentacji przetwarzania
danych osobowych na stronie Safebuy.pl/sprzedawcy-internetowi/.
Spis treści
1.
Przetwarzanie danych osobowych w systemie informatycznym ................................ 3
2.
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności................................................................................................................................ 4
3.
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem............................................................................................... 4
4.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu ......................................................................................................... 4
5.
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania oraz sposób, miejsce i okres
przechowywania .................................................................................................................... 5
6.
Sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu
informatycznego .................................................................................................................... 5
7.
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych ..................................................................... 6
8.
Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych
osobowych ............................................................................................................................. 6
Instrukcja zarządzania systemem informatycznym
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
2
1. Przetwarzanie danych osobowych w systemie informatycznym
Instrukcja zarządzania systemem informatycznym określa sposób zarządzania systemem
informatycznym wykorzystywanym do przetwarzania danych osobowych przez sklep
internetowy. Opisane procedury i zasady postępowania mają na celu zapewnienie
bezpieczeństwa przetwarzania tych danych zgodnie z założeniami Polityki
bezpieczeństwa danych osobowych, która jest dokumentem nadrzędnym i zawiera
ogólne wytyczne dla bezpiecznego przetwarzania danych osobowych klientów.
Uwzględniając kategorie przetwarzanych danych osobowych oraz konieczność
zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z
siecią publiczną (Internetem), obowiązuje „poziom wysoki” bezpieczeństwa w
rozumieniu przepisów prawa.
Przetwarzane dane są przechowywane na serwerze i stacje robocze służą przede
wszystkim do prezentacji danych (przeglądarka internetowa). Uwierzytelnianie
użytkowników i kontrola poziomu uprawnień zapewniane są przede wszystkim na
poziomie systemu operacyjnego serwera i aplikacji działającej na serwerze oraz poprzez
szyfrowanie teletransmisji.
Administrator danych wykorzystuje do przetwarzania danych osobowych przede
wszystkim systemy informatyczne (aplikacje) działające na serwerach będących w
zewnętrznych centrach przetwarzania danych, które zapewniają wyższy poziom
zabezpieczeń danych osobowych przetwarzanych w tych systemach informatycznych, a
w szczególności wyższe bezpieczeństwo fizyczne i środowiskowe serwerów oraz
automatyczne wykonywanie kopii zapasowych.
W przypadku wyznaczenia Administratora Systemu Informatycznego (ASI) jest on
odpowiedzialny za przestrzeganie zasad bezpieczeństwa przetwarzania danych
osobowych w zakresie systemu informatycznego. Do obowiązków ASI należy także
kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną
oraz przeprowadzanie analizy ryzyka uwzględniającej realne zagrożenia dla systemu
informatycznego.
Instrukcja została opracowana zgodnie z wymogami określonymi:
- ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2014
r. poz. 1182),
- rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz.
1024).
Instrukcja zarządzania systemem informatycznym
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
3
2. Procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności
1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych
może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych,
która uzyskała pisemne upoważnienie do przetwarzania danych osobowych i
podpisała pisemne oświadczenie o poufności oraz została zarejestrowana w tym
systemie jako użytkownik.
2. W Ewidencji osób upoważnionych do przetwarzania danych osobowych odnotowuje
się nadany identyfikator użytkownika oraz poziom przyznanych uprawnień w
systemie informatycznym.
3. Wraz z zakończeniem współpracy z osobą, która posiada dostęp do systemu
informatycznego służącego do przetwarzania danych osobowych lub cofnięciu
upoważnienia, użytkownik jest wyrejestrowywany.
4. Raz przydzielony identyfikator użytkownika, nawet po jego wyrejestrowaniu z
systemu informatycznego, nie może zostać przydzielony innemu użytkownikowi.
3. Stosowane metody i środki uwierzytelnienia oraz procedury związane z
ich zarządzaniem i użytkowaniem
1. Uwierzytelnienie użytkownika polega na porównaniu wprowadzonego przez niego
hasła z hasłem pasującym danego identyfikatora zarejestrowanym w systemie
informatycznym.
2. Pierwsze hasło nadawane jest przez system informatyczny i użytkownik jest
zobowiązany do jego niezwłocznej zmiany po pierwszym zalogowaniu. Pierwsze hasło
jest przekazywane w sposób bezpieczny.
3. Hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz
cyfry lub znaki specjalne.
4. Hasło jest zmieniane co najmniej co 30 dni.
5. Hasła są przechowywane w systemie informatycznym w postaci uniemożliwiającej ich
odczytanie.
6. Użytkownik jest zobowiązany do zabezpieczenia swojego hasła przed
nieuprawnionym dostępem osób trzecich.
4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu
1. Dostęp do systemu informatycznego jest możliwy wyłącznie po podaniu
indywidualnego identyfikatora i pasującego do niego hasła.
Instrukcja zarządzania systemem informatycznym
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
4
2. W przypadku potrzeby opuszczenia stanowiska pracy, użytkownik zobowiązany jest
do zablokowania dostępu w sposób uniemożliwiający odczytanie zawartości ekranu i
wznowienia pracy bez podania hasła.
3. Po 30 minutach od zaprzestania pracy jej wznowienie wymaga ponownego podania
identyfikatora użytkownika i hasła.
4. Zakończenie pracy w systemie informatycznym następuje po wylogowaniu się z
niego.
5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania oraz sposób,
miejsce i okres przechowywania
1. Kopie zapasowe baz danych wykonywane są przy pomocy narzędzi dostarczonych
wraz z oprogramowaniem sklepu internetowego lub baz danych.
2. Co najmniej raz na miesiąc jest wykonywana kopia przyrostowa.
3. Co najmniej raz na rok jest wykonywana kopia pełna.
4. Kopie zapasowe przechowuje się na pamięci przenośnej lub na nośnikach DVD, które
są następnie przechowywane w szafie zamykanej na klucz.
5. Kopie zapasowe są usuwane bezzwłocznie po ustaniu ich użyteczności.
6. Zasady postępowania z informatycznymi nośnikami zawierającymi dane osobowe
zostały opisane w Polityce bezpieczeństwa.
6. Sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu
do systemu informatycznego
1. Zabezpieczenie dostępu do sieci teleinformatycznej ma na celu ochronę usług
sieciowych przed nieupoważnionym dostępem z zewnątrz i z wewnątrz odbywa się
zgodnie z wytycznymi opisanymi w Polityce bezpieczeństwa.
2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze
znajdujące się w sieciach LAN są chronione przez zaporę ogniową (firewall).
3. W przypadkach, kiedy wykorzystanie dedykowanych urządzeń firewall nie jest
zasadne, serwery i stacje robocze są chronione przez lokalnie zainstalowane
oprogramowanie realizujące funkcję zapory ogniowej.
4. Użytkownikom nie wolno otwierać na komputerach, na których odbywa się
przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła bez
zgody przełożonego.
5. Na wszystkich komputerach pracujących pod kontrolą systemu operacyjnego
Microsoft Windows zainstalowany jest program antywirusowy, którego aktualizacja
wykonywana jest automatycznie. Oprogramowanie antywirusowe sprawuje ciągły
nadzór nad uruchamianymi lub wprowadzanymi do systemu programami oraz
załącznikami poczty elektronicznej.
Instrukcja zarządzania systemem informatycznym
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
5
7. Procedury wykonywania przeglądów i konserwacji systemów oraz
nośników informacji służących do przetwarzania danych
1. Przeglądy i konserwacja przeprowadzana jest doraźnie, nie rzadziej niż w terminach
określonych przez producentów systemu lub jeśli brak jest innych wytycznych raz na
3 miesiące wykonuje się generalny przegląd systemu informatycznego, polegający na
ustaleniu poprawności działania tych jego elementów, które są niezbędne do
zapewnienia realizacji funkcji wynikających z niniejszej Instrukcji.
2. W przypadku stwierdzenia nieprawidłowości w działaniu elementów systemu
opisanych w pkt. 1 podejmuje się niezwłocznie czynności zmierzające do
przywrócenia ich prawidłowego działania.
3. Jeżeli do przywrócenia prawidłowego działania systemu niezbędna jest pomoc
podmiotu zewnętrznego, wszelkie czynności na sprzęcie komputerowym
dokonywane w obszarze przetwarzania danych osobowych, powinny odbywać się w
obecności osoby wyznaczonej przez Administratora Danych Osobowych.
8. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem
danych osobowych
1. System informatyczny umożliwia automatyczne przypisanie wprowadzanych danych
osobowych użytkownikowi (na podstawie identyfikatora użytkownika), który te dane
wprowadza do systemu oraz daty pierwszego wprowadzenia danych do systemu.
2. System informatyczny umożliwia automatyczne odnotowanie informacji oraz
sporządzanie i wydrukowanie dla każdej osoby, której dane są przetwarzane w
systemie, raportu, w którym znajdują się przedstawione w powszechnie zrozumiałej
formie następujące informacje:
a) data pierwszego wprowadzenia danych do systemu administratora danych,
b) identyfikator użytkownika wprowadzającego dane,
c) źródło danych w przypadku zbierania danych nie od osoby, której one dotyczą,
d) informacje o odbiorcach danych, którym dane osobowe zostały udostępnione,
data i zakres udostępnienia,
e) sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy,
f) treść przetwarzanych danych osobowych (zgodnie z wymogiem art. 32 ust. 1 pkt
3 ustawy).
3. Dla każdej osoby, której dane osobowe są przetwarzane, system informatyczny
zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie
zrozumiałej formie informacje, o których mowa w pkt. 2 litera a-e.
4. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym,
system zapewnia odnotowanie informacji o udostępnionych danych odbiorcom,
zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały
udostępnione.
Instrukcja zarządzania systemem informatycznym
Wzór opracowany przez SafeBuy.pl | Wszelkie prawa zastrzeżone
6