BEZPIECZEŃSTWO W E-COmmERCE

Transkrypt

www.prevent-magazine.pl
KWIECIEŃ 2013 (nr 4)
E-Commerce
po północy
Co się wtedy dzieje
w Twoim sklepie?
GIODO O SKLEPACH
INTERNETOWYCH
Rozmowa z dr. Wojciechem
Wiewiórowskim
Certyfikaty
dla sklepów
– czy warto?
Przyjazny sklep
internetowy
Czyli jaki?
TEMAT NUMERU:
BEZPIECZEŃSTWO
W E-COMMERCE
reklama | projekty ulotek | projekty www | ilustracje | projekty logo | redakcja | teksty na zlecenie
Działamy kreatywnie i rzetelnie.
Nie ma dla nas rzeczy niemożliwych:-)
Projektujemy, piszemy, realizujemy!
Działamy elastycznie, profesjonalnie i skutecznie,
zawsze dopasowując się do potrzeb Klienta.
Zapraszamy do współpracy!
iKONCEPT | M. Wańkowicza 7/87 | 02-796 Warszawa | [email protected] | www.ikoncept.pl
Michał Sztąberek,
prawnik, audytor, specjalista
ds. ochrony danych osobowych
w firmie iSecure, redaktor naczelny
„Prevent Magazine”
BEZPIECZNE ZAKUPY
Z
akupy w internecie już od dłuższego czasu stają się coraz bardziej popularne. Mimo to
w Polsce brakuje oficjalnej informacji, ile sklepów internetowych działa obecnie na rynku.
Z niektórych badań wynika, że sklepów tych jest ponad 7,5 tysiąca, z czego ok. 2/3 to mikroi małe przedsiębiorstwa. Tendencja ta jest wzrostowa, np. serwis sklepy24.pl w samym roku 2009
odnotował przyrost swojej bazy sklepów o 42%. Szacuje się, że cały rynek eCommerce wart jest
ok. 11-13 miliardów złotych.
Stąd też temat związany ze sklepami internetowymi wydaje nam się na tyle ważny, że poświęcamy
mu bieżący numer „Prevent Magazine”. Przede wszystkim postanowiliśmy przepytać w tym zakresie
dr. Wojciecha Wiewiórowskiego, aktualnego Generalnego Inspektora Ochrony Danych Osobowych
(GIODO), ale nie zabrakło również innych artykułów poświęconych zagadnieniu bezpieczeństwa
w e-Commerce.
Cały czas liczymy na to, że wiedza, której dostarczają Wam, Drodzy Czytelnicy, nasi autorzy, będzie
pomocna i przydatna przy prowadzeniu własnych firm. Zachęcamy też do kontaktu z nami. Każda
opinia, nawet najbardziej krytyczna, jest dla redakcji „Prevent Magazine” na wagę złota.
Michał Sztąberek
SPIS TREŚCI
05 Bezpieczeństwo w e-biznesie AUTOR: Bartosz Lewandowski, www.casus.com.pl
08 Ochrona personaliów posiadaczy kart płatniczych
AUTOR: Mariusz Rzepka, www.Fortinet.pl
12 E-commerce po północy AUTOR: Tomasz Kuźniar, www.Monit24.pl
14 Krytyczne 15 sekund AUTOR: Robert St. Bokacki, www.konteksthr.pl
16 Bezpieczeństwo potwierdzone certyfikatem
AUTORZY: Diana Borowiecka, Dawid Federowicz, www.informonitor.pl
18 Jak bezpiecznie kupować w sieci?
AUTORZY: Justyna Skorupska, www.informonitor.pl, Mateusz Falkowski, www.fact-finder.pl
20 Wywiad: Wskazania zawarte w rozporządzeniue z 2004 r. są przestarzałe
Z dr. Wojciechem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych,
rozmawia Michał Sztąberek, redaktor naczelny „Prevent Magazine”
26 Jak cię widzą, tak cię zatrudniają AUTOR: Radek Klimek, www.avg.pl
30 Zarządzanie ryzykiem w chmurze – wyprawa w nieznane AUTOR: Marcin Fronczak,
www.eurexa.pl
36 D
ane osobowe pracowników korporacji AUTOR: Justyna Metelska, www.tgc.eu
40 S
tracona domena – czy da się ją odzyskać?
AUTORZY: Izabela Nowacka, Marcin Polak, www.netart.pl
46 P
latformy B2B – czy to jest bezpieczne?
AUTOR: Anna Moucka, www.positive-power.pl
Redakcja:
Wydawca: iSecure Sp. z o.o., ul. E. Jelinka 32, 01-646 Warszawa, www.prevent-magazine.pl
Redaktor Naczelny: Michał Sztąberek, Redakcja: Maria Lothamer, Monika Matuszewska,
Jacek Kapłon, Kontakt i reklama: [email protected], tel. 607 271 915,
Patronaty medialne: [email protected], Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl
Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty
ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.
04
KWIECIEŃ 2013 www.prevent-magazine.pl
Zdjęcie na okładce: Fotolia
10 Jaki powinien być sklep internetowy? AUTOR: Piotr A. Wasiak, www.kiwicreative.pl
Bezpieczeństwo
w e-biznesie
Bezpieczeństwo w e-biznesie
to nie tylko ochrona danych
osobowych i zabezpieczenia
przed cyberprzestępcami.
To również współpraca
z wiarygodnym i rzetelnym
kontrahentem.
J
ak pokazują dane, już
kilkanaście procent przedsiębiorców z tej branży
skupia się wyłącznie na działalności internetowej, nie wykorzystując żadnych innych kanałów
dotarcia do klientów. Korzyści,
jakie niesie ze sobą e-commerce, są niezaprzeczalne, jednak
wyzwań, przed którymi stoją
przedsiębiorcy z tego sektora,
także jest sporo. Jednym
z największych jest zapewnienie bezpieczeństwa przeprowadzanych transakcji, a za nią
stoi z kolei możliwość zweryfikowania wiarygodności i rzetelności kontrahenta, także
pod kątem jego płynności
finansowej.
W sieci problemy nie znikają
Chociaż e-commerce może się
pochwalić relatywnie wysokimi wskaźnikami płynności,
to jednak rok 2013 i zapowiadane zmiany w obszarze podatków i prowadzeniu księgowości
mogą negatywnie wpłynąć na
kondycję tego sektora, zwłaszcza w przypadku podmiotów,
które już borykały się z pew-
nymi kłopotami w zakresie
płynności finansowej (głównie
spowodowanymi nadmiernymi kosztami stałymi). Z badań
TNS OBOP z maja 2012 roku
wynika, że 80% respondentów
z branży e-commerce uważa
nieterminowe regulowanie płatności za poważną przeszkodę.
Tyle samo z nich twierdzi,
że jest to częsty problem
w ich branży. Jednocześnie
zdolność do regulowania należności wśród swoich kontrahentów oceniają oni wysoko.
W takim przypadku wskaźnikiem kultury biznesowej i profesjonalizmu firm z branży może
okazać się na przykład certyfikat potwierdzający wiarygodność finansową – o tym
jednak za chwilę.
Prawie połowa przedsiębiorców w tym sektorze ocenia,
że maksymalnie 50% płatności wobec nich regulowanych
jest w terminie. W e-biznesie
zadłużenie kontrahentów wobec siebie relatywnie nie jest
wysokie – ocenia się je na
poziomie nie większym niż
50 tys. zł (a często niższe), jednak nie oznacza to, że nie jest
ono problemem dla funkcjonujących na tym polu firm.
Choć w przypadku podmiotów
z branży e-commerce znikają
pewne ograniczenia związane
z prowadzeniem „tradycyjnej”
firmy (np. koszt funkcjonowania
biur, duży personel, infrastruktura techniczna), w znaczącym
zakresie dotyczą ich wciąż te
same problemy. Zresztą bardzo
wiele podmiotów równolegle
działa w sieci i korzysta z innych
kanałów, takich jak chociażby
sprzedaż tradycyjna czy wysyłkowa. W przypadku regulowania płatności wobec kontrahentów, utrzymania płynności
finansowej i wreszcie procesów
dochodzenia należności w sytuacjach, gdy nie są one obsługiwane na czas, w branży e-commerce obowiązują je dokładnie
te same zasady. Jeśli więc firma
nie reguluje swoich zobowiązań
finansowych wobec kontrahentów, mają oni wiele możliwości
dochodzenia swoich pieniędzy
– od monitoringu należności
i windykacji polubownej, po
działania ostateczne, czyli windykację sądową i egzekucyjną.
Działania firm podejmujących
współpracę z nowym podmiotem, zwłaszcza w branży
takiej jak e-commerce, gdzie
często brak jest bezpośredniego kontaktu z kontrahentem,
powinny być ukierunkowane
na niedopuszczenie do sytuacji,
w których konieczne podjęcie
jest radykalnych kroków. Mówiąc najprościej, odwołujemy
się do starej, sprawdzonej zasady, że lepiej zapobiegać, niż
leczyć. Swoich praw dochodzić
mogą także partnerzy biznesowi
lub klienci, który zapłacili
Temat numeru
prawo domagać się także za
pośrednictwem wyspecjalizowanych firm zarządzających
wierzytelnościami. Kiedy mamy
do czynienia z bezpodstawnym
wzbogaceniem się nieuczciwego kontrahenta, możemy więc
walczyć o zwrot nienależnych
mu środków. Dzieje się tak także wtedy, gdy płatność zostanie omyłkowo zrealizowana
na konto innego, niezamierzonego podmiotu (np. myląc
numer konta, przelewamy daną
kwotę pieniędzy firmie X
zamiast firmie Y).
Zdjęcie: Fotolia
za oferowany im produkt lub
usługę, ale z przyczyn leżących
po stronie usługodawcy nie zostały im one dostarczone
lub wykonane. Wtedy istnieje
możliwość dochodzenia tak
zwanych środków nienależnych, których oddania mamy
Prewencja przede wszystkim
Możliwości, jakie stwarza e-biznes, pozwalają na znaczną
oszczędność czasu i pieniędzy.
Ten medal ma jednak drugą
stronę – brak kontaktu bezpośredniego i pośpiech często
znacznie utrudniają zweryfikowanie kontrahenta (czy, jak
dzieje się w przypadku klienta
indywidualnego, sprzedawcy
lub usługodawcy). Jeśli ma on
kłopoty z płynnością finansową,
może mieć to bezpośrednie
przełożenie nie tylko na jego
wypłacalność, ale także jakość
oferowanych przez niego usług.
Jednym z najprostszych, i relatywnie niedrogich kroków, jakie
może podjąć firma, by budować zaufanie i silną pozycję
w oczach kontrahentów
i klientów, jest zdobycie potwierdzenia swojej terminowości oraz spełniania przez nią
najwyższych norm jakości
usług. Taki dokument może
stanowić np. Europejski
Certyfikat Wiarygodności Gospodarczej. W przypadku podmiotów działających w e-biznesie jest to szczególnie ważne,
bowiem kwestie bezpieczeństwa w tej branży, choć często
niesłusznie zawężane tylko
Choć w branży e-commerce znikają pewne
ograniczenia związane z prowadzeniem
„tradycyjnej” firmy (np. koszt biura, duży
personel), ciągle w dużej mierze dotyczy
ich wiele tych samych problemów.
Dlatego stosując zasadę ograniczonego zaufania, warto
w pierwszej kolejności sprawdzić, czy partner biznesowy
nie figuruje już na liście dłużników i jakie są opinie dotyczącego jego kultury płatniczej.
Dostęp do danych dotyczących
płynności finansowej poszczególnych podmiotów można
uzyskać poprzez współpracę z firmą profesjonalnie
zajmującą się zarządzaniem
wierzytelnościami.
Udowodnij rzetelność
Działania służące budowaniu
stabilnych, zdrowych i przede
wszystkim bezpiecznych relacji
biznesowych mogą mieć jednak
zupełnie przeciwny kierunek.
do pojęć związanych z cyberzagrożeniami, są szczególnie
istotne. Dane z ostatniego roku
pokazują, że 72% użytkowników opuszcza stronę firmy, jeśli
ma wątpliwości co do stosowanych przez nią systemów
bezpieczeństwa, w tym ochrony
danych. Aż 91% respondentów z badanej przez Internet
Standard grupy przyznało, że
nie zrobiłoby tego, jeżeli posiadałaby ona zaufany certyfikat.
Podobnie jest w przypadku wiarygodności samego podmiotu
oferującego swoje usługi lub
produkty - jeśli może udowodnić swoją rzetelność i pochwalić
się odpowiednim certyfikatem,
jego atrakcyjność w oczach potencjalnych partnerów i klientów
automatycznie rośnie. Budo-
wanie klarownych i stabilnych
relacji biznesowych wpisuje się
w obecny na rynku e-commerce
trend dotyczący wzrastającego
znaczenia ukierunkowanych na
konkretną specjalizację usług
wysokiej klasy. A wyznacznikiem profesjonalizmu jest też
przejrzysta sytuacja finansowa,
regularność i uczciwość przy
zawieraniu transakcji. Dlatego
poza posługiwaniem się odpowiednim certyfikatem warto
rozważyć zastosowanie monitoringu należności wobec kontrahentów – takie rozwiązanie
sprawia, że od początku współpracy zasady dotyczące regulowania płatności są klarowne,
a partnerzy wiedzą, czego mogą
się spodziewać. Gdy mowa
o e-commerce często myślimy
głównie o relacji B2C, jednak
nie jest to do końca słuszny
schemat. Co prawda transakcje
internetowe (dokonywane poprzez platformy B2B) stanowią
ok. 5% wszystkich zawieranych
między partnerami biznesowymi, jednak wartość tej wymiany
może sięgać nawet ponad
100 mld zł rocznie i jest znacznie większa niż wartość sektora
B2C. Pokazuje to, jak duży potencjał drzemie w internetowych
relacjach B2B i tym samym,
jak ważne jest stworzenie wiarygodnego wizerunku firm, nie
tylko w oczach klientów indywidualnych, ale też potencjalnych
kontrahentów biznesowych.
AUTOR: Bartosz
Lewandowski,
członek zarządu
Grupy Casus Finanse,
www.casus.com.pl
Zdjęcie: Fotolia
Ochrona
personalióW
posiadaczy kart płatniczych
– zgodna ze standardem PCI DSS
Używanie kart płatniczych przy dokonywaniu zakupów jest dużą wygodą. Niestety, to udogodnienie niesie ze sobą ryzyko kradzieży danych oraz możliwości fałszerstwa. Standard bezpieczeństwa PCI DSS został stworzony po to, by chronić nas przed tego typu zagrożeniami,
i obowiązuje wszystkie firmy, które obsługują transakcje z wykorzystaniem kart płatniczych.
Dotyczy nie tylko centrów autoryzacyjnych takich jak Visa czy Mastercard, ale też przedsiębiorstw, które akceptują płatności kartami oraz organizacji, które przechowują bądź przetwarzają dane posiadaczy kart płatniczych.
08
Z
apewnienie klientowi
ochrony przed oszustwem lub kradzieżą
tożsamości ma zasadnicze
znaczenie za każdym razem,
gdy płaci on za zakupy kartą
kredytową w sklepie internetowym, bankomacie czy
restauracji. Ochrona danych
posiadacza karty pozwala
podtrzymać jego zaufanie
do transakcji online i zawieranych przy użyciu karty.
O bezpieczeństwo tych danych, przesyłanych na coraz
bardziej różnorodnych trasach,
powinny zadbać wszystkie
podmioty działające w branży
obsługi płatności.
stwem informacji, procedurami, politykami, architekturą
sieci, projektowaniem oprogramowania oraz innymi środkami ochrony danych.
Jego stosowanie jest obowiązkowe dla wszystkich podmiotów działających w branży obsługi płatności, które przechowują, przetwarzają lub przesyłają dane kart płatniczych,
uwzględniając także sprzedawców internetowych. Zgodność ze standardem PCI DSS
jest również egzekwowana od
„usługodawców” – wszelkiego
rodzaju przedsiębiorstw, które
przetwarzają płatności oraz
przechowują, przetwarzają lub
2.
3.
4.
Standard PCI DSS (ang. Payment Card Industry Data Security Standard) ma unormować
sposoby ochrony danych klientów i zapewnić
im bezpieczne korzystanie z transakcji.
Rada Bezpieczeństwa Kart
Płatniczych (PCI Security
Standards Council) reguluje
zasady zgodności ze standardami ochrony danych dla
branży kart płatniczych, dążąc
do zmniejszenia zagrożenia
dotyczącego naruszenia bezpieczeństwa danych klienta dokonującego płatności,
kradzieży tożsamości i fałszerstwa z użyciem kart kredytowych. Współadministrowany
przez największych na świecie
operatorów płatności i innych
kluczowych partnerów standard PCI DSS (ang. Payment
Card Industry Data Security
Standard) został opracowany
w celu unormowania sposobów zarządzania przez firmy
wewnętrznym bezpieczeń-
przesyłają dane posiadaczy
kart w imieniu sprzedawcy,
agenta rozliczeniowego lub
banku autoryzującego transakcję (wystawcy karty).
Jeśli Twoja firma ma do czynienia z obsługą kart płatniczych, warto zapoznać się z
zamieszczonymi poniżej wymogami standardu PCI, aby
dowiedzieć się, jak w sześciu
krokach można skutecznie
chronić dane swoich klientów:
1. Z
buduj i utrzymuj bezpieczną sieć: w celu
ochrony danych należy
zainstalować i utrzymać
zaporę sieciową chroniącą
posiadaczy kart. Dodatkowo
nie korzystaj z haseł skonfi-
5.
6.
gurowanych fabrycznie ani
innych parametrów zabezpieczeń.
Chroń dane posiadaczy
kart: należy chronić przechowywane dane oraz
szyfrować wszystkie dane
transmitowane przez otwarte publiczne sieci.
Prowadź program zapobiegania podatności na
zagrożenia przez używanie
regularnie aktualizowanego
oprogramowania antywirusowego, a także przez opracowywanie i utrzymywanie
bezpiecznych systemów
i aplikacji.
Zaimplementuj silne
mechanizmy kontroli
dostępu: ogranicz dostęp
do danych posiadaczy
kart tylko do grona osób,
które mają taką potrzebę
biznesową, nadawaj unikalny identyfikator każdemu
użytkownikowi z dostępem
do komputera oraz ogranicz
fizyczny dostęp do danych
posiadaczy kart.
Regularnie monitoruj
i testuj sieci: śledź i kontroluj wszystkie przypadki uzyskania dostępu do zasobów
sieciowych i danych posiadaczy kart oraz regularnie
testuj systemy i procedury
bezpieczeństwa.
Utrzymuj politykę bezpieczeństwa informacji:
prowadź politykę dotyczącą
bezpieczeństwa informacji.
AUTOR:
Mariusz Rzepka,
Territory Manager
na Polskę, Ukrainę
i Białoruś, Fortinet,
www.Fortinet.pl
E-biznes
Jaki powinien być
sklep internetowy?
5 prostych kroków do idealnego BIZNESU
Zapewne większość czytelników „Prevent Magazine” odpowie na pytanie postawione w tytule następująco: ma być bezpieczny. Owszem, to prawda. Ale sklep internetowy, podobnie jak
każdy inny, ma przede wszystkim sprzedawać.
Użyteczność sklepu może być
rozumiana różnie, niemniej
zazwyczaj sprowadza się do
prostoty w użytkowaniu dla
klienta. Oto pięć rad, jak stworzyć lub poprawić swój sklep
internetowy:
Po pierwsze: informacja.
Najgorsze w sklepach internetowych jest to, że nie można
wziąć towaru do ręki. Można
nawet zaobserwować branże,
które gorzej radzą sobie w internecie niż inne. Łatwiej kupić on-line książkę czy grę wideo niż bieliznę albo spodnie.
Towar w sklepie musi być
10
zatem dobrze opisany, zawierać dokładny opis i dodatkowe
informacje, takie jak rozmiar,
kolory. Pamiętajmy, że informacją są też zdjęcia. Ładne,
profesjonalne i... w większej
liczbie niż jedno. W zasadzie
każda dodatkowa informacja
o produkcie jest dobra. Filmik,
zdjęcia, opis, opinie klientów...
Zobaczcie, jak to robi Amazon
- ile tam jest informacji
o każdej książce!
Po drugie: wyszukiwarka.
Prosta prawda: klient jak nie
znajdzie, to nie kupi. Możemy
mieć, według nas, najwspa-
nialsze kategorie i produkty
ułożone tak logicznie, jak się
da, ale wyszukiwarka i tak jest
podstawą. I to wyszukiwarka
na swój sposób inteligentna.
Powinna wyszukiwać w tytułach i autorach oraz kategoriach i tagach, ale raczej
nie w opisach produktów, bo
wyniki wyszukiwania będą
zbyt zaśmiecone. Inteligencja
wyszukiwarki sprowadza się
w zasadzie do „wyłapywania”
omyłek klienta. Nic nie odstrasza bardziej niż puste wyniki
wyszukiwania. Wyłapywanie
literówek jest tym bardziej
istotne w przypadku wersji
W sklepie iperfumy.pl, pomimo literówki w nazwie kosmetyku, wyszukiwarka
zwraca poprawne wyniki.
Zdjęcia: Autor
P
oza prawidłowo
prowadzoną księgowością i rozliczeniami, poza napisanym
regulaminem sklepu i poszanowaniem praw klienta, takich
jak prawo do zwrotu towaru
i prawo do reklamacji, to tak
naprawdę coś innego „sprzedaje” produkty. To wygoda
kupowania. Po to przecież
wybieramy sklep internetowy. Kupowanie z kanapy jest
wygodniejsze, ale w związku
z tym - oczekujemy ekstremalnej wygody. Półśrodki są
niesatysfakcjonujące.
mobilnej sklepu. Wstukując
nazwę za pomocą klawiatury
ekranowej łatwiej o pomyłkę.
informacji o sobie i konieczność wcześniejszej rejestracji.
Wchodzimy na stronę, dodajemy produkty do koszyka i doPo trzecie: kategorie. Popiero „przy kasie” wymagana
wiedzmy otwarcie – kategory- jest jakaś akcja - z podaniem
zacja produktów według proadresu wysyłki i wyborem płatducenta to zły pomysł (mimo
ności. Poproszenie o te dane
że wiele sklepów tak robi).
za wcześnie będzie skutkowało
Dlaczego? Ponieważ niejedzniechęceniem klienta. Dobrą
nokrotnie klienci nie wiedzą,
praktyką jest oferowanie klienkto jest producentem danego
towi zakupów bez rejestracji,
produktu. Jesteśmy przywiąa konto w sklepie jest zakładazani do marek, a nie do prone „przy okazji”. Badania wyducentów. Bo gdyby chcieć
kazują, że najbardziej traumasegregować produkty według
tycznym momentem zakupów
producentów, to lody Algida
w internecie jest finalizacja
i Domestosa trzeba by wrzucić i płatność, a najwięcej porzudo jednej kategorii. „Pierwszy
ceń koszyka następuje właśnie
stopień” kategorii, czyli ten,
w momencie wypełniania końktóry widzi klient, na pierwszy
cowego formularza.
rzut oka nie powinien być zbyt
duży. Pokazując setkę kategorii, Po piąte: kontakt. Mówienie,
nie sprawimy, że poczuje on
że sklep internetowy „sam
bogatą ofertę naszego sklepu,
sprzedaje”, to bajka. Owale raczej ucieknie w popłochu. szem - nie trzeba siedzieć
w pomieszczeniu, kontroloPo czwarte: koszyk. Na każwać można go z dowolnego
dym kroku wymagajmy mimiejsca na świecie, a zakupy
nimum informacji od klienta.
można zrobić o trzeciej nad
Ludzi odstrasza podawanie
ranem, ale za każdym skle-
pem jest człowiek - czy może
raczej: obsługa klienta. Aby to
zilustrować, opowiem historię.
Kupowałem przez internet piżamę dla narzeczonej. Jestem
facetem i tabela rozmiarów
na stronie nic mi nie mówiła.
Musiałem dopytać kogoś
kompetentnego. I zrobiłem
to - przez czat z konsultantką
sklepu. Ja byłem zadowolony
z obsługi, a sklep - sprzedał
towar. Nie wolno zabierać
klientowi możliwości kontaktu
z obsługą sklepu i to nie tylko
w przypadkach reklamacji lub
zwrotu towaru, ale też w celu
zwykłej porady. Nadal „sklepikarz” to dla nas ktoś, kto zna
się na towarze i jego porada
może być nieoceniona.
Widziałem sklepy, które ukrywały na podstronach kontakt
z obsługą - a to nie dobrze.
Prowadzenie sklepu internetowego nie jest bardzo skomplikowane, ale warto to zrobić
dobrze, bo to prosta droga do
zwiększenia naszych zysków,
zwłaszcza że większość dostępnych na rynku systemów
sklepów jest całkiem nieźle
przygotowana pod względem
programistycznym. Powyższe
porady może wprowadzić
w życie sam właściciel sklepu
– nie wymagają, w większości,
zatrudniania programistów.
Wymagają tylko dokładnego
przemyślenia struktury towarów i należytego ich opisania.
Tylko tyle i aż tyle.
AUTOR:
Piotr A. Wasiak,
Tutaj nie dość, że jest zbyt wiele kategorii, to jeszcze produkty są posegregowane według producentów.
Prowadzi firmę KiWi
Creative Sp. z o.o.,
www.kiwicreative.pl
E-commerce
po północy,
czyli co dzieje się ze sklepem wieczorem
N
ieprzerwana praca
elektronicznego sklepu stanowi bezcenną wartość dodaną,
której nie posiadają tradycyjne
punkty handlowe. Możliwość
zrobienia zakupów w każdej
chwili oraz szybkość sprawdzenia cen konkretnego towaru sprawia, że klienci chętniej
korzystają z e-zakupów. Przeniesienie handlu do sieci to dla
wielu przedsiębiorców duży
potencjał zysku, ale także strat,
gdyż całodobowe kontrolowanie
sklepu bywa bardzo kłopotliwe,
12
a nocna aktywność oszustów
internetowych oraz przerwy
w systemach płatności i w funkcjonowaniu samego serwera,
dopełniają trudności w prowadzeniu sklepu internetowego.
Sklep internetowy
na celowniku oszustów
Wraz z rozwojem Internetu oraz
rozpowszechnieniem się e-sklepów, oszustwa internetowe stały
się zjawiskiem codziennym,
które bardzo często występuje
w wirtualnej rzeczywistości. Na
całym świecie już 65% internautów padło ofiarą e-przestępców.
Skala zjawiska w Polsce jest
niewiele mniejsza, bo poszkodowanych jest tu dwóch na pięciu
użytkowników sklepów internetowych, a tendencja ta wciąż
wzrasta, co potwierdzają oficjalne dane wskazujące na stały
wzrost liczby zgłoszonych
oszustw popełnianych za pośrednictwem Internetu. W 2008
roku zarejestrowano 4241 ataków oszustów internetowych,
a 2 lata później policja otrzymała
niemal dwa razy tyle zgłoszeń.
Zdjęcie: Fotolia
Internet nigdy nie zasypia, tak samo jak sklepy internetowe, tworzące całodobowe centra
handlowe, w których można kupić praktycznie wszystko. Nocne zakupy robi coraz więcej
osób, które dopiero późnym wieczorem mogą znaleźć chwilę wytchnienia, a przy tym kupić
kilka interesujących rzeczy. Pamiętać powinni o tym właściciele e-sklepów, którzy często
nie mają pojęcia, co dzieje się z ich sklepem wieczorem.
Zwiększa się nie tylko liczba
ataków, ale i ich skutki, a oszuści internetowi aktywni są przez
całą dobę. Jak pokazują badania, przeważająca liczba ataków
dokonywanych jest pod osłoną
nocy. Nocą najłatwiej jest ukryć
nieprawidłowe działanie witryny, a oszust w ciszy i spokoju
„pracuje po godzinach”, korzystając z szybkiej przepustowości łącz, nieobciążonych dużym
ruchem sklepu internetowego.
To właśnie wtedy oszust może
włamać się na stronę i na przykład przekierować aktywnych
użytkowników na własny formularz rejestracyjny, który będzie
wyświetlany jako fragment
strony e-sklepu. Skutki takiego
działania mogą być bardzo
niebezpieczne, począwszy
od kradzieży danych, poprzez
przywłaszczenie gotówki,
a nawet towaru. Warto podkreślić, że oczywiście to właściciel
sklepu odpowiedzialny jest za
bezpieczeństwo przeprowadzanych zakupów, a konsekwencje
prawne z powodu niedopilnowania i braku zabezpieczeń
mogą być brzemienne w skutki.
nych” jest jak najbardziej realny.
Podobnie bywa w przypadku
systemu płatności. Niektóre
banki bardzo często ogłaszają
prace techniczne właśnie po
północy, a przerwa w dostępie
może trwać nawet kilka godzin.
O ile w przypadku prac „konserwacyjnych” serwera właściciel
sklepu powinien być informowany z wyprzedzeniem o tego
typu niedogodnościach przez
swojego hostingodawcę, to
z kolei bank nie ma obowiązku
podawania tego typu informacji
właścicielom sklepów internetowych, a jedynie swoim aktywnym użytkownikom.
Straty finansowe
Jeśli przez godzinę nocnych
zakupów sklep dokonuje średnio 50 transakcji, a każda
z nich ma wartość ok. 200 zł,
to bardzo prosto policzyć, że
godzinna przerwa w działaniu
serwera lub przerwa w systemie płatności może przynieść
straty rzędu 10 000 zł. W tym
konkretnym przypadku należy
przyjąć scenariusz, że połowa
klientów powróci na witrynę za
Przerwy w systemach
kilka godzin, ewentualnie rano,
płatności i działaniu serwera
ale druga połowa musiała dokonać zakupu właśnie w tej chwiAtaki oszustów internetowych to li, a więc 25 osób przeniosło
jedno, a przerwy w systemach
się do konkurencji. Wówczas
płatności i działaniu serwera
szacowane straty będą o poto drugie. Obie rzeczy niekołowę niższe i wyniosą już tylko,
rzystnie wpływają na wizerunek
albo wciąż aż, 5000 zł. O ile
oraz pozycję e-sklepu na rynku
do przerwy w działaniu serweinternetowym. Jak wiadomo,
ra właściciel sklepu może się
na polskim oraz na światowym
przygotować i uprzedzić potenrynku nie istnieje hosting, który
cjalnych klientów, publikując na
oferuje 100% niezawodności,
witrynie odpowiedni komunikat,
więc przykład awarii serwera
to przerwa w systemie płatności
lub nocnych prac „konserwacyj- może okazać się bardzo nie-
przyjemnym w skutkach zaskoczeniem. Teoretycznie nie jest to
wina właściciela sklepu internetowego, jednak użytkownicy
internetu po tego typu „awarii”,
zniechęcają się do ponownego
skorzystania z zakupów w tym
konkretnym miejscu.
Straty wizerunkowe
Jeśli stały użytkownik sklepu
internetowego przyzwyczajony
jest do szybkiej realizacji zamówienia nawet w nocy i koniecznie musi kupić prezent dla
swojej mamy, której imieniny są
już jutro, może do takiej sytuacji
podejść z dystansem i zrozumieć możliwe problemy techniczne. Wówczas albo poczeka
do naprawienia usterki, albo
jednorazowo kupi towar u konkurencji, jednak kolejne zakupy
będzie robił w sklepie, do którego jest już przyzwyczajony. Jeśli
jednak sklep odwiedzi nowy
użytkownik, który – skuszony
niskimi cenami w porównywarkach cenowych lub reklamach
– przekieruje się na witrynę sklepu i na wstępie zobaczy komunikat o awarii lub pracach technicznych na serwerze, może już
nigdy do niego nie wrócić. Jeśli
będzie to jedna osoba, strata
może być niewielka, ale co, jeśli
stronę odwiedzi kolejne 1000
osób lub więcej?
AUTOR:
Tomasz Kuźniar,
prezes zarządu
Monit24.pl,
www.Monit24.pl
Marketing i sprzedaż
Krytyczne
15 sekund
T
ym razem napiszę o tym,
dlaczego jedni sprzedawcy sięgają po złote
medale, a inni nie łapią się
na podium.
Zwycięska przewaga
Jedną z najważniejszych idei
zarządzania i sprzedaży w XXI
wieku jest koncepcja zwycięskiej przewagi. Ta koncepcja
mówi, że małe różnice
w kompetencjach mogą przekładać się na potężne różnice
w rezultatach. Brian Tracy
twierdzi, że „pod względem
talentu i umiejętności najlepsi
nie różnią się aż tak bardzo
od przeciętnych ani nawet
słabych. Często o przewadze
decyduje kilka drobiazgów,
stosowanych konsekwentnie
raz za razem. Jeśli na przykład koń zwycięża w wyścigu
o włos, wygrywa dziesięć razy
więcej pieniędzy niż koń, który
przegrał z nim o ułamek sekundy. Pytanie brzmi: czy koń,
który wygrał o ułamek sekundy jest dziesięć razy szybszy
niż ten, który przybył na metę
jako drugi? Oczywiście NIE!”.
14
Sprzedawca jest jak ten koń
wyścigowy – ten, który wygrywa o włos, jest wart dziesięć razy więcej niż ten, który
przegrał o jedną setną sekundy. Dlatego tak ważne jest,
aby każdy proces sprzedażowy prowadzić z chirurgiczną
precyzją i pełnym zaangażowaniem. Jeśli chcesz odnieść
sukces w sprzedaży, musisz
dawać z siebie wszystko,
na każdym etapie procesu,
bo tylko wtedy możesz odnieść zwycięstwo.
Sprzedawcy najpierw
sprzedają siebie
Weź do ręki zegarek i pomilcz
przez 15 sekund. Ciekaw
jestem, ile to dla ciebie czasu? Dużo? Mało? Zapewne
powiesz, że to zależy, na co je
przeznaczysz. Ano, na zainteresowanie kogoś nieznajomego! Na pozyskanie jego uwagi.
Na opanowanie jego umysłu.
Na pobudzenie wyobraźni.
Na wywołanie ciekawości.
Jechałem kiedyś windą z jednym z uczestników konferencji
Briana Tracy’ego. Wcześniej
siedzieliśmy obok siebie na
sali, a potem udaliśmy się
na obiad do restauracji.
W pewnym momencie mężczyzna zagadnął:
– Podoba się panu Brian
Tracy?
Odpowiedziałem, że tak.
Wyjaśniłem, że jestem zafascynowany prostotą przekazu
Tracy’ego i skutecznością
technik, które promuje. Popatrzył na mnie nieco zdziwiony.
Widziałem, że nad czymś się
zastanawia. Wreszcie zaczął.
– Czym się pan zajmuje?
– spytał. Było to raczej pytanie
z kategorii „grzecznościowe”.
Świadczyło o tym to, że odwrócił ode mnie twarz.
– Ja? – byłem nieco zaskoczony tym pytaniem. Nie spodziewałem się go i nie bardzo
wiedziałem, co mam odpowiedzieć. I wtedy przyszło mi do
głowy, że mam unikalną możliwość wypróbowania w praktyce techniki, która nazywa
się „prezentacja w windzie”.
Ta myśl dodała mi sił. Wyprostowałem się i szeroko
uśmiechnąłem. Spojrzałem
na mojego rozmówcę.
Zdjęcie: Fotolia
Sprzedaż jest prosta i sprawiedliwa. Prosta, bo rządzi się jednoznacznymi zasadami.
W gruncie rzeczy jest zero-jedynkowa (sprzedajesz – nie sprzedajesz). Sprawiedliwa,
bowiem łatwo zmierzyć jej skuteczność i wyłonić zwycięzcę. Wszyscy startują w tej samej
konkurencji, w której liczy się tylko pierwsze miejsce. Srebrnych medali w sprzedaży nie ma.
- Wspieram ludzi w osiąganiu sukcesu – powiedziałem.
I wtedy to się stało. Zobaczyłem to doskonale. Rozmówca
odwzajemnił moje spojrzenie.
W jego oczach dostrzegłem
to, co spodziewałem się ujrzeć: szczerą, niekłamaną
CIEKAWOŚĆ. „Mam cię!”
– pomyślałem.
– A konkretnie? – jego głos
stał się emocjonalny.
Wyraźnie czekał na moją
odpowiedź. Długo rozmawialiśmy w trakcie obiadu.
Marek, bo tak miał na imię
mój towarzysz, zarzucił mnie
pytaniami o to, czym zajmuje się moja firma, dla kogo
pracujemy. A dwa dni później
przesłał na mój adres zapytanie ofertowe. Nie ma wątpliwości, że tym, co wywołało
gwałtowny zwrot w naszej
rozmowie i wzbudziło ciekawość Marka, była moja
„prezentacja w windzie”.
Dobrze wykorzystałem
swoje 15 sekund na nawiązanie relacji z nowym, potencjalnym klientem.
Prezentacja w windzie
Zanim odpowiem ci na pytanie, czym jest „prezentacja
w windzie”, zgadnij, przedstawiciele jakich profesji przykuwają uwagę swoich klientów
tymi deklaracjami:
• „ Przywracam ludziom
uśmiech”,
• „Pomagam ludziom realizować marzenia”,
• „Na czas, na miejsce,
na pewno”,
• „Zdejmuję naszym klientom
kłopoty z głowy”.
Te cztery zdania to doskonałe
przykłady niezwykle inspirujących „prezentacji w windzie”.
Pierwszy wykorzystuje amerykański dentysta, drugi – polski
bankowiec, trzeci to slogan
jednej z polskich firm kurierskich. Czwarty przykład jest
mi najbliższy. Posługuje się
nim jedna z moich znajomych.
I co ważne: naprawdę to robi!!!
Czym więc jest „prezentacja
w windzie”, narzędzie o takiej
sile oddziaływania? To krótki
i mocny w swojej wymowie,
często metaforyczny slogan,
oddający istotę wartości
dla klienta i naszą przewagę
konkurencyjną. Każdy sprzedawca powinien mieć swoją
własną „prezentację w windzie”. Im silniejsza będzie
twoja „prezentacja w windzie”,
tym większą masz szansę
na sukces!
Dzisiaj klienci nie mają czasu
na długie rozmowy i głębokie
analizy. Do podjęcia decyzji
potrzebują silnego bodźca,
łączącego w sobie wartość
twojej oferty i emocje. Mamy
nie więcej niż 15 sekund,
w trakcie których MUSIMY
zdobyć najpierw uwagę,
a potem zainteresowanie
osoby, z którą rozmawiamy. Od tych 15 krytycznych
sekund zależy, czy w ogóle
będziemy mieli szansę zaprezentować naszą ofertę.
Twoja sprzedaż coraz częściej
będzie zależała od 15 pierwszych sekund kontaktu
z klientem. Pamiętaj o tym!
AUTOR: Robert
St. Bokacki, Country
Manager Wiceprezes,
CEO Kontekst HR
International Group,
www.konteksthr.pl
e-Commerce
Bezpieczeństwo
potwierdzone
Certyfikatem
Informacja w firmie staje się coraz ważniejszym aktywem biznesowym. Dlatego też tak ważne
jest, aby zadbać o jej odpowiednie zabezpieczenie. Bezpieczeństwo informacji wiąże się z ochroną
przed różnorodnymi zagrożeniami zewnętrznymi, ale i wewnętrznymi, w taki sposób, aby zapewniona była ciągłość działania organizacji oraz zminimalizowane ryzyko niebezpieczeństwa.
N
ie ulega wątpliwości,
że podczas zakupów
w Internecie łatwo
wpaść w różnego
rodzaju „pułapki bezpieczeństwa”. W dzisiejszym
świecie branża e-commerce rozwija się bardzo szybko, powoli
zastępując tradycyjne kanały
dystrybucji. Podstawową
przewagą, jaką należy tutaj
wyróżnić, jest szybkość realizowania zamówienia, dlatego
też powinniśmy zwracać uwagę
na jakość komunikacji, którą
się posługujemy. Szeroko
rozumiane bezpieczeństwo
w sieci można budować na
wiele sposobów i tym samym
ograniczać nadużycia związane
między innymi z pozyskiwaniem
nowych klientów i kontrahentów. Istnieje kilka ważnych
zasad, których należy przestrzegać i je stosować: przede
wszystkim powinniśmy kupować u zaufanych sprzedawców, zwracać uwagę na
wygląd witryny internetowej
sprzedawcy oraz na to,
czy firma ją prowadząca
wzbudza zaufanie. Należy
16
też szczegółowo zapoznać się
z regulaminem zakupów i polityką ochrony danych. O tym, że
zakupy powinniśmy robić tylko
za pośrednictwem bezpiecznych witryn (posiadających certyfikat SSL, o czym świadczy
protokół HTTPS używany
podczas komunikacji), a dane
osobowe podawać tylko wtedy,
gdy jest to konieczne do realizacji zamówienia. Jednym
z ważnych narzędzi budujących
bezpieczeństwo informacji firmy
oraz wiarygodną komunikację
są różnego rodzaju certyfikaty.
Jak przekonują jednak eksperci, nie każde wyróżnienie
jest tak samo skutecznym
narzędziem wspierającym.
Ważne jest przede wszystkim,
aby marka certyfikatu była
wiarygodna oraz aby wartości,
jakie reprezentuje, były zgodne
z wartościami, którymi kieruje
się dana firma.
Jakie certyfikaty
warto posiadać?
Z roku na rok przybywa certyfikatów i nagród, którymi firmy
mogą się wspierać przy budowaniu swojego wizerunku.
To tytuły przyznawane przez instytucje, organizacje, fundacje,
media, albo takie, które firma
może zdobyć jedynie w wyniku
głosowania swoich klientów.
W Polsce funkcjonuje kilkadziesiąt różnego typu certyfikatów
i przyznawanych tytułów dla
firm. Większość z nich ma
cha-rakter „kupowanej laurki”. Jednak niektóre, dzięki
powielaniu corocznych edycji
wzmacnia-nych medialnymi
kampaniami, stały się rozpoznawalne wśród klientów. Takie
tytuły, jak godło „Teraz Polska”
czy „Gazele Biznesu”, są marką
kojarzoną przez większość
społeczeństwa. Zarówno kryteria przyznawania certyfikatów, jak i koszty związane
z ich uzyskaniem są bardzo
zróżnicowane: są takie nagrody, którym wystarcza sama
obecność produktu na rynku,
nie ma tutaj konieczności
zgłaszania go przez producenta – przykładem może być
„Laur Klienta”. Ale są również
nagrody, których zdobycie
wymaga od firmy spełnienia
wielu różnych warunków, np.
„Solidna Firma”. Wywiadownia
gospodarcza Dun&Bradstreet
(D&B) wydaje Certyfikat
„Przejrzysta” Firma. Jedynym
kryterium uzyskania tego tytułu
jest opublikowanie sprawozdania finansowego w Monitorze
Polskim, złożenia go do KRS
bądź przesłania do D&B.
Jednym z najmłodszych certyfikatów na rynku jest „Certyfikat Firmy Wiarygodnej
Finansowo”, firmowany przez
Biuro Informacji Gospodarczej
InfoMonitor S.A. Certyfikat ten
stanowi rzeczywiste odzwierciedlenie sytuacji finansowej
firmy oraz jej wiarygodności.
Aby przedsiębiorca mógł się
pochwalić jego posiadaniem,
jego firma powinna spełniać
kilka warunków: przede wszystkim musi działać na rynku
co najmniej od 6 miesięcy.
Zostanie również sprawdzony
przez BIG InfoMonitor pod
kątem ewentualnych zaległości
płatniczych w Rejestrze
Dłużników BIG oraz w bazach
bankowych Biura Informacji
Kredytowej i Związku Banków
Polskich. Przed przyznaniem
Certyfikatu BIG InfoMonitor
weryfikuje rzetelność danej
firmy, co sprawia, że dokument ten jest jeszcze bardziej
wiarygodnym potwierdzeniem,
iż dany przedsiębiorca to partner, któremu – pod względem
finansowym – można zaufać.
Dodatkowym kryterium jest
również brak zaległości samego
właściciela firmy, co również
jest sprawdzane w trzech
wymienionych wyżej bazach.
Szczególną odmianą „Cer-
tyfikatu Firma Wiarygodna
Finansowo” jest „Sklep Wiarygodny Finansowo” – certyfikat
dedykowany dla sklepów internetowych. Posiadacze takiego
certyfikatu mogą być dodatkowo oznaczeni w serwisach
Skąpiec.pl oraz Opineo.pl.
comiesięcznej opłaty, ale też
w pewien sposób nobilituje
firmę, powoduje podniesienie
jej wiarygodności w oczach
klientów. Z drugiej strony, jeśli
firma posiada certyfikat, uczestniczy w systemie oceniania
(np. w systemie Opineo.pl)
sklepów, powoduje to też efekt
Obok programu „Firma Wiarymobilizowania właściciela
godna Finansowo” realizowane- sklepu do ciągłego podnoszego przez BIG InfoMonitor jest
nia jakości swoich usług.
program „Rzetelna Firma i Cer- Ma to szczególnie duże
tyfikat Rzetelności” wydawany
znaczenie dla mniejszych
przez KRD (za pośrednictwem
sklepów albo sklepów dopiespecjalnie powołanej do realiza- ro rozpoczynających swoją
cji tego projektu firmy Rzetelna działalność – tutaj każdy klient
Firma Sp. z o.o.). Jednak
jest na wagę złota. Jednak duże
w tym przypadku jedynym
sklepy internetowe również
warunkiem uzyskania „Certypowinny zwrócić uwagę na
fikatu Rzetelności” jest brak
posiadanie certyfikatów.
informacji gospodarczych
Na wciąż zmieniającym się
dotyczącej tej firmy w bazie
rynku, na którym walka o klienKrajowego Rejestru Długów.
ta trwa 24 godziny na dobę,
7 dni w tygodniu, posiadanie
O ile certyfikaty „Rzetelna
certyfikatu może być ważną
Firma” oraz „Certyfikat Firma
przewagą konkurencyjną,
Wiarygodna Finansowo”
szczególnie z punktu widzenia
oferowane są zarówno firmom
klientów. Jeśli bowiem klient
prowadzącym działalność
natrafi w Sieci na dwa sklepy
w Internecie, jak i poza nim,
ze zbliżonymi cenami, ze zblio tyle są też na rynku certyżonym asortymentem, bywa,
fikaty istniejące tylko w Sieci.
że wybiera ten sklep, któremu
Jednym z nich jest „Trusted
bardziej zaufa – a w takim
Shops” – przedstawiający się
przypadku certyfikat może
jako znak jakości. Oprócz tego, mieć ogromne znaczenie.
że firma może wykupić taki certyfikat, to jest ona jednocześnie
AUTORZY:
oceniana w systemie Trusted
Diana Borowiecka,
Shops przez swoich klientów,
specjalista
co zapewnia bezstronność
ds. Public Relations,
www.infomonitor.pl
i dodatkowo uwiarygodnia firmę.
Czy warto mieć certyfikat?
Wartościowych certyfikatów,
takich, których posiadanie
nie ogranicza się jedynie do
Dawid Federowicz,
specjalista
ds. e-Commerce,
www.infomonitor.pl
Zabezpieczenia
Europe΄s leading conversion engine
Jak bezpiecznie
kupować w sieci?
Kluczowe zasady e-klienta
Zakupy dokonywane w internecie mogą być często bezpieczniejsze od tych dokonywanych
w tradycyjnych sklepach. Obecnie stosowane zabezpieczenia, w tym szyfrowanie połączeń
algorytmami SSL, skutecznie to umożliwiają. Jeśli płatności dokonujemy z odpowiednio
zabezpieczonego komputera domowego, ryzyko kradzieży naszych danych jest znikome.
1) Bezpieczny komputer,
z którego dokonujemy
zakupów - podstawowa
ochrona w postaci zapory
sieciowej, uaktualniany skaner antywirusowy i w pełni
załatany system operacyjny
(instalowanie aktualizacji
na bieżąco);
2) Róbmy zakupy w zna-nych
i renomowanych sklepach
internetowych, a w przypadku mniejszych serwisów
sprawdzajmy ich wiarygodność. Wybierajmy sklepy
AUTORZY:
Justyna Skorupska,
dyrektor zarządzający FACT-Finder®
Partner Polska,
Członek Komitetu
Założycielskiego
e-Commerce Polska,
www.infomonitor.pl
Mateusz Falkowski,
eCommerce Consultant FACT-Finder®
Partner Polska,
www.fact-finder.pl
z certyfikatami zaufania, szukajmy opinii o sprzedawcy;
3) Wpisujmy adres strony
ręcznie - uzyskujemy
pewność, że jesteśmy na
oryginalnej stronie e-sklepu;
4) Upewnijmy się, że transmisja danych odbywa się
w bezpiecznym połączeniu
(protokół SSL), że na początku adresu witryny widnieje
„https” zamiast „http”. W dole
ekranu szukajmy symbolu
kłódki, symbolizującej bezpieczne połączenia;
5) Godne zaufania strony
zazwyczaj oferują różne
opcje płatności, z których
najpopularniejsze to karta
kredytowa oraz szybkie,
bezpośrednie płatności
za pośrednictwem różnych
banków. Jeżeli ktoś żąda
płatności z góry i jest to
jedyna opcja, skorzystanie
z niej może być ryzykowne;
6) Po zakończeniu czynności
związanych z obsługą
konta wylogujmy się.
7) Z
achowujmy korespondencję ze sprzedawcą,
zapoznajmy się z regulaminem sklepu;
8) S
klepy internetowe oferują
możliwość zwrotu zakupionych towarów. To
oznacza, że możesz szybko sprawdzić otrzymany
produkt i w ciągu 10 dni bez
konieczności podawania
powodu odstąpić od umowy
(produkt trzeba odesłać
w ciągu kolejnych 14 dni).
Sprzedawca ma obowiązek
o tym poinformować klienta.
Jeśli tego nie zrobi, termin
na odstąpienie od umowy
wydłuża się do 3 miesięcy.
Wbrew powszechnej opinii,
transakcje dokonywane kartą
kredytową przez internet mogą
być bezpieczne, a na pewno
mniej ryzykowne od tych
w rzeczywistości. Podczas
zakupów w sieci, podobnie jak
podczas ich tradycyjnej formy,
powinniśmy po prostu zachować
zdrowy rozsądek i z dystansem
podchodzić do wszystkich
„fantastycznych” ofert.
Zdjęcie: Fotolia
P
oniżej kluczowe zasady
bezpiecznego korzystania
z zakupów internetowych:
Zarejestruj swój sklep i bądź zgody z przepisami ochrony danych osobowych
i ustaw regulujących handel w internecie:
• wygeneruj dokumentację wymaganą podczas kontroli GIODO
• zarejestruj swoje zbiory danych osobowych
• sprawdź regulamin czy nie zawiera klauzul abuzywnych
• korzystaj ze sprawdzonych szablonów regulaminów
• zdobywaj wiedzę dzięki selektywnemu e-learningowi
Dlaczego warto?
• taniej niż w tradycyjnej firmie doradczej lub kancelarii prawnej
• prostota i wygoda pracy
• usługa dedykowana sklepom internetowym, a nie szablony
• możliwość przetestowania wybranych usług za darmo
www.segido.pl
[email protected]
Tel. +48 22 379 63 95
Nasi klienci:
Rozmowa
Wskazania zawarte
w rozporządzeniu z 2004 r.
są przestarzałe
wywiad z dr. Wojciechem Rafałem Wiewiórowskim,
Generalnym Inspektorem Ochrony Danych Osobowych
Data wywiadu: 21 grudnia 2012 r.
Redakcja: Czy sklepy internetowe mają świadomość,
że istnieje ustawa o ochronie danych osobowych?
To pytanie nasuwa się, gdy
weźmie się pod uwagę fakt,
że liczba sklepów internetowych jest znacznie większa
niż liczba zbiorów danych
osobowych zgłoszonych
do rejestracji GIODO?
Dr Wojciech Wiewiórowski:
Wbrew pozorom wniosków
o rejestrację zbiorów danych
osobowych składanych przez
różnego rodzaju serwisy
internetowe, w tym sklepy internetowe, jest całkiem sporo.
20
wiązku zgłoszenia zbioru danych osobowych do rejestracji
nie bylibyśmy zwolnieni. Przy
okazji warto dodać, że ustawa
o ochronie danych osobowych
nie zabrania handlu tymi danymi. Jest on dopuszczalny, ale
wówczas trzeba spełnić obowiązki, które wynikają z jej
przepisów. Uważam, że ze
świadomością istnienia przepisów o ochronie danych osobowych nie jest tak źle. Dużo
większe zastrzeżenia miałbym
co do sposobu zabezpieczania
danych osobowych w sklepach
internetowych niż np. do spełniania przez nie obowiązków
związanych z rejestracją
zbiorów czy dopełnianiem
tzw. obowiązku informacyjnego.
Redakcja: Zarówno przepisy
ustawy o ochronie danych
osobowych, jak i wydane na
jej podstawie rozporządzenie z 2004 r. określają wymogi dotyczące zabezpieczenia
danych osobowych. Czy jednak sklepom internetowym
można zarekomendować
jakieś standardowe rozwiązania w tym zakresie?
Przede wszystkim trzeba pamiętać, że same sklepy inter-
Zdjęcia: Prevent Magazine
ROZMÓWCA:
dr Wojciech Rafał Wiewiórowski,
Generalny Inspektor Ochrony Danych
Osobowych
Niekiedy trudno jest rozróżnić,
co jest sklepem internetowym,
a co serwisem internetowym,
ponieważ działalność handlowa jest niekiedy jedynie częścią działalności serwisu internetowego. Każdy najprostszy
poradnik, nawet internetowy,
dotyczący tego, jak prowadzić
sklep internetowy, zawiera
informacje odnoszące się
do obowiązków e-sklepów
wynikających z ustawy
o ochronie danych osobowych.
Główny problem, który pojawia
się u prowadzących sklepy
internetowe, to ustalenie, w jakich sytuacjach należy dokonywać rejestracji zbiorów danych
osobowych, a w jakich istnieją
w tym zakresie pewne zwolnienia. O ile dane, które pozyskujemy od klienta, wykorzystujemy wyłącznie celu wystawienia
faktury, rachunku lub prowadzenia sprawozdawczości
finansowej, to zawierającego
je zbioru danych nie musimy
zgłaszać do rejestracji GIODO.
Jednak gdybyśmy dane klienta zamierzali wykorzystywać
w innych celach, np. marketingowych, albo udostępniać
je współpracującym z nami
firmom bądź po prostu nimi
handlować, wówczas z obo-
netowe i konstrukcja oferowanych przez nie usług bardzo
różnią się między poszczególnymi sklepami. W związku
z tym trudno jest wydać jeden
rodzaj zaleceń, które skierowane byłyby do wszystkich
podmiotów będących e-sklepami bądź wykonującymi
„sklepopodobne” działania.
Przecież serwis aukcyjny
to też pewnego rodzaju sklep.
Serwis, który nastawia się
na promocję muzyki danego
zespołu, też może być sklepem, o ile prowadzi sprzedaż
nagrań zespołu lub związanych z nim gadżetów. Zatem
e-sklepy mogą bardzo się od
siebie różnić, podobnie jak
zestaw zbieranych przez nie
danych. Jeżeli weźmiemy pod
uwagę, że sklepy internetowe sprzedają czasem sprzęt
medyczny, może się okazać,
że część danych, które na te
potrzeby pozyskują od swoich
klientów, ma charakter danych
wrażliwych, podlegających
szczególnej ochronie.
To utrudnia operowanie danymi i wymaga stosowania
dodatkowych zabezpieczeń.
Wskazania, które zostały
zawarte w rozporządzeniu
z 2004 r., zdaniem zarówno
rynku, jak i Generalnego Inspektora są przestarzałe. Dlatego mamy zamiar dokonać
zmiany tego aktu prawnego.
W tej chwili zespół utworzony
na zewnątrz Biura Generalnego Inspektora Ochrony Danych Osobowych opracowuje
stosowną propozycję. Przy
czym nie będzie to odświeżenie przepisów z 2004 r., lecz
nowe spojrzenie na kwestie
stosowania właściwych zabez-
pieczeń. Warto bowiem przeanalizować, czy rzeczywiście
powinny one przesądzać, że
hasło służące do uwierzytelniania użytkowników w systemie informatycznym powinno
mieć minimum 6 znaków
i być zmieniane nie rzadziej
niż co 30 dni, czy też może
powinny odwoływać się do
pewnego rodzaju norm, standardów czy formalnych specyfikacji, które na rynku istnieją.
Przecież wiele instytucji dokonuje oceny ryzyka choćby
według pewnego rodzaju
schematów przyjętych przez
międzynarodowe organizacje
zajmujące się audytem systemów teleinformatycznych lub
stosuje się do ustaleń zawartych w Polskich Normach albo
w normach przyjętych przez
inne organizacje standaryzacyjne. Chodzi więc raczej
o ponowne przemyślenie, na
czym polega bezpieczeństwo
informacji Anno Domini 2013,
a nie odświeżenie rozporządzenia Anno Domini 2004.
Redakcja: Kiedy można
się spodziewać wyników
tych prac?
Chciałbym, żeby w styczniu
bądź lutym 2013 roku propozycja takiego rozwiązania
została poddana konsultacjom środowiskowym. Proszę pamiętać, że Generalny
Inspektor Ochrony Danych
Osobowych nie ma inicjatywy
ustawodawczej. W jego
kompetencjach nie leży też
wydawanie rozporządzeń.
Z pewnością takie rozporządzenie powinno być wydane
przez ministra właściwego do
spraw administracji, bo to on
jest w tej chwili za nie odpowiedzialny. Jednak zanim
Ministerstwo Administracji
i Cyfryzacji zacznie je przygotowywać, chcemy przeprowadzić dyskusję środowiskową
w tej sprawie. Niemniej wiemy,
że samo Ministerstwo zdaje
sobie sprawę, że wypracowanie tego typu rozwiązania
w 2013 r. jest konieczne.
Redakcja: Optymistycznie
patrząc – czy koniec 2013
roku jest terminem realnym?
Bardzo trudno jest przewidywać tempo procesu legislacyjnego, zwłaszcza gdy
przygotowywane zmiany nie
są wymuszone np. stanowiskiem Komisji Europejskiej
czy jakimś skandalem. Bardzo
dobrze kwestię tę obrazuje
tempo prac nad zmianą ustawy o świadczeniu usług drogą
elektroniczną. Zostały one
rozpoczęte w roku 2009, gdy
jeszcze pracowałem w Ministerstwie Spraw Wewnętrznych i Administracji. Wiedzieliśmy, że dokonanie zmian jest
potrzebne, ale ich przygotowywanie rozpoczęliśmy właśnie od konsultacji społecznych. Jednocześnie byliśmy
ciekawi, jak długo będą trwały
te prace. Jak wspomniałem,
gdy je rozpoczynaliśmy, była
wiosna 2009 r. Obecnie mamy
początek roku 2013 i, według
mojej wiedzy, rząd jest w tej
chwili przygotowany, żeby
przyjąć ostateczną wersję
projektu ustawy.
Redakcja: Czy rok 2013
będzie rokiem wiążącym?
Rozmowa
Myślę że tak, bowiem powszechne jest przekonanie,
iż obecne rozwiązania są
przestarzałe. Poza tym fakt,
że eksperci na zewnątrz Biura
GIODO wykonali pewną pracę, pozwoli nam w 2013 roku
rzeczywiście ruszyć z pracami
w sposób zorganizowany
i szybki.
Redakcja: Wracając do
obowiązków sklepów internetowych, czy mógłby Pan
Minister wskazać, które
z prowadzonych przez siebie
zbiorów danych powinny one
rejestrować, a które nie?
Z pewnością do rejestracji
należy zgłaszać zbiory, które zawierają dane osobowe
wykorzystywane w celach
marketingowych, na potrzeby
prowadzenia różnego rodzaju
akcji lojalnościowych albo
do utrzymywania kontaktów
z klientami. Przy okazji warto
wspomnieć, o czym właściciele sklepów internetowych
nie zawsze wiedzą, że niekiedy adres mailowy może mieć
charakter danych osobowych.
Jeśli jego częścią jest np. imię
i nazwisko, już wówczas
może być uznany za dane
osobowe, a już tym bardziej,
gdy w dalszej jego części pojawia się np. nazwa konkretnej
firmy czy instytucji. Jeżeli
w adresie mailowym pojawia
się fraza „Wojciech Wiewiórowski” powiązana choćby
z nazwą Uniwersytetu Gdańskiego, którego jestem pracownikiem naukowym, to
wiadomo, że jest to informacja
22
dotycząca konkretnej osoby,
możliwej do zidentyfikowania
bez większego problemu.
Redakcja: Jeśli już jesteśmy
przy temacie marketingu,
to kontrowersje budzi łączenie zgody na przetwarzanie
danych osobowych w celach
marketingowych ze zgodą na
otrzymywanie informacji handlowych drogą elektroniczną.
Są to dwie różne zgody, których pozyskiwanie wynika
z dwóch różnych podstaw
prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych
drogą elektroniczną wynika
informację handlową do osób,
które nie są zidentyfikowane
jako osoby fizyczne i odwrotnie, możemy identyfikować
osoby fizyczne i nie chcieć
przekazywać im informacji
handlowych drogą elektroniczną. Należy więc odróżniać
przepisy antyspamowe
od przepisów związanych
z ochroną danych osobowych.
Przy okazji chciałbym podkreślić, że rejestracja zbiorów
danych osobowych przestała
być czynnością trudną. Dowodzi tego m.in. liczba zbiorów zgłaszanych w tej chwili
do rejestracji GIODO, która
wzrosła szczególnie od czasu, gdy wprowadzona została
Niekiedy adres mailowy może mieć charakter
danych osobowych – jeśli jego częścią jest
np. imię i nazwisko, a tym bardziej gdy dodatkowo pojawia się nazwa konkretnej firmy.
z ustawy o świadczeniu usług
drogą elektroniczną. Z kolei
w określonych sytuacjach,
kiedy dane osobowe naszych
klientów chcemy wykorzystywać w celach marketingowych, to na takie działanie
musimy pozyskać ich zgodę
wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione
ustawy przewidują, że zgody
nie można domniemywać
z oświadczenia woli o innej
treści, to jednak przesyłanie
informacji handlowych drogą
elektroniczną jest innym działaniem niż wykorzystywanie
danych osobowych w celach
marketingowych. Proszę pamiętać, że możemy przesyłać
możliwość dokonywanie tej
czynności drogą elektroniczną. Wkrótce nie będzie nawet
konieczne wysyłanie wersji
papierowej zgłoszenia, jeżeli
korzystać będziemy z podpisu
weryfikowanego za pomocą
profilu w ePUAP. Jednocześnie
dzięki udostępnieniu na stronie internetowej Generalnego
Inspektora Ochrony Danych
Osobowych odpowiednich formularzy, zawierających system
podpowiedzi i wymuszających
podanie określonych informacji, coraz rzadziej mamy
do czynienia z sytuacją, gdy
trzeba prowadzić postępowanie polegające na uzupełnieniu
braków formalnych zgłoszeń.
To, oczywiście, cieszy, ale
bez wątpienia spowodowało
znaczący wzrost liczby zgłaszanych do rejestracji zbiorów
- jeszcze dwa-trzy lata temu
wpływało ich rocznie 8-9 tys.,
a w roku 2012 liczba ta wzrosła
do prawie 20 tys. Wzrost jest
zatem prawie dwukrotny.
To dowodzi m.in. tego, jak wiele zbiorów nie było do tej pory
zgłaszanych do rejestracji.
Podejmujemy działania edukacyjne w tym zakresie, biorąc
pod uwagę m.in. fakt, że dopełnianie obowiązku zgłoszenia zbioru danych do rejestracji
wymaga jednocześnie dokonania przemyśleń dotyczących bezpieczeństwa systemu
teleinformatycznego, który jest
przez nas wykorzystywany.
Redakcja: Sklepy internetowe bardzo często korzystają
z Allegro. Mają tam swoje
profile. Robiąc zakupy
w sklepie internetowym dostępnym za pośrednictwem
Allegro, spotkaliśmy się
z praktyką, że sklep, wykorzystując dane z Allegro,
zakłada konto bezpośrednio
w swoim sklepie, który jest
odrębną stroną internetową
od Allegro. Czy taka praktyka jest zgodna z prawem?
Musiałbym przeanalizować
konkretny przypadek, by powiedzieć, czy określona praktyka stosowana przez dany
podmiot jest zgodna z prawem, czy nie. Proszę pamiętać, że inaczej sytuacja będzie
wyglądała w przypadku,
w którym rzeczywiście przetwarzamy dane osobowe, czyli
dane konkretnej osoby, która
tworzy swoje konto indywidualne, a inaczej, gdy tworzone
jest konto firmowe, a przetwarzane dane nie dotyczą
konkretnej osoby fizycznej,
lecz firmy. Również nie do
końca wiem, na czym polega
wykorzystywanie danych
z Allegro i jakie są to dane.
To, że ktoś wykorzystuje możliwości logowania się za pomocą dostarczonego z zewnątrz
urządzenia, tak jak logujemy
się czasem za pomocą narzędzi pochodzących z różnych
serwisów społecznościowych,
nie oznacza jeszcze, że mamy
do czynienia z przenikaniem
danych pomiędzy serwisami.
Raczej wykorzystujemy usługę
jednego podmiotu do zrealizowania jakiegoś innego działania. Nie jestem w stanie udzielić odpowiedzi wspólnej dla
wszystkich przypadków, które
mogą mieć miejsce.
Redakcja: Jak traktować
dane, które uzyskują sprzedawcy na Allegro? Czy są to
dane sklepów, czy też dane
Allegro? Ludzie zakładają konto na Allegro, wśród
tych kont mamy również
konta sklepowe i użytkownik kupuje bezpośrednio
w sklepie, czyli sklep za
pośrednictwem Allegro ma
dostęp do danych. Czy ten
stan można traktować jako
powierzenie przetwarzania
danych?
Kluczowa w tym przypadku
jest odpowiedź na pytanie, kto
decyduje o celach i środkach
przetwarzania danych. Jeżeli
o celach przetwarzania da-
nych decyduje sklep, który
znajduje się poza Allegro,
to nie ma najmniejszej wątpliwości, że powstał odrębny
zbiór danych. To, że te dane
są pozyskiwane z miejsca
publicznie dostępnego, nie
oznacza, że tracą one charakter danych osobowych. Możemy mieć najwyżej podstawę
uprawniającą nas do ich przetwarzania. Jednak jeśli stworzyliśmy odrębny zbiór danych, musimy dopełnić m.in.
tzw. obowiązku informacyjnego wobec osoby, której dane
zebraliśmy i przetwarzamy.
Redakcja: Częstą praktyką
jest logowanie się przez
Facebook i problemem jest
dopełnienie tego obowiązku.
Czy mógłby Pan coś zalecić
w tym zakresie firmom,
które stosują tego typu
rozwiązania?
Przede wszystkim powiem,
że obowiązek informacyjny
jest obowiązkiem wynikającym
z polskiego prawa i jeżeli ktoś
ma kłopoty z jego spełnieniem, nie oznacza, że się go
pozbył. Dlatego nie podejmujmy działań, które spowodują,
że nie będziemy w stanie spełnić obowiązku wynikającego
z ustawy.
Redakcja: Przejdźmy do
tematu nowelizacji ustawy
o ochronie danych osobowych w kontekście funkcji
ABI. Czy te działania są już
bardziej zaawansowane?
Różne informacje można
znaleźć na ten temat
w Internecie…
Rozmowa
Wedle mojej wiedzy, z dużego
pakietu deregulacyjnego,
który został przygotowany
w Ministerstwie Gospodarki,
do dalszego procedowania
wybrano jedynie część przepisów. Wśród nich nie znalazły
się te dotyczące administratora bezpieczeństwa informacji
(ABI). Po części ze względu na
to, że zaczęły być torpedowane przez niektóre środowiska
biznesowe. W tej chwili są
przedmiotem dalszych rozważań w Ministerstwie Gospodarki i mają być uwzględnione
w kolejnym pakiecie deregulacyjnym. Trudno mi zrozumieć
argumenty tej grupy, która nie
chce wprowadzenia tych przepisów do ustawy, zważywszy
że są one alternatywne, a więc
można zostać przy dzisiejszym
systemie albo wprowadzić
rozwiązania, które są proponowane w pakiecie deregulacyjnym. Jeśli jednak biznes nie
jest w stanie porozumieć się
w tej kwestii, pewnie na razie
obowiązywać będą dotychczasowe unormowania.
Redakcja: Ponadto jest też
cień rozporządzenia europejskiego, które gdzieś
się czai.
Co do unijnego rozporządzenia to faktycznie należy przypuszczać, że w roku 2014,
w tej czy innej formie, jednak
się pojawi. Znajdą się w nim
również przepisy dotyczące
inspektorów ochrony danych,
czyli odpowiedników naszych
administratorów bezpieczeństwa informacji.
24
Redakcja: Czy są szanse na
to, że za jakiś czas informacje o osobach fizycznych
prowadzących działalność
gospodarczą zostaną wyłączone spod reżimu ustawy
o ochronie danych osobowych, tak jak to miało miejsce przed 1 stycznia 2012 r.,
a więc gdy funkcjonowała
ustawa Prawo działalności
gospodarczej? Słyszałem
informację, może plotkę,
że trwają prace mające
na celu przywrócenie stanu
poprzedniego.
Ja również ze strony Ministerstwa Gospodarki słyszałem
informację, że taka zmiana jest
planowana. My przeciwko niej
nie oponujemy, bo stanowisko
GIODO od początku istnienia
urzędu było takie, że dane osobowe przedsiębiorców mogą
podlegać innej regulacji niż
klasyczne dane osobowe.
Z drugiej strony mogę powiedzieć, że od 1 stycznia 2012 r.
przedsiębiorcy przestali być
traktowani jako obywatele drugiej kategorii i traktowani są tak
jak każdy obywatel w tym kraju.
Niemniej jeśli Ministerstwo
Gospodarki uważa, że dobrym
rozwiązaniem jest przywrócenie
poprzedniego rozwiązania, nie
będziemy tego utrudniać.
Redakcja: Czy takie rozwiązania zostały przyjęte
w innych państwach Unii
Europejskiej – że jednoosobowa działalność gospodarcza jest chroniona tamtejszymi przepisami o ochronie
danych osobowych. Czy Pan
Minister ma taką wiedzę?
Są kraje, w których dane osób
prowadzących działalność gospodarczą podlegają ochronie
jak dane osobowe. Niemniej
są też kraje, w których zakres
swobody przetwarzania
danych, które znajdują się
w obrocie gospodarczym, jest
jeszcze większy niż w Polsce. Na przykład w niektórych
państwach dane dotyczące
rozliczeń podatkowych, nawet
osób fizycznych, są danymi,
które są powszechnie możliwe do przetwarzania. W tym
zakresie wciąż istnieją bardzo
duże różnice między krajami
członkowskimi UE.
Redakcja: Dlaczego w ogóle
warto interesować się tematem Dnia Ochrony Danych
Osobowych? Czy warto
przyjść na takie spotkanie?
W czasie Dnia Ochrony Danych Osobowych zawsze
organizujemy dużą konferencję, która jest poświęcona
jakiemuś zagadnieniu, które
będzie bardzo ważne w danym roku kalendarzowym. Tak
było z retencją danych telekomunikacyjnych dwa lata temu.
Tak było w zeszłym roku, jeśli
chodzi o rejestry publiczne.
W tym roku jako temat wybraliśmy dane osobowe w ochronie zdrowia i w badaniach
klinicznych, uznając, że choć
większość rozwiązań prawnych w tym zakresie przyjęto
w roku 2011 i 2012, to jednak
w roku 2013 i 2014 zaczną
one obowiązywać w praktyce.
W 2013 roku zostaną bowiem
zbudowane systemy teleinfor-
matyczne, które będą
wykorzystywane do przetwarzania danych medycznych.
Wydaje mi się, że zarówno
z punktu widzenia pacjenta,
jak i z punktu widzenia tego,
który udziela świadczeń medycznych, a więc lekarza,
pielęgniarki, położnej czy
w końcu placówki ochrony
zdrowia, to, jak będą przetwarzane dane medyczne i do
jakich danych medycznych
będziemy mieli dostęp, jest
kluczowe. Kwestia ta jest
też kluczowa dla biznesu.
Zarówno ze względu na konieczność stworzenia systemów teleinformatycznych dla
sektora ochrony zdrowia, jak
i ze względu na możliwość
wtórnego wykorzystywania
danych. W tym kontekście
istotne jest pytanie, czy nowe
przepisy w tym zakresie są
wystarczającą gwarancją,
że nasze dane osobowe nie
dostaną się w ręce osób niepowołanych lub nieupoważnionych, np. ubezpieczycieli,
pracodawców albo banków,
a więc podmiotów, które
niejednokrotnie chciałyby
uzyskać dane o stanie zdrowia konkretnych osób. Prawo,
niestety, nie zawsze jest ono
doskonałe. Dla przykładu –
bym konieczność stworzenia
ustawy o wideomonitoringu,
o co zabiegam od dawna, deklarując aktywne uczestnictwo
w jej przygotowaniu. Wciąż
brak jest uregulowań prawnych
jeśli chodzi o dane biometryczne i biobankowanie. Wyzwaniem jest stworzenie właściwych przepisów regulujących
zasady funkcjonowania tzw.
mamy w tej chwili dwa rozinteligentnych sieci energewiązania prawne dotyczące
tycznych i inteligentnych liczniprzechowywania dokumentacji ków. To są wszystko wyzwania
medycznej wytworzonej przez prawne, które przed nami stopodmioty, które kończą prakją, ale dołóżmy do tego rówtykę lekarską, i trzecie, które
nież fakt, że zwiększa się świajest stosowane w praktyce.
domość społeczna, jeśli chodzi
Z jednego aktu wynika, że
o kwestie związane z ochroną
podmiot rozpoczynający
danych osobowych, co podziałalność ma określić, gdzie woduje, że nie tylko wzrasta
będą przechowywane dokuliczba zbiorów zgłaszanych do
menty po zakończeniu jego
rejestracji, o czym już wspodziałalności, podczas gdy
minałem, ale znacząco rośnie
z innego aktu wynika, że mają również liczba skarg kieroone trafiać do systemu inforwanych do GIODO – w ciągu
macji medycznej. Z kolei
ostatnich dwóch lat zwiękw praktyce dokumenty te są
szyła się prawie dwukrotnie.
po prostu przekazywane izbie To świadczy o tym, że coraz
lekarskiej, co może zresztą
więcej osób zdaje sobie sprajest rozsądnym rozwiązaniem, wę, jakie niebezpieczeństwa są
tyle że działanie takie odbywa związane z brakiem właściwej
się bez podstawy prawnej.
ochrony danych osobowych.
Jest zatem wiele pytań, na
Truizmem będzie wspominanie,
które musimy obecnie odże rozwój serwisów społecznopowiedzieć, pamiętając, że
ściowych czy innych serwisów
przyjęte rozwiązania będą
informatycznych wywołuje nie
obowiązywać zapewne przez
tylko konieczność nowego
kolejnych kilkanaście lat.
podejścia do ochrony danych
w Internecie, ale również koRedakcja: Jakie wyzwania
nieczność zastanowienia się
stoją przed GIODO na najnad tym, jakie niebezpieczeńbliższe lata? Czy jest wśród
stwa na przyszłość rodzą zdanich coś szczególnego?
rzenia, które dziś wydają nam
się tylko drobnymi zmianami
Oczywiście wyzwań jest mnów oprogramowaniu czy
stwo. Część z nich już wymiew kształcie serwisu.
niliśmy, ale do tej listy dodałRozmawiał: Michał Sztąberek
HR
Jak cię widzą,
tak cię zatrudniają
W badań przeprowadzanych przez AVG pod koniec zeszłego roku wynika, że 25% użytkowników Facebooka ma dodanego do znajomych szefa. Jeden na ośmiu młodych internautów
opublikował obraźliwe treści dotyczące swojego szefa lub miejsca pracy. Tylko 40% z nich
ukryło swoje komentarze przed pracodawcą.
B
adania te, przeprowadzone wśród internautów
na całym świecie, ukazują skalę bardzo poważnego
problemu. Wydawać by się mogło, że wraz ze wzrostem „stażu” i coraz powszechniejszego
dostępu do sieci, świadomość
dotycząca bezpieczeństwa internautów powinna rosnąć.
Tak się jednak nie dzieje.
Każdy jest osobą publiczną
Oczywiście, trudno wskazywać
jedną i konkretną przyczynę
tego stanu. Z pewnością wpływ
ma na to tempo życia oraz fakt,
że rejestrujemy się w wielu
portalach, przez co tracimy
kontrolę. Również sama konstrukcja aplikacji wymusza na
nas działania, które często są
spontaniczne i nieprzemyślane.
Tak obecnie działa sieć: ma być
szybko, intuicyjnie i wygodnie.
Wrzucenie zdjęcia ze smartfona
zajmuje zaledwie kilka sekund.
Konsekwencje takiego działania
trwać mogą znacznie dłużej.
Facebook uruchomił impuls,
który spowodował wyraźne
i zdecydowane zacieranie się
granicy między życiem prywatnym i zawodowym. Dawniej
problem ten dotyczył tylko osób
publicznych: polityków, dziennikarzy, sportowców. Obecnie
może dotyczyć każdego.
W dobie ekspansji mediów
społecznościowych to, co
prywatne, trudno oddzielić od
tego, co powinno być publiczne
(zawodowe). Niby oczywistość,
ale zastanawiające jest to, jak
wiele osób ciągle zdaje się
nie dostrzegać takiego stanu
rzeczy. Praktyka dowodzi, że
to właśnie o oczywistościach
najczęściej się zapomina.
Najważniejszymi cechami
korzystania z aplikacji Zuckerberga są szybkość i impulsywność. Klikamy dużo, chętnie,
we wszystko, czasem bez zastanowienia. Po chwili już o tym
nie pamiętamy. Ale Facebook
nie zapomina. Zarówno my
w AVG, jak i nasi koledzy z innych firm antywirusowych, stale
staramy się na to uczulać użytkowników. Mimo to cały czas
spotykamy się z naruszeniem
podstawowych zasad bezpieczeństwa i ustawicznym powielaniem tych samych błędów.
Podano do stołu...
Facebook jest niesamowitym
narzędziem, które do góry no-
gami wywróciło zasady komunikacji w Internecie. Ale
jest też narzędziem, które jak
żadne wcześniej naraża na
łatwą i szybką utratę danych
osobowych. Aplikacja ma
za zadanie wyciągnąć jak
Facebook staje się
najszybszym i najprostszym
narzędziem weryfikacji
naszego zgłoszenia
na stanowisko pracy. I to on,
jeszcze przed rozmową,
pozwoli rekruterowi ocenić,
czy to, co napisaliśmy
w CV o naszym profilu
osobowościowym, znajduje
odzwierciedlenie
w rzeczywistości.
najwięcej informacji, które
będzie można sprzedać potencjalnym reklamodawcom, dzięki
czemu ułatwi im dotarcie do
„targetu”. Dlatego też mamy
klikać jak najwięcej i jak najczęściej. Mamy udostępniać, lajkować i komentować. Każda taka
czynność pozostawia wyraźny
ślad, doprecyzowując, co lubimy, czego nie, czyniąc z naszego nazwiska atrakcyjny towar.
Również dla hakerów. Odsetek
osób które nie zdają sobie
z tego sprawy stale jest wysoki.
Zdjęcie: Fotolia
I to niezależnie od wieku, wykształcenia czy zainteresowań.
Choć nie czynię tego często,
czasem staram się odgrzebać
na FB starych znajomych. A że
profili do przeglądnięcia trafia
się sporo, w bardzo krótkim
czasie można zebrać bardzo
bogaty materiał poglądowy.
To jest nieprawdopodobne, ile
informacji można wyciągnąć
z niezabezpieczonej tablicy.
I nie chodzi o takie oczywistości jak imię, nazwisko czy
nazwa szkoły. Ludzie dzielą się
wszystkim. To zdjęcia, imiona
i nazwiska rodziny, przyjaciół,
miejsca logowania, miejsca,
gdzie najczęściej bywają, za co
są odpowiedzialni i gdzie pracują, imię psa (które notorycznie jest wykorzystywane przy
konstruowaniu lub odzyskiwaniu haseł), szczegóły na temat
ulubionych potraw, wydarzeń, wiary, postaci, filmów,
seriali… Szwedzki stół dla
fanów phishingu.
Oddzwonimy do Pana…
Po drugiej stronie barykady,
jak zawsze, czai się widmo
konsekwencji zawodowych.
Daleki jestem od tego, by
przypisywać właścicielom firm
mroczną właściwość nałogowego szpiegowania swoich
podwładnych na fejsie i wyciąganiu pikantnych szczegółów
z ich życia (choć, kto wie?),
a co za tym idzie – konsekwencji zawodowych. Natomiast
łatwo można zrozumieć ich
zdegustowanie, gdy zobaczą
niektóre wpisy, zdjęcia lub
komentarze (szczególnie te
dotyczące firmy). Zwłaszcza
gdy pracownik jest odpowiedzialny za kontakt z mediami/
klientami/social media.
O ile szef może przymknąć
oko na weekendowe ekscesy
uwiecznione na fotografiach,
o tyle w oczach podejrzliwego
rekrutera opowieści o dojrzałości, odpowiedzialności i rzetelności mogą kłócić się z pluskaniem nago w fontannie na rynku
głównym w mieście X. Albo
szczegółowymi wyliczeniami
dotyczącymi ilości wypitych
trunków i dookreślenia (wraz
z oznaczeniem na mapie
Google) miejsca ostatniego
womitowania. Czy musi to
od razu przekreślić nasze
szanse na pozyskanie nowej
pracy? Nie musi. Ale znacząco
może wpłynąć na wynik rozmowy. Lub jej brak.
Facebook staje się najszybszym i najprostszym narzędziem weryfikacji naszego
zgłoszenia. I to on, jeszcze
przed rozmową, pozwoli
rekruterowi ocenić, czy to,
co napisaliśmy w CV o naszym
profilu osobowościowym,
znajduje odzwierciedlenie
w rzeczywistości.
Parę przykazań na koniec
Czy są jakieś szanse na to,
żeby internauci zmienili swoje
przyzwyczajenia i zaczęli przywiązywać większą wagę
do ochrony swoich danych?
Niestety, temat powraca jak
bumerang co kilka miesięcy
i ciężko liczyć na to, że coś
się w tej kwestii radykalnie
zmieni.
Całość problemu, jak to zwykle bywa przy 90% zagadnień
dotyczących bezpieczeństwa,
sprowadza się do kilku prostych rad:
• Zastanów się dwa razy zanim
coś opublikujesz.
• Zastanów się, czy szef wśród
znajomych jest rzeczywiście
dobrym pomysłem.
• Zadbaj o ustawienia prywatności - zatroszcz się, by Twoje
dane nie były widoczne dla
nikogo z zewnątrz.
• Jeżeli nie musisz, nie umieszczaj wszystkich szczegółów
dotyczących prywatnego
życia.
• Zastanów się, czy nie warto
zablokować możliwości podglądania Twoich postów przez
niektórych znajomych.
• Kontroluj, kto i kiedy oznacza
Cię na zdjęciach.
• Ustaw alerty na swoje imię
i nazwisko.
• Wyłącz opcje geolokalizacji.
• Inajważniejsze: pamiętaj, że
to, co umieszczasz w Internecie, zostaje w nim na zawsze.
Jeżeli masz jakiekolwiek
wątpliwości: nie wrzucaj,
nie udostępniaj. Najlepszą
metodą ochrony jest zdrowy
rozsądek.
AUTOR: Radek Klimek,
PR Manager w firmie
CORE – dystrybutora
oprogramowania
antywirusowego
AVG w Polsce,
www.avg.pl
Zarządzanie ryzykiem
Zarządzanie
ryzykiem
w chmurze
– wyprawa w nieznane cz. II
Robert Falcon Scott i Roald Amundsen, dwaj śmiałkowie, którzy postanowili zdobyć biegun
południowy. Amundsen od zawsze dużą wagę przykładał do sztuki przetrwania. Jadł surowe
mięso delfinów na wypadek, gdyby kiedyś został rozbitkiem i przyszło mu żywić się podobnym jedzeniem. Wiele czasu spędził z Innuitami (rdzenna ludność obszarów arktycznych
i subarktycznych Grenlandii, Kanady, Alaski i Syberii), by poznać ich techniki przetrwania
w warunkach polarnych. Nie czekał, aż znajdzie się w sytuacji kryzysowej, lecz próbował
zdobyć jak najwięcej wiedzy i doświadczenia, które, jak sądził, mogą zaowocować w przyszłości. Przy dokładnym planowaniu swoich działań, zawsze uwzględniał duży margines
na nieprzewidziane wypadki. Na wyprawę na biegun zabrał aż cztery termometry, jego rywal
tylko jeden, który zawiódł.
30
sowych ekspedycji na biegun,
licząca 65 osób (z czego 17
uczestników wyprawy). Trzy
różne środki lokomocji miały
jej zapewnić pełen sukces,
jednakże jedne z sań motorowych utopiły się podczas
wyładunku, kilka koni padło już
na początku wyprawy, a część
z nich na krze zaatakowały stada drapieżnych orek. Odziani
w brezentowe kombinezony
Brytyjczycy musieli ciągnąć
swoje sanie sami. Wśród
gwałtownej zamieci stracono
sporo zapasów żywności,
a dodatkowo Scott przed
początkiem zimy antarktycznej
zbudował tylko jeden magazyn żywności na Lodowcu
Rossa. 2 marca 1911 roku,
po dwóch miesiącach od
chwili wylądowania na skraju
Lodu Szelfowego Rossa, Scott
zapisał w swoim dzienniku:
„Jeśli tak dalej pójdzie, jak
w ostatnich 48 godzinach,
to moja wyprawa zostanie
zrujnowana”.
Wyścig Scotta i Amundsena
rozpoczął się w tym samym
sektorze Antarktydy. Do jej
brzegów Amundsen dotarł
11 dni po Scotcie. Na miejsce
lądowania wybrał miejsce,
Zdjęcie: Fotolia
R
obert Scott w wielu
kwestiach zdawał się na
uśmiech losu, a swoje
niepowodzenia i przeszkody
nazywał brakiem szczęścia.
Nie trenował biegów narciarskich, nie poznał sztuki użycia
psich zaprzęgów ani tajników
przetrwania. Scott zabrał ze
sobą 19 koników mandżurskich
oraz trzy pary niesprawdzonych
w warunkach polarnych sań
motorowych. Nie zrezygnował
jednak z psów pociągowych,
które podczas poprzedniej
wyprawy na biegun północny
srodze go zawiodły. Była
to największa z dotychcza-
w którym roiło się od fok i pingwinów, co zapewniało ludziom
i psom duże ilości świeżego
mięsa. Jego ludzie (w sumie
5 osób) wyposażeni byli w narty
biegowe, specjalnie zmodyfikowane sanie, a ubrani byli
w lapońskie anoraki z foczego
futra, dzięki czemu nie marzli.
Amundsen w drodze powrotnej
miał do dyspozycji 3 magazyny
zbudowane dużo dalej, niż zrobił to Scott, który od początku
borykał się z trudnościami.
Przez pierwsze 34 dni wyprawy
mieli te same warunki pogo-
dowe. Scott zmierzał do bieguna dobrze sobie znaną
trasą. Amundsen wytyczał
nowy szlak. Wyprawa Scotta
poruszała się jednak wolniej. Brytyjczyk podzielił ją
na trzy grupy. Pierwsza na
mechanicznych pojazdach
gąsienicowych pokonywała
dziennie zaledwie 10 km. Na
225. kilometrze trasy pojazdy
trzeba było porzucić. Ocalałe
kucyki, które miały okazać
się kluczem do sukcesu, były
niezdolne do dalszego marszu,
więc zastrzelono je
u podnóża Lodowca Beardmore. Najlepiej spisywały się
psy, które zawiodły podczas
poprzedniej wyprawy. Dla nich
z kolei zabrakło żywności, gdyż
Scott na początku wyprawy
potraktował je jako rezerwę.
Amundsen, który od początku
postawił na najlepsze grenlandzkie psy pociągowe,
przemierzał dziennie 15-20 km,
a w drodze powrotnej jego
znacznie lżejsze sanie pokonywały w ciągu doby 50-70 km,
a jednego dnia nawet 100 km,
Strategia w cloud computing
Zastanawiacie się pewnie
Państwo, co ta historia ma
wspólnego z usługami cloud
computing. Pojęcie przetwarzania w chmurze nie jest niczym
nowym, a stosowane technologie były już wcześniej wykorzystywane. Cloud computing jest
specyficzną formą outsourcingu
i stosunkowo nowym modelem
biznesowym świadczenia usług
IT. Według najnowszych badań
32
ponad połowa ankietowanych menadżerów działów IT
rozważa wykorzystanie usług
w modelu chmury w najbliższych 2–5 latach. Na pytanie,
dlaczego nie zrobią tego teraz,
najczęściej odpowiadają, że
główną przeszkodą jest brak
wystarczającej informacji
zewnętrznych. Armia ekspertów
i handlowców, najnowsze technologie oraz dobre rozpoznanie
rynku okażą się nieprzydatne
w sytuacjach kryzysowych,
kiedy organizacja nie będzie
miała przygotowanego dobrze przemyślanego i przetestowanego planu działania.
Wizualizacja definicji cloud computingu wg NIST
oraz wypracowanych norm,
standardów i dobrych praktyk
w tym zakresie. Z tego powodu nadal należy traktować
przejście z tradycyjnego
modelu zarządzania IT
w model cloud computing jako
podróż na nieznany i nieprzyjazny ląd, tak jak w przypadku
wyprawy na biegun. W dzisiejszych, niepewnych czasach
przetrwają i wygrają wyścig
z konkurencją te organizacje,
które podejmą ryzyko i będą
pionierami w wykorzystywaniu
nowatorskich rozwiązań,
a przy tym będą lepiej przygotowane na nieoczekiwane
zdarzenia i wpływ czynników
Każde przedsiębiorstwo, bez
względu na wielkość czy obszar działania, narażone jest
na wystąpienie zdarzeń, które
mogą spowodować nagłe
przerwanie działalności operacyjnej. Nawet krótkotrwała
utrata zdolności do prowadzenia biznesu czy wyciek poufnych informacji mogą zachwiać
pozycją konkurencyjną firmy
i prowadzić do poważnych strat
finansowych i wizerunkowych.
Jak podejść do tematu
zarządzania ryzykiem
w modelu cloud computing
w sposób systematyczny
i systemowy? Można w tym
Infografika: autor
czym pobił dotychczasowe
rekordy podróży polarnych.
Amundsen znacznie lepiej niż
Scott rozmieścił swoje składy
z zapasem żywności. 14 grudnia 1911 roku Amundsen
zdobył biegun południowy
i 22 stycznia 1912 roku zdrów
i cały wrócił do bazy Framheim,
z której rozpoczął marsz.
30 grudnia obaj panowie
przecięli 87. równoleżnik
– tylko Amundsen wracał
wtedy z bieguna, a Scott
ciągle do niego podążał. Jeden
zmierzał na północ, drugi wciąż
szedł na południe. Minęli się
w odległości 150 km. Scott
po dotarciu do bieguna,
18 stycznia 1912 roku, wyruszył
pieszo w drogę powrotną.
Zamarzł prawdopodobnie
29 marca 1912 roku w niewielkiej odległości od składu,
w którym znajdowała się
tona żywności. Jeden ze
śmiałków, wraz z towarzyszami wyprawy, zapłacił za
udział w wyścigu najwyższą
cenę. Przetrwał i wygrał ten,
który lepiej zaplanował wyścig
i przygotował się na sytuacje
kryzysowe.
celu zastosować wskazówki
i rekomendacje zawarte
w dostępnych zbiorach dobrych
praktyk, m.in. CSA Guidance
ver.3.0 (Cloud Security Alliance)
oraz Benefits, risks and recommendations for information
security (The European Network
and Information Security
należy odpowiedzieć na kilka
prostych pytań:
• Jaki wpływ na naszą
organizację będzie miał
fakt upublicznienia naszych
aktywów?
• Jaki wpływ na naszą
organizację będzie miał fakt
dostępu do naszych aktywów
taryzacji i ocenie aktywów jest
ich zmapowanie do wymagań
norm, regulacji i standardów,
dla których jest wymagana
zgodność. Na przykład jeśli
chcemy skorzystać z usług systemu CRM (Customer Relationship Management) w modelu
cloud computing i przenieść
Agency (ENISA). Naszą wyprawę w nieznane warto rozpocząć
od dobrego zaplanowania, jakie
zasoby chcemy ze sobą zabrać
w podróż oraz gruntownego
rozpoznania terenu.
przez pracownika dostawcy
usługi?
• Jaki będzie skutek, jeśli nasze
dane/informacje zostaną
zmienione bez naszej wiedzy?
• Jeśli nasze procesy lub
funkcje zostaną zmanipulowane przez intruza, jaki
to będzie miało wpływ
na naszą organizację?
• Jakie odniesiemy szkody, jeśli
procesy lub funkcje zawiodą
i nie dostarczą oczekiwanych
rezultatów?
• Jeśli nasze aktywa nie będą
dostępne przez jakiś okres,
jaki to będzie miało wpływ
na naszą organizację?
Kolejnym krokiem po inwen-
do chmury dane naszych
klientów, to w przypadku, gdy
dotyczy to osób fizycznych,
system i proces przetwarzania tych danych musi spełniać
wymagania ustawy o ochronie
danych osobowych. Gdybyśmy
chcieli skorzystać z usług
w modelu chmury i przetwarzać
w ten sposób informacje
dotyczące danych kartowych,
to usługa ta musi spełnić
dość restrykcyjne wymagania
standardu PCI DSS (Payment
Card Industry Data Security
Standards). Jest to bardzo
istotny element planowania
zmiany tradycyjnego modelu
IT na model cloud computing
W pierwszym kroku należy
odpowiedzieć na pytanie,
jakie dane, aplikacje, funkcje
i procesy chcemy przenieść
do chmury. Czy wszystkie,
czy tylko część z nich?
W następnym kroku należy
dokonać wstępnej oceny
istotności aktywów dla
przedsiębiorstwa pod względem poufności, integralności
i dostępności. W tym celu
oraz wyboru modelu i dostawcy
usługi. Jak wspomniałem
w poprzednim artykule, przy
wyborze modelu chmury
musimy dokonać dokładnej
analizy, po czyjej stronie (odbiorcy czy dostawcy usługi)
spoczywa odpowiedzialność
za zarządzanie ryzykiem
i implementację odpowiednich
kontroli na każdej z warstw
stosu SPI (Software, Platform, Infrastructure). Należy
pamiętać, że w ostatecznym
rozrachunku to odbiorca usługi
będzie rozliczany przez regulatorów za naruszenie zgodności
z wymaganiami.
Jednym z powodów wyboru
usług w chmurze jest czynnik ekonomiczny. Redukcja kosztów, brak wydatków
kapitałowych (w przypadku
chmury publicznej), elastyczna
skalowalność oraz płatność
za faktyczne wykorzystanie
zasobów są elementami,
które mogą mieć decydujący
wpływ na naszą decyzję.
Jednak po dokładnej analizie,
jakie mechanizmy kontrolne
należy zaimplementować,
aby uzyskać akceptowalny
poziom ryzyka oraz zgodność
z obowiązującymi wymaganiami,
może się okazać, że koszt tej
operacji znacznie przewyższa
oczekiwane korzyści. Kiedy
mamy już komplet informacji,
jakie aktywa chcemy przenieść
do chmury i jakie wymagania
obowiązujących nas regulacji musimy spełnić, możemy
rozpocząć proces wyboru
modelu i dostawcy usługi.
O modelach usług w chmurze
ze względu na rodzaj (Software, Platform, Infrastructure
34
as a Service) i lokalizację
(Publiczna, Prywatna,
Współdzielona, Hybrydowa)
oraz o odpowiedzialności za
zarządzanie ryzykiem w każdym
z modeli pisałem szczegółowo
w poprzednim odcinku cyklu
ryzykiem i bezpieczeństwem
u dostawcy:
1. A
rchitektura cloud computing – terminologia, cechy,
modele, lokalizacja
(w szczegółach omówione
w poprzednim artykule);
Przetrwają i wygrają wyścig z konkurencją
te organizacje, które podejmą ryzyko i wykorzystają nowatorskie rozwiązania, a przy tym
lepiej przygotują się na sytuacje kryzysowe.
„Zarządzanie ryzykiem
w modelu cloud computing”.
Skupię się zatem na wyborze
dostawcy usługi. Jego ocenę
należy rozpocząć od uzyskania
odpowiedzi na fundamentalne
pytania. Jaka jest jego sytuacja
finansowa? Jaką dostawca ma
reputację? Czy sam realizuje
usługę, czy korzysta z łańcucha
dostaw? W jaki sposób
dostawca zapewnia wymagany poziom bezpieczeństwa
naszych aktywów? Co może
zapewnić/zapewnia dostawca
oraz co trzeba zrobić samemu?
Następnym etapem ewaluacji
dostawcy jest wstępny przegląd,
w jaki sposób zorganizowany
jest proces zarządzania
ryzykiem i bezpieczeństwem.
Poziom szczegółowości
przeglądu będzie zależny od
istotności naszych aktywów
oraz wymagań związanych
z zapewnieniem zgodności.
Cloud Security Alliance
zdefiniował w CSA Security
Guidance 14 krytycznych obszarów, w których wstępny
przegląd pozwoli nam ocenić,
w jaki sposób zorganizowany
jest proces zarządzania
2. N
adzór i zarządzanie
ryzykiem – obejmuje ocenę
zdolności organizacji do
identyfikacji, oceny monitorowania i nadzoru ryzyka
związanego z modelem
cloud computing, wykorzystywanych metodologii
i narzędzi, ocenę łańcucha
dostaw;
3. P
rawo i informatyka
śledcza – obejmuje
aspekty prawne oraz kwestie
związane z gromadzeniem,
analizą i udostępnianiem
dowodów.
Zagadnienia prawne
podzielone są na 3 główne
kategorie:
• funkcjonalne - dzieli funkcje i usługi na te, które mają
konsekwencje prawne, oraz
te, które ich nie mają,
• jurysdykcyjne - ustalają,
które przepisy mają zastosowanie w zależności od
źródła problemu, klienta
oraz zarówno dostawcy,
jak i firmy;
• umowne - zarządzanie
strukturą, warunkami
i ściganiem naruszeń umów;
4. Zgodność i audyt – transparentność rozwiązań, prawo
do audytu, raporty audytowe,
normy, standardy, najlepsze
praktyki, certyfikacja, analiza
i wpływ na zgodność
z regulacjami, mapowanie
wymagań, odpowiedzialność
za zapewnienie zgodności;
5. Zarządzanie informacją
i ochrona danych – przechowywanie i klasyfikacja
danych w chmurze, cykl
życia informacji, bezpieczeństwo i prywatność
danych, lokalizacja, odzyskiwanie danych;
6. Przenaszalność i interoperacyjność – migracja
danych, zdolność do przenoszenia aktywów od jednego dostawcy do drugiego,
zapewnienie możliwości
powrotu, interoperacyjność
pomiędzy dostawcami usług;
7. Tradycyjne bezpieczeństwo, BCP i DRP – zdefiniowane zasady bezpieczeństwa (strategie, polityki,
procedury), bezpieczeństwo
fizyczne i środowiskowe,
bezpieczeństwo IaaS, PaaS,
SaaS, zarządzanie ciągłością
i plany awaryjne;
8. Centrum danych i zarządzanie operacjami
- architektura i infrastruktura
centrum danych, polityki
i procedury operacyjne,
zarządzanie personelem,
separacja obowiązków;
9. Zarządzanie incydentami
– monitorowanie, wykrywanie,
powiadamianie i reagowanie
na incydenty, rejestracja,
analiza, usuwanie incydentów, współpraca pomiędzy
zespołami reagowania, testy;
10. B
ezpieczeństwo aplikacji
– autentykacja, autoryzacja i nadzór, zarządzanie
podatnościami, testy penetracyjne, cykl życia rozwoju
oprogramowania (SDLC),
zarządzanie tożsamością
i kontrola dostępu,
zarządzanie zgodnością,
monitoring aplikacji;
11. S
zyfrowanie i zarządzanie
kluczami – PKI w chmurze,
zarządzanie kluczami,
przechowywanie i zabezpieczenie kluczy w chmurze,
tokenizacja, anonimizacja,
mechanizmy kryptograficzne, szyfrowanie danych;
12. Z
arządzanie własnością,
tożsamością i dostępem
– zarządzanie tożsamością
i uprawnieniami, nadawanie
i odbieranie dostępu, SSO,
Federated Indentity, nadzór
i audyt, konsumeryzacja;
13. W
irtualizacja - Multi-tenancy, utwardzanie VM, ataki
Inter-VM, izolacja VM,
szyfrowanie VM, bezpieczeństwo hypervisorów,
zarządzanie podatnościami,
złośliwe oprogramowanie;
14. S
ecurity as a service
– korzyści i obawy, wszechobecnośc, transparentność
rozwiązań, dywersyfikacja
usług, przegląd rozwiązań,
wymagania.
W kolejnych artykułach
chciałbym w szczegółach
opisać poszczególne domeny
oraz wymagania i rekomendacje dla każdego z obszarów.
Ostatnim etapem planowania
wejścia w chmurę jest naszkicowanie przepływu danych,
jaki się odbywa pomiędzy
organizacją, naszymi klientami
i dostawcą. To pozwoli nam
zrozumieć, w jaki sposób
i kiedy dane będą przetwarzane
w chmurze, a kiedy poza nią.
Proces planowania pozwala
podjąć decyzję, jakie aktywa
chcemy przenieść do chmury,
jakie zagrożenia i ryzyka są
z nimi związane oraz jaki model
i rozmieszczenia usług jest dla
naszej organizacji najbardziej
odpowiedni. To wszystko
pomaga uzyskać całościowy
kontekst i dokonać oceny, jakie
mechanizmy kontrolne powinny
być zastosowane i po czyjej
stronie – odbiorcy czy dostawcy, leży odpowiedzialność
za ich wdrożenie.
Ryzyko i sytuacje kryzysowe
są nieodłącznymi elementami
życia codziennego, dotyczy to
również prowadzenia każdej
działalności biznesowej.
Zamiast się ich obawiać, należy
nimi zarządzać poprzez dobre
rozpoznanie, oswojenie,
planowanie i osłabienie.
Cytując słowa dr. Berny
z kultowej komedii „Seksmisja”:
„Nieważne, kto wygrał, ważne,
kto przetrwał” – pamiętajmy,
że zanim staniemy do wyścigu,
warto pomyśleć o przetrwaniu
w sytuacjach kryzysowych.
AUTOR: Marcin
Fronczak, prezes
EureXa Sp. z o.o.,
prezes stowarzyszenia
Cloud Security Alliance
Polska, www.eurexa.pl
Zdjęcia: Fotolia
Dane osobowe
pracowników
korporacji
Dane osobowe pracowników międzynarodowych firm coraz częściej są przekazywane poza
terytorium Polski. Na jakich zasadach odbywa się taki korporacyjny transfer danych
i przede wszystkim czy jest on bezpieczny?
G
lobalizacja oraz szybki
rozwój nowych technologii, w tym Internetu,
powodują, że międzynarodowe
korporacje coraz powszechniej
stosują scentralizowane i zinformatyzowane systemy zarządzania zasobami ludzkimi.
W ramach organizacji bazy
danych osobowych pracowników przekazywane są poza
obszar Polski, nie tylko do
krajów należących do Unii
Europejskiej czy, szerzej,
do Europejskiego Obszaru Gospodarczego (EOG), ale również na inne kontynenty.
W pewnych przypadkach
transfer tego typu informacji
o zatrudnionych poza obszar
Unii Europejskiej wymaga
uzyskania zgody Generalnego
Inspektora Ochrony Danych
Osobowych.
Przekazywanie danych osobowych pracowników korporacji do państw trzecich
że transfer danych osobowych
w ramach państw Unii Europejskiej czy EOG jest traktowany
tak samo jak przepływ danych
osobowych na terytorium Polski. Nadal istnieje jednak obowiązek spełnienia przesłanek
legalności, celowości i jakości
danych osobowych oraz odpowiedniego ich zabezpieczenia.
Kwestie transferu danych
osobowych poza Polskę reguluje ustawa z dnia 29 sierpnia
1997 r. o ochronie danych
osobowych (Dz.U. z 2002 r.,
Nr 101, poz. 926 z późn. zm.)
(„u.o.d.o.”). Odmienne zasady
Kiedy dane można przekazać
stosuje się w zależności od
kraju, do którego są przekazy- do państw trzecich?
wane dane. Zgodnie z u.o.d.o.
przez państwo trzecie rozumie Transfer danych osobowych
do państw trzecich powoduje
się kraj, który nie należy do
Europejskiego Obszaru Gospo- konieczność spełnienia dodatkowych wymogów, a przede
darczego. W przypadku przekazywania danych osobowych wszystkim istnienia gwarancji
pracowników do państw człon- zabezpieczenia danych.
kowskich Unii Europejskiej czy Przekazanie danych do państwa trzeciego może nastąpić,
krajów EOG, które nie należą
do Unii, transfer podlega ogól- jeżeli państwo docelowe zapewnia na swoim terytorium
nym zasadom przetwarzania
odpowiedni poziom ochrony
danych osobowych określodanych osobowych. Stopień
nych w u.o.d.o. To powoduje,
Ochrona danych osobowych
ich ochrony musi ocenić administrator danych w świetle
wszystkich okoliczności przekazania danych. Administratorem jest organ, jednostka
danych, normy prawne obowiązujące w danym państwie
trzecim oraz stosowane tam
środki bezpieczeństwa i zasady zawodowe. System ochrony
Europejska jest uprawniona
do stwierdzania w formie decyzji, czy dane państwo trzecie zapewnia stopień ochrony
danych adekwatny do poziomu
przewidzianego w dyrektywie
95/46/WE. Przykładowo takie
decyzje zostały wydane w stosunku do Szwajcarii, Kanady
czy Argentyny.
Państwo docelowe nie
spełnia warunków ochrony
danych – co wtedy?
organizacyjna, podmiot lub
osoba decydująca o celach
i środkach przetwarzania
danych. W odniesieniu do
ochrony pracowniczych
danych osobowych status
administratora należy przypisać pracodawcy w rozumieniu
art. 3 Kodeksu pracy.
Szczególną uwagę należy
zwrócić na: charakter danych,
cel i czas trwania ich przetwarzania, kraj pochodzenia i kraj
ostatecznego przeznaczenia
38
danych osobowych w państwie
trzecim powinien gwarantować
istnienie mechanizmów dochodzenia praw przez indywidualne osoby, w tym prawa do
dochodzenia odszkodowania
w przypadku jakichkolwiek
naruszeń zasad ich przetwarzania. Generalny Inspektor
Ochrony Danych Osobowych
nie wydaje zaświadczeń w tym
zakresie, natomiast dla oceny
gwarancji ochrony pomocne
są regulacje unijne. Komisja
1. Przesłanie danych osobowych wynika z obowiązku
nałożonego na administratora danych przepisami
prawa lub postanowieniami ratyfikowanej umowy
międzynarodowej;
2. Osoba, której dane dotyczą, udzieliła na to zgody
na piśmie;
3. Przekazanie jest niezbędne do wykonania umowy
pomiędzy administratorem
danych a osobą, której dane
dotyczą, lub jest podejmowane na jej życzenie;
4. Przekazanie jest niezbędne do wykonania umowy
zawartej w interesie osoby,
której dane dotyczą, pomiędzy administratorem danych
a innym podmiotem;
5. Przekazanie jest niezbędne
Zdjęcia: Fotolia
Jeśli jednak dane państwo nie
spełnia odpowiednich kryteriów gwarancji ochrony, zgodnych z unijnymi dyrektywami,
przekazanie danych jest dopuszczalne tylko w przypadku
spełnienia jednej z przesłanek
określonych w art. 47 ust. 2 i 3
u.o.d.o. Są one następujące:
ze względu na dobro
publiczne lub do wykazania zasadności roszczeń
prawnych;
6. Przekazanie jest niezbędne do ochrony żywotnych
interesów osoby, której dane
dotyczą;
7. Dane są ogólnie dostępne.
Co do przesłanki zgody,
w przypadku pracowników jej
wyrażenie może być podważane ze względu na nierówność
podmiotów stosunku zatrudnienia i uznanie, że zgoda
podwładnego na transfer była
„wymuszona” przez pracodawcę. Jeżeli żadne z powyższych
ochrony danych. W wyroku
z dnia 16 kwietnia 2003 roku
(II SA 3878/02, ONSA 2004,
nr 1, s. 41) Naczelny Sąd Administracyjny stwierdził: „(…)
organ powinien kierować się
oceną, czy zastosowane środki
różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony
tych danych odpowiadający
ustawodawstwu polskiemu.”
W każdym przypadku powierzenia przetwarzania danych
osobowych pracowników
innemu podmiotowi niezbędne jest zawarcie na piśmie
odpowiedniej umowy
Kwestie transferu danych osobowych poza
Polskę reguluje ustawa z dnia 29 sierpnia
1997 r. o ochronie danych osobowych
(Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.)
(„u.o.d.o.”). Odmienne zasady stosuje się
w zależności od kraju, do którego są
przekazywane dane.
kryteriów nie zostało spełnione, a państwo trzecie nie
zapewnia odpowiednich standardów ochrony, przekazanie
takich danych może nastąpić
wyłącznie po uzyskaniu zgody
GIODO, pod warunkiem że
administrator zapewni odpowiednie zabezpieczenia
w zakresie ochrony prywatności oraz praw i wolności
osoby, której dane dotyczą.
Pracodawca może wystąpić
do GIODO o wydanie zgody
na taki transfer danych. W takim przypadku Inspektor ocenia, czy administrator danych
zapewnia odpowiedni poziom
i wprowadzenie stosownych
zapisów, a w szczególności
zastosowanie wzorcowych
klauzuli umownych przyjętych
przez Komisję Europejską.
Międzynarodowe korporacje
w celu uproszczenia i usprawnienia legalnego transferu
danych wprowadzają tzw.
wiążące reguły korporacyjne
(ang. Binding Corporate Rules),
czyli kodeksy wewnętrznych
reguł postępowania dotyczące
zasad ochrony danych osobowych. Niektóre państwa Unii
Europejskiej stosują zasadę
wzajemnego uznania wiążących reguł korporacyjnych,
co pozwala na legalny
i bezpieczny transfer danych
w ramach jednej korporacji
do spółek zależnych poza
obszar EOG.
Wniosek o wydanie zgody
przez GIODO na przekazanie
danych do państwa trzeciego
powinien wskazywać dowody
na potwierdzenie zapewnienia przez administratora odpowiedniego zabezpieczenia
ochrony prywatności oraz praw
i wolności osób, których dane
dotyczą. W szczególności należy wskazać strony transferu,
zakres i kategorie danych,
cel i czas trwania przekazywania danych, a także środki
gwarantujące bezpieczeństwo
danych z uwzględnieniem
środków organizacyjno-technicznych. W przypadku negatywnej odpowiedzi GIODO
strona może zwrócić się
z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję
GIODO przysługuje skarga
do Wojewódzkiego Sądu
Administracyjnego.
Obecnie trwają prace nad
reformą unijnych przepisów
dotyczących ochrony danych
osobowych, zmiany mają również dotyczyć transferu danych
osobowych poza Europejski
Obszar Gospodarczy.
AUTOR:
Justyna Metelska,
adwokat w TGC
Corporate Lawyers,
www.tgc.eu
Biznes i prawo
Stracona domena
– czy da się ją odzyskać?
Rejestracja domeny internetowej odbywa się na podstawie umowy zawartej z odpowiednim
rejestrem. Dla domen „.pl” funkcję rejestru pełni Naukowa i Akademicka Sieć Komputerowa
(NASK). Najczęściej do zawarcia umowy dochodzi za pośrednictwem jednego z partnerów
rejestratora (np. nazwa.pl), który reprezentuje abonenta domeny przed rejestrem. Skutkiem
zawarcia umowy jest zobowiązanie rejestru do utrzymywania nazwy domeny na rzecz
określonego abonenta przez czas trwania umowy (zazwyczaj jeden rok). W kontekście
rejestracji nazwy domeny nie można zatem mówić o „własności domeny”.
Jedną z podstaw prawnych,
na które może powołać się
dotychczasowy abonent w celu
ochrony swoich interesów, są
przepisy kodeksu cywilnego
o ochronie dóbr osobistych oraz
prawa do firmy. Odpowiednio
art. 24 § 1 k.c. i 4310 k.c. przewidują środek ochrony w postaci żądania zaniechania działań,
które zagrażają lub naruszają
dobro osobiste lub prawo do
firmy. Zgodnie z art. 435 k.c.
firmą osoby prawnej jest jej
nazwa oraz oznaczenie wskazujące na formę prawną. Aby
skorzystać z ochrony prawa do
40
firmy, przedsiębiorca będący
dotychczasowym abonentem
domeny powinien wcześniej
ujawnić firmę we właściwym
rejestrze. Jeśli ta firma zostanie
wykorzystana w nazwie domeny
przez inną osobę, przedsiębiorca będzie mógł żądać zaprzestania posługiwania się domeną,
o ile wykaże, że działanie tej
osoby zagraża jego prawu do
firmy lub je narusza. Przyjmuje
się, że stworzeniem zagrożenia
dla prawa do firmy jest posłużenie się firmą w taki sposób, który wywołuje niebezpieczeństwo
pomyłek wśród użytkowników
Internetu co do istnienia związku pomiędzy dysponentem tej
nazwy domeny a uprawnionym
do firmy, w szczególności jeżeli zakres działalności obydwu
podmiotów jest podobny (por.
orzeczenie Sądu Polubownego
ds. Domen Internetowych przy
PIIT: http://www.piit.org.pl/_gAllery/13/41/13413/Wyrok_59.10.
PA.pdf). Nawet jednak jeśli wykorzystywane w nazwie domeny
oznaczenie odpowiada tylko
części nazwy przedsiębiorcy,
to i tak można się powołać na
ochronę dóbr osobistych, o ile
wykorzystywane oznaczenie
indywidualizuje przedsiębiorcę
na tyle, że pozwala na odróżnienie go od innych przedsiębiorców (wyrok Sądu Najwyższego
z dnia 28 października 1998 r.,
II CKN 25/98).
Należy jednak zwrócić uwagę,
że stosowanie środków ochrony przedsiębiorcy jest możliwe
tylko w wypadku, gdy działanie
naruszającego jest bezprawne.
Zarówno na podstawie przepisów o ochronie dóbr osobistych, jak i przepisów o firmie
domniemywa się, że działanie
naruszającego jest działaniem
bezprawnym. Stawia przedsiębiorcę w korzystnej sytuacji,
bowiem nie musi on udowadniać bezprawności naruszenia.
Ciężar wykazania, że rejestracja
domeny zawierającej nazwę
przedsiębiorcy spoczywa na
osobie, która zarejestrowała
sporną domenę. Przypadkiem,
w którym naruszający może
wykazać, że działał na podstawie przepisów prawa jest
na przykład działanie za zgodą
pokrzywdzonego (w ramach
upoważnienia do korzystania
z firmy) lub korzystanie z prawa
opartego na innym tytule
(np. wynikającego z rejestracji
znaku towarowego).
Zdjęcie: Fotolia
W
momencie, gdy
dojdzie do wygaśnięcia umowy
pomiędzy rejestrem
a abonentem domeny, np.
w przypadku nieopłacenia kolejnego okresu abonentowego,
wówczas abonent traci prawo
do korzystania z nazwy domeny,
która może zostać zarejestrowana na rzecz osoby trzeciej.
W tym kontekście pojawia się
pytanie o to, jakie kroki może
podjąć dotychczasowy abonent
domeny, której nazwa została
zarejestrowana na rzecz innej
osoby.
Ustawa o zwalczaniu
nieuczciwej konkurencji
Inną podstawą prawną poszukiwania ochrony przez dotychczasowego abonenta jest możliwość sięgnięcia do ochrony
przewidzianej przepisami ustawy z 1993 r. o zwalczaniu nie-
uczciwej konkurencji – zwanej
w dalszej części „uznk”. Ustawa
ta jest podstawowym instrumentem ochrony konkurencyjności na rynku krajowym
i adresowana jest głównie do
przedsiębiorców rywalizujących
ze sobą – konkurentów, niemniej
jednak w pewnych warunkach
można ją także stosować w relacjach między przedsiębiorcami,
którzy konkurentami nie są.
W orzecznictwie Sądu Polubownego ds. Domen Internetowych
przy PIIT to właśnie przepisy tej
ustawy są najczęściej podstawą
rozstrzygnięć Sądu. Ograniczając się wyłącznie do zarysowa-
Biznes i prawo
nia problematyki zwalczania
nieuczciwej konkurencji
w kontekście rejestracji domen
internetowych, można przyjąć,
że już sama rejestracja domeny
internetowej może stanowić
naruszenie przepisów tejże
ustawy, a tym bardziej takim
naruszeniem może być aktywne
korzystania z domeny przez jej
abonenta w sposób sprzeczny
z przepisami ustawy. W obydwu
tych przypadkach, tj. „biernej”
oraz „aktywnej” rejestracji,
spełnienie przesłanek prawnych
z ustawy powoduje zakwalifikowanie działania abonenta jako
czynu nieuczciwej konkurencji.
Najczęstszym czynem nieuczciwej konkurencji spotykanym
w orzecznictwie Sądu Polubownego, którego dopuszczają się
abonenci domen, jest utrudnianie innym przedsiębiorcom
dostępu do rynku poprzez
zablokowanie możliwości korzystania z domeny przez innego
przedsiębiorcę, dla którego korzystanie z danej nazwy domeny jest ekonomicznie niezbędne
z uwagi na nazwę jego produktu
czy też nazwę prowadzonej
działalności gospodarczej.
Wydaje się zatem, że jednym
z najskuteczniejszych sposobów poszukiwania ochrony
przez osoby, które utraciły
prawa do nazwy domeny na
przykład na skutek nieopłacenia
tejże domeny, przy założeniu, że
domena była wcześniej wykorzystywana w ramach działalności gospodarczej takich osób,
jest oparcie swoich roszczeń
o przepisy ustawy o zwalczaniu nieuczciwej konkurencji.
W pierwszej kolejności trzeba
zwrócić uwagę, że czynem nie-
42
uczciwej konkurencji nie musi
być jedynie czynne działanie
osoby trzeciej , ale może być to
również zachowanie bierne, jak
np. rejestracja domeny internetowej i zaparkowanie jej na
jednym z popularnych serwisów
w celu otrzymywania ofert jej
zakupu. Czynem nieuczciwej
konkurencji jest w myśl
art. 3 ust. 1 uznk zachowanie
sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego
przedsiębiorcy lub klienta.
Przepis art. 3 ust. 1 stanowi tak
zwaną klauzulę generalną i dane
zachowanie może być uznane
za czyn nieuczciwej konkurencji
tylko pod warunkiem, że zachowanie to wypełnia przesłanki
tego przepisu. Ustawa w dalszej
części konkretyzuje różnego
rodzaju działania, określając
szczegółowo warunki, w jakich
mogą być uznane za czyny
nieuczciwej konkurencji. Na
potrzeby ochrony praw dotychczasowego abonenta domeny,
który ją utracił, najistotniejszymi
wydają się przepisy art. 5 oraz
art. 15 uznk. Zgodnie z art. 5
uznk czynem nieuczciwej konkurencji jest takie oznaczenie
przedsiębiorstwa, które może
wprowadzić klientów w błąd
co do jego tożsamości, przez
używanie firmy, nazwy, godła,
skrótu literowego lub innego
charakterystycznego symbolu
wcześniej używanego, zgodnie
z prawem, do oznaczenia innego przedsiębiorstwa, natomiast
art. 15 uznk za czyn nieuczciwej
konkurencji uznaje wymienione
w tym przepisie przykładowe
zachowania, które utrudniają
innym przedsiębiorcom dostęp
do rynku. Ustawa w art. 18
przewiduje środki ochrony
osoby, której interesy poprzez
popełnienie czynu nieuczciwej
konkurencji zostały zagrożone
lub naruszone. Należy zatem
zauważyć, iż w ewentualnym
postępowaniu przed sądem
powszechnym czy też sądem
polubownym, przed którym
dotychczasowy abonent będzie
poszukiwał ochrony, nie ma
konieczności dowodzenia naruszenia interesów, a wystarczy
uprawdopodobnienie ich zagrożenia. W myśl art. 18 ust. 1
uznk można zatem domagać
się od osoby, która dopuściła
się czynu nieuczciwej konkurencji, zaniechania niedozwolonych
działań, usunięcia skutków takich działań, złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści
i w odpowiedniej formie, naprawienia wyrządzonej szkody, na
zasadach ogólnych, wydania
bezpodstawnie uzyskanych korzyści, na zasadach ogólnych,
a także zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze
wspieraniem kultury polskiej lub
ochroną dziedzictwa narodowego - jeżeli czyn nieuczciwej konkurencji był zawiniony.
Dotychczasowy abonent utraconej domeny powinien zatem
wykazać, że rejestracja domeny
przez osobę trzecią spowodowała wypełnienie przez tą osobę
przesłanek z art. 3 ust. 1 uznk
oraz dodatkowo może powoływać się na któryś z przepisów
szczegółowych uznk – wspomniany art. 5 lub art. 15. Osoba
taka może dowodzić, że jej
interesy zostały naruszone bądź
też zagrożone z uwagi na
pozbawienie jej możliwości
dysponowania domeną
internetową, którą dotychczas
wykorzystywała w działalności
gospodarczej, prowadząc pod
nią przykładowo serwis internetowy poświęcony swoim
produktom. Należy przy tym
zauważyć, że w razie uznania
zachowania nowego abonenta
za czyn nieuczciwej konkurencji,
jego ewentualna linia obrony
polegająca na argumentacji,
że zarejestrował domenę, gdyż
została zwolniona przez rejestratora i pojawiła się w puli wolnych
domen, nie będzie raczej mogła
zostać uznana za wystarczającą
do wygrania przez niego sporu.
W przeważającej bowiem większości przypadków osoby, które
posądzane są o popełnienie
czynów nieuczciwej konkurencji,
doskonale zdają sobie sprawę
z tego, do kogo dotychczas
dana domena internetowa
należała i do czego była wykorzystywana, a samej rejestracji
nie dokonują w celu używania
domeny we własnych celach,
na przykład w celu promocji
własnego przedsięwzięcia gospodarczego, a jedynie w celu
dalszej odsprzedaży domeny,
najczęściej właśnie dotychczasowemu abonentowi ze znacznym zyskiem.
Prawo własności
przemysłowej
Inną podstawą dochodzenia
ochrony przez abonenta utraconej domeny może być powoływanie się na przepisy ustawy
z dnia 30 czerwca 2000 r.
prawo własności przemysło-
wej – zwanej w dalszej części
„pwp”. Należy jednak zauważyć, że z możliwości tej mogą
korzystać jedynie osoby, które
zarejestrowały znak towarowy
i wykorzystywały go w nazwie
domeny internetowej, pod którą
prowadziły serwis internetowy
poświęcony danemu towarowi
czy też usłudze chronionej tym
znakiem towarowym. W myśl
bowiem art. 153 ust. 1 pwp
przez uzyskanie prawa ochronnego na znak towarowy nabywa
się prawo wyłącznego używania tego znaku towarowego
w sposób zarobkowy lub
sobu posługiwania się domeną
internetową przez jej nowego
abonenta. Zgodnie bowiem
z art. 296 ust. 2 do naruszenia
prawa ochronnego na znak
towarowy dochodzi wyłącznie
w przypadku wykorzystywania
znaku identycznego lub podobnego do chronionego
oznaczenia w obrocie gospodarczym. Zatem w przypadku
wykorzystywania przez nowego
abonenta domeny internetowej
poza obrotem gospodarczym
– np. poprzez „bierną” rejestrację – powoływanie się na
przepisy pwp może nie być
Utrata domeny przez abonenta nie zawsze
musi oznaczać stan nieodwracalny i konieczność jej odkupienia od nowego dysponenta.
zawodowy na całym obszarze Rzeczypospolitej Polskiej.
Natomiast zgodnie z art. 154
pwp używanie znaku towarowego polega w szczególności
na umieszczaniu tego znaku
na towarach objętych prawem
ochronnym lub ich opakowaniach, oferowaniu i wprowadzaniu tych towarów do obrotu,
ich imporcie lub eksporcie oraz
składowaniu w celu oferowania
i wprowadzania do obrotu,
a także oferowaniu lub świadczeniu usług pod tym znakiem
oraz na umieszczaniu znaku
na dokumentach związanych
z wprowadzaniem towarów do
obrotu lub związanych ze świad-czeniem usług, a także na
posługiwaniu się nim w celu
reklamy. Korzystanie z ochrony
przewidzianej ustawą prawo
własności przemysłowej jest
jednak uwarunkowane od spo-
wystarczające. Ponadto domena internetowa zawierająca
oznaczenie, na które została
przyznana ochrona, musi być
wykorzystywana do oznaczania
towarów lub usług identycznych w stosunku do których
taka ochrona została przyznana.
Przykładowo zatem, jeżeli dotychczasowy abonent zarejestrował słowny znak towarowy
„XYZ” w celu ochrony towarów
w postaci sprzętu komputerowego i posługiwał się domeną
internetową „xyz.pl”, którą następnie utracił, a nowy abonent,
który zarejestrował tę domenę,
wykorzystuje ją do prowadzenia
sklepu internetowego, w którym
sprzedaje sprzęt motoryzacyjny,
powoływanie się na naruszenie znaku towarowego „XYZ”
nie będzie zapewne skuteczną
metodą odzyskania tej domeny.
Gdyby jednak nowy abonent
Biznes i prawo
wykorzystywał domenę w celu
ści wykazywania identyczności
prowadzenia sklepu internetoczy też podobieństwa towarów
wego, w którym sprzedawałby
lub usług. Wystarczy wykazać,
sprzęt RTV, a przy tym serwis
że korzystanie z domeny zawieten byłby podobny w swoim
rającej takie oznaczenie przez
wyglądzie do dotychczasowego jej nowego abonenta może
serwisu prowadzonego przez
przynieść używającemu nienapoprzedniego abonenta, który
leżną korzyść lub być szkodliwe
domenę tę utracił, a przez to
dla odróżniającego charakteru
nabywcy tego sprzętu mogliby
bądź renomy tego znaku.
mieć uzasadnioną podstawę
Przykłady praktycznego wykodo uznania, że jest to serwis
rzystania wyżej omówionych
prowadzony przez dotychczakonstrukcji prawnych odnaleźć
sowego abonenta i kojarzyliby
można w bogatym orzecznicw ten sposób chroniony znak
twie Sądu Polubownego ds.
towarowy z nowym serwisem,
Domen Internetowych przy
dotychczasowy abonent dome- Polskiej Izbie Informatyki i Teleny mógłby starać się wykazykomunikacji. Na potrzeby niwać, że doszło jednak do naru- niejszego opracowania poszenia jego prawa ochronnego
wołać można jedno z ważniejna znak towarowy. Odrębnym
szych orzeczeń z dnia 18 maja
przypadkiem byłaby sytuacja,
2011 r. (sygn. akt 73/10/PA)
gdyby znak towarowy „XYZ”
http://www.piit.org.pl/_gAllebył znakiem renomowanym, to
ry/14/38/14380/Wyrok_73.10.
jest takim znakiem, który jest
PA.pdf, w którym to Sąd uznał
powszechnie rozpoznawany
prawa dotychczasowego aboprzez odbiorców na danym
nenta do utraconej domeny
rynku geograficznym, a towary
internetowej <<twojstyl.pl>>,
czy też usługi opatrywane takim zarejestrowanej następnie przez
znakiem uznawane są przez
inną osobę i wystawioną przez
ich nabywców za wartościowe,
nią na sprzedaż. Dotychczasoposiadające wysoką jakość
wy abonent powoływał się
i cieszą się renomą. W takim
przy tym na naruszenie przez
przypadku do skorzystania
nowego dysponenta praw
z ochrony przewidzianej przez
do domeny przepisów ustawy
przepisy pwp nie ma konieczno- o zwalczaniu nieuczciwej konkurencji oraz przepisów ustawy
prawo własności przemysłowej.
AUTORZY:
Powód utracił domenę na skuIzabela Nowacka,
tek pomyłki, gdyż domena nie
doktorantka
została opłacona. Wcześniej
w Katedrze Prawa
Cywilnego UJ,
pod domeną powód prowadził
www.netart.pl
serwis będący internetowym
odpowiednikiem czasopisma
Marcin Polak,
„Twój Styl”, co do którego
radca prawny,
prawa przysługiwały powodowi
www.netart.pl
jako jego wydawcy. Sąd przyznał ochronę powodowi i uznał,
że poprzez rejestrację domeny
<<twojstyl.pl>> pozwany naruszył prawa ochronne powoda
do wyłącznego posługiwania
się znakiem towarowym „Twój
Styl”, który został uznany za
znak renomowany. Ponadto
Sąd uznał, że poprzez rejestrację domeny pozwany utrudnił
powodowi dostęp do rynku,
a jego zachowanie było
sprzeczne z dobrymi obyczajami. Zdaniem Sądu pozwany,
rejestrując domenę, miał świadomość tego, że jej nazwa
odpowiada chronionemu oznaczeniu a ponadto, że nazwa
ta stanowi tytuł czasopisma,
a więc polega dodatkowej
ochronie przewidzianej przez
przepisy prawa prasowego.
Powód został w ten sposób
pozbawiony możliwości wykorzystywania domeny w dotychczasowy sposób, to jest
do prowadzenia serwisu internetowego poświęconego
wydawanemu czasopismu.
Podsumowując, uznać należy, że utrata domeny przez jej
dotychczasowego abonenta
nie zawsze musi oznaczać
stan nieodwracalny i konieczność jej odkupienia od nowego
dysponenta, przy czym należy
odróżnić sytuacje, w których do
utraty domeny następuje np. na
skutek zapomnienia i nieopłacenia domeny, od sytuacji, w
których domena jest „wykradana” np. poprzez uzyskanie kodu
autoryzującego domenę przez
osobę nieuprawnioną. Te ostatnie sytuacje wykraczają poza
ramy tego artykułu i powinny
być rozpatrywane w świetle
przepisów kodeksu karnego.
Platformy
B2B
– czy to jest bezpieczne?
Ogromny wzrost popularności, coraz szersze zastosowanie, szansa na uzyskanie dofinansowania w ramach działań 8.2, a także szereg korzyści płynących z użytkowania. Korzystanie
z platform B2B rozwija i usprawnia biznes. Jak jednak wygląda kwestia bezpieczeństwa
przechowywanych w takich systemach danych?
B2B (nie)bezpieczeństwem
w sieci?
Platforma B2B, jak każda
aplikacja internetowa, stanowi
udogodnienie dla biznesu.
Źle wdrożona może jednak
46
być potencjalnym źródłem
zagrożenia. Warto podkreślić,
że cechą charakterystyczną
tej aplikacji internetowej jest
specyficzne grono odbiorców
– instytucjonalnych, bardziej
sformalizowanych, dla których
bezpieczeństwo jest szczególnie istotne.
Pierwszą grupą ataków, na
które może być narażona
nasza platforma B2B, jest
niebezpieczeństwo związane
z adresami i formularzami.
Przykładem może tu być problem semantycznych ataków
na adresy URL. Polega on
na ręcznej modyfikacji adresu
URL, następnie obserwacji rezultatów działań. W przypadku
aplikacji podatnej na tego typu
atak może dojść do podglądu
lub zmiany danych przez
użytkownika nieuprawnionego.
Kolejnym atakiem z tej
grupy jest XSS. To najbardziej
powszechna forma zagrożenia,
która zmusza aplikację do
wykonania zewnętrznych skryptów. Obrona przed tą formą
ataku polega na filtrowaniu
nadchodzących danych oraz
dodaniu znaków ucieczki do
treści pozyskiwanych ze źródła
zewnętrznego.
Inną formą ataku jest CRSF,
który polega na podrobieniu
żądania innego użytkownika.
Atak nie jest wymierzony
w samą aplikację WWW, a jego
celem jest wykorzystanie
uprawnień zaatakowanego
użytkownika do wykonania
Zdjęcie: Fotolia
B
ezpieczeństwo w platformach B2B ma podwójne
znaczenie – jest nie
tylko aspektem ważnym, jest
to także czynnik warunkujący
nasze relacje z klientami
i partnerami. Decydując się
na jego wdrożenie, musimy
mieć na względzie nie tylko
bezpieczeństwo danych
swoich, ale także danych
naszych kontrahentów.
Warto więc poznać potencjalne zagrożenia i sposoby
przeciwdziałania im.
określonej akcji. Wówczas, np.
po kliknięciu w spreparowany
link, użytkownik usuwa swoje
wszystkie faktury. Możliwość
obrony polega w tym wypadku na każdorazowym
uwierzytelnianiu użytkownika
podczas wykonywania akcji
wymagających zalogowania,
np. za pomocą tokena.
Podrabianie formularza
i żądań HTTP jest równie
groźną formą ataku, polegającą
na zmianie pól formularza
tak, by spełniał on wymagania atakującego, następnie
wysłaniu tego rodzaju formularza na nasz adres. Atak ten
nie będzie jednak groźny, jeśli
filtrujemy przychodzące dane.
Drugą grupą zagrożeń są
bezpośrednie ataki na bazy
danych. Pierwszym przykładem
takiego ataku jest ujawnienie
danych uwierzytelniających,
czyli umożliwiających dostęp
do naszej bazy danych. Najlepszym sposobem uniknięcia takiej sytuacji jest przecho-
które umożliwiają zmianę tego
zapytania zgodnie z oczekiwaniami atakującego. Podstawowym sposobem zabezpieczania przed SQL Injection jest
niedopuszczenie do nieuprawnionej zmiany wykonywanego
Źle wdrożona platforma B2B może
być potencjalnym źródłem zagrożenia.
Bezpieczeństwo jest tutaj bardzo istotne!
wywanie plików poza katalogiem dokumentów WWW.
Jeżeli jest to niemożliwe, należy
zabezpieczyć katalog przed
dostępem z zewnątrz.
SQL Injection to jedna
z najczęstszych słabości
wszelkiego rodzaju aplikacji
WWW. Atak polega na przekazaniu do zapytania parametrów,
zapytania. Można to zrobić na
poziomie aplikacji (filtrowanie
danych i znaki ucieczki),
bazy danych (uprawnienia,
procedury składowane) bądź
serwera www.
Kolejna grupa ataków jest
związana z uwierzytelnianiem
i autoryzacją. Jednym z przykładów tego rodzaju działań jest
łamanie haseł. Najczęstszymi
atakami są tutaj ataki wyliczeniowe (brute force) i słownikowe.
W pierwszym z nich atakujący,
próbując zalogować się,
sprawdza wszystkie możliwe
kombinacje hasła. Druga
metoda jest skuteczniejsza
– nie sprawdza wszystkich
dostępnych możliwości, lecz te
z listy najbardziej prawdopodobnych haseł (ze słownika).
Skuteczną obroną przed tym
atakiem jest ograniczenie ilości
oraz częstotliwości prób logowania z tymczasową blokadą
dostępu do konta po przekroczeniu liczby dostępnych prób.
Do systemu B2B możemy
dodać także „hakerski” słownik
zbudowany z popularnie
zmienić hasło, nie zmieniali
go na „test123!@”, a potem
ponownie wracali do tego,
które pamiętają).
W systemach wysokiej
poufności należy także dywersyfikować kanały komunikacyjne krytycznych operacji.
Idealnym przykładem będzie
dostęp do listy wszystkich faktur kontrahenta autoryzowany
poprzez podanie wybranych
4 znaków z hasła + 5 znaków
przepisanych z wysłanego SMS
na określony nr telefonu (ważny
przez 3 minuty). W tym wypadku możemy także nie prosić
nigdy o podanie całego hasła,
a jedynie wybranych losowo
5 znaków.
Decydują się na wdrożenie platformy B2B,
konieczna jest wcześniejsza analiza czynników wpływających na jej bezpieczeństwo.
Warto skorzystać tutaj z pomocy eksperta.
dostępnych w internecie źródeł
i sprawdzać, czy ustawiane
przez użytkownika hasło przez
przypadek się na nim nie znajduje – jeżeli tak, odmawiamy
utworzenia takowego.
Dodatkowo możemy stosować
wymogi bezpieczeństwa wobec
samego hasła – musi się ono
składać z małych/dużych liter,
co najmniej 1 cyfry i znaku
specjalnego. Istotna jest
także polityka zmiany hasła
po określonym terminie oraz
zabezpieczenie przed ponownym ustawieniem hasła, którego kiedyś używaliśmy (aby
użytkownicy, którzy muszą
48
Warto jednak zauważyć, że
doświadczeni twórcy aplikacji
internetowych, w tym platform B2B, zdają sobie sprawę
z tego, że nie jest sztuką
stworzenie bardzo długiego
i skomplikowanego hasła. Paradoksalnie im dłuższe, tym mniej
bezpieczne. To tylko wrażenie
psychologiczne, które niestety
nie jest współmierne z realnymi
skutkami. Najczęściej efektem
długiego i skomplikowanego
hasła jest to, że użytkownik
bojąc się utracenia dostępu do
konta, trzyma hasło w widocznym miejscu, a zabezpieczenie... mija się z celem.
Podsłuchiwanie haseł to kolejna możliwość przechwycenia
danych. W tym przypadku
atakujący stara się obserwować
i podsłuchać komunikację
między użytkownikiem a aplikacją, starając się zdobyć
interesujące go informacje.
Skutecznie przeciwdziała
temu połączenie szyfrowane
SSL. Zaleca się, aby przynajmniej podczas uwierzytelnień
szyfrować połączenia. Ma to
też aspekt psychologiczny.
Użytkownik, widząc szyfrowaną
komunikację, czuje się pewniej
i nabiera większego zaufania
do aplikacji.
Atak metodą powtórzenia to
z kolei podstawienie przez
atakującego prawidłowych
danych użytkownika
(np. podsłuchanych). Aby
uniemożliwić przeprowadzenie
takiego ataku, należy przede
wszystkim starać się unikać
niepotrzebnej ekspozycji
danych dających dostęp do
zasobów oraz korzystania
z danych umożliwiających
trwały dostęp do zasobu.
Trwały login to mechanizm,
który pozwala użytkownikom
na pozostanie zalogowanymi
nawet podczas innych sesji
przeglądarki. Zwiększa on
znacząco wygodę użytkownika,
jednak zmniejsza bezpieczeństwo naszej aplikacji (nawet
jeżeli jest dobrze zaimplementowany), dlatego nie powinien
zawierać żadnych informacji,
które umożliwiałyby trwały
dostęp (login, hasło), a uwierzytelnianie powinien przeprowadzać np. na podstawie czasowo ograniczonego tokena.
Jak więc zapobiegać
zagrożeniom?
Po pierwsze: Równowaga.
Rozwiązania podnoszące
bezpieczeństwo, a wygoda
użytkownika to niestety często
wykluczające się pojęcia.
Szczególnie ważnym aspektem
projektowania platformy B2B
jest więc odnalezienie równowagi. Przede wszystkim należy
używać zabezpieczeń transparentnych dla użytkownika,
a jeżeli jest to z jakichś
względów niemożliwe, takich,
które są użytkownikowi znane.
Sytuacje potencjalnie niebezpieczne staramy się rozwiązać
łagodnie, nie utrudniając
użytkownikowi korzystania
z platformy.
Po drugie: Śledzenie przepływu danych.
Z punktu widzenia bezpieczeństwa jest to jedna z najważniejszych rzeczy, o jakich
musi pamiętać programista.
Powinien on zawsze wiedzieć,
skąd dane przychodzą, gdzie
i w jakim stanie się znajdują
oraz dokąd zostają wysłane.
Musimy wiedzieć, którym danym możemy zaufać, a które
traktować jako potencjalnie
podejrzane. Źródło pochodzenia
i przeznaczenie danych bardzo
ułatwia ścisłe trzymanie się
ustalonych jasnych konwencji
nazewniczych. Większość luk
w systemach jest efektem braku
śledzenia przepływu danych.
Po trzecie: Filtrowanie
danych przychodzących.
Jest to najważniejszy proces
dotyczący bezpieczeństwa
platformy B2B. Upewniamy
się tutaj, czy dane, które do
nas docierają, są prawidłowe,
i odpowiednio je filtrując,
znacząco zmniejszamy ryzyko,
że do aplikacji trafią dane
„skażone”, mogące mieć wpływ
na późniejsze działanie naszego
systemu. Należy zakładać, że
każde dane wymagają przefiltrowania. Wszystkie traktujmy
więc jak niepoprawne, dopóki
nie zostaną sprawdzone.
działania aplikacji. Nigdy nie
jesteśmy w stanie przewidzieć
wszystkich możliwych sposobów, jakich użyje potencjalny
atakujący, a to zdecydowanie
zmniejszy ryzyko i podniesie
bezpieczeństwo. Ważne, aby
stosowane przez nas zabezpieczenia były proste – prostota
kodu jest jedną z najważniejszych determinant bezpiecznej
aplikacji, komplikacja powoduje
często niebezpieczne luki.
Po czwarte: Znaki ucieczki
Kolejną ważną kwestią zabezpieczeń jest „escapowanie”
danych wyjściowych podczas
wysyłania ich do odbiorcy, tak
aby zachować ich oryginalne
znaczenie. Pod pojęciem odbiorcy danych rozumiemy tutaj
zarówno przeglądarki, jak i np.
bazy danych. Podobnie jak
w przypadku filtrowania danych
wejściowych, tak i tutaj proces
ten przebiega różnie, w zależności od sytuacji czy środowiska, w jakim działamy.
Działaj rozważnie!
Strategicznie?
Dość powszechnie stosowana
praktyka polega na duplikowaniu różnych zabezpieczeń.
Istotą tego jest posiadanie
„planu awaryjnego” w sytuacji, w której podstawowe
zabezpieczenie zawiedzie.
Przykładem może być dodatkowe uwierzytelnienie się
użytkownika przed wykonaniem
jakichś istotnych operacji
lub przed dostępem w szczególnie chronione miejsca.
Zawsze przyznajemy minimum możliwych uprawnień
wymaganych do poprawnego
Decydując się na korzystanie
z platformy B2B,warto
rozważnie podejść do zagadnienia. Korzyści płynące ze
stosowania tego rozwiązania
zdecydowanie przeważają.
Nie można jednak zapomnieć
o tym, że najważniejsze jest
bezpieczeństwo przechowywanych w nim danych.
Nie decydujmy się więc
na wdrożenie platformy B2B
bez wcześniejszej analizy
czynników wpływających na
jej bezpieczeństwo. Warto
współpracować w tym zakresie z profesjonalistą, który
zrozumie wagę tego czynnika
i położy szczególny nacisk
na to, żebyśmy zarówno my,
jak i nasi klienci mogli czuć
się bezpiecznie, a przy okazji mogli sprawniej i szybciej
rozwiązywać interesujące
nas kwestie.
AUTOR: Anna Moucka,
Project Manager w firmie
Positive Power.
Artykuł powstał w konsultacji z Bartłomiejem
Paulem, programistą
w firmie Positive Power,
www.positive-power.pl
www.prevent-magazine.pl

BEZPIECZEŃSTWO W E-COmmERCE

Transkrypt

Podobne dokumenty