Ogólne zasady bezpieczeństwa

Concordia Ubezpieczenia dokłada wszelkich starań, aby System Obsługi Sprzedaży
„Rubinet” oraz przechowywane dane były w pełni bezpieczne.
Niniejszy dokument stanowi zbiór informacji i wskazówek dotyczących bezpieczeństwa
Systemu Rubinet.
Spis treści
1.
Bezpieczeństwo systemu Rubinet .......................................................................................... 1
2.
Zabezpieczenie konta Użytkownika danych.......................................................................... 3
3.
Jak bezpiecznie korzystać z systemu Rubinet ....................................................................... 4
Bezpieczeństwo systemu Rubinet
1. System szyfrowania transmisji danych
Twoje hasło i login przekazywane są do Systemu Obsługi Sprzedaży - Rubinet przez internet
w formie zaszyfrowanej, przy użyciu protokołu SSL ze 128 bitowym kluczem szyfrującym.
System Rubinet wspiera tylko przeglądarki, które obsługują ten protokół szyfrujący, dzięki
czemu jest w stanie przeprowadzić zabezpieczoną transmisję danych, co daje całkowitą
gwarancję tajności informacji wymienianych z Systemem Rubinet - dotyczy to wszystkich
działań w serwisie.
2. Certyfikat
Szyfrowanie połączenia z Systemu Obsługi Sprzedaży - Rubinet protokołem SSL gwarantuje
pełne bezpieczeństwo danych wymienianych między Systemem a Użytkownikiem, pod
warunkiem, że Użytkownik rzeczywiście połączył się z Systemem Rubinet. Istnieje możliwość,
że osoba niepowołana spróbuje podszyć się pod prawidłowy serwis www (np. rubinet.pl).
Jest to mało prawdopodobne i trudne do przeprowadzenia, ale nie można wykluczyć takiej
próby, dlatego najbezpieczniej samodzielnie sprawdzić prawidłowość szyfrowanego
połączenia z Systemem Rubinet przy każdym połączeniu z Systemem.
Certyfikat SSL systemu Rubinet wystawiony
Powszechne Centrum Certyfikacji CERTUM.
przez
Zasady bezpieczeństwa
Strona 1 z 5
Dane o certyfikacie SSL dostępne są w przeglądarce Internet Explorer z rozwijalnego menu
„Plik” opcja „Właściwości” (Odpowiednio „File” i „Properties” w anglojęzycznych wersjach
przeglądarki). Po wybraniu przycisku „Certyfikaty” należy sprawdzić następujące pozycje:


'Ogólne' (ang. 'General')
'Szczegóły' (ang. 'Details')
W zakładce ze szczegółami należy zwrócić uwagę na pole - odcisk palca („Details”,
„Thumbprint”).
Dla Systemu Rubinet pole to powinno mieć wartość:
E9 81 F0 DF 1A C1 3C 17 B8 10 B0 D7 74 31 A2 3A A9 22 2F D5
Użytkownicy, którzy pracują na systemach operacyjnych Windows i korzystają z usług
Systemu Rubinet, powinni się upewnić, że mają wgrane wszystkie aktualizacje do systemu,
które zabezpieczają przed nieprawidłową identyfikacją strony.
Do danych certyfikatu można dotrzeć także klikając dwukrotnie na ikonę połączenia
szyfrowanego (żółtą kłódkę), która pojawia się na pasku stanu przeglądarki.
Informacje na temat aktualizacji do oprogramowania Windows znajdziesz na stronie:
http://technet.microsoft.com/en-us/security/bulletin
3. Nowoczesne Data Center
Serwery Systemu Rubinet znajdują się w jednym z najnowocześniejszych Data Center
w Polsce, które spełnia najwyższe standardy techniczne i środowiskowe w zakresie
bezpieczeństwa organizacyjnego, zasilania, klimatyzacji i łącz telekomunikacyjnych.
Potwierdzone zewnętrznymi certyfikatami i audytami.
4. Cookies
Po pomyślnej autoryzacji użytkownika w Systemie Rubinet, tworzone jest COOKIE
przechowujące identyfikator sesji:
(JSESSIONID, przykładowa wartość: 5B8152A6382154772CD9C62521E7B665).
Jest to jedyne ciasteczko generowane przez system. W szczególności, nie zawiera ono hasła
Użytkownika ani Jego loginu. Ciasteczko wygasa po zakończeniu sesji.
Zasady bezpieczeństwa
Strona 2 z 5
Zabezpieczenie konta Użytkownika i danych
1. Identyfikatory i hasła
Wykonanie dowolnej operacji wymaga zalogowania się do Systemu. Każdy Użytkownik
posiada następujące dane:


login - niepowtarzalny identyfikator Użytkownika,
hasło - hasło Użytkownika.
Ze względów bezpieczeństwa hasło Użytkownika nie jest przechowywane w systemie
(nie ma więc możliwości jego wykradzenia) - przechowywany jest tylko tzw. zaszyfrowany
skrót hasła - hash. Utrata starego hasła powoduje konieczność uzyskania nowego.
Hasło do systemu musi spełniać wymogi ustawy o ochronie danych osobowych.
W szczególności powinno:
- mieć minimum 8 znaków,
- zawierać przynajmniej jedną małą i wielką literę alfabetu łacińskiego,
- zawierać przynajmniej jedną cyfrę lub znak niealfabetyczny (np. !, $, #, %),
- być zmieniane co 30 dni lub częściej.
Dodatkowo nie może zawierać loginu Użytkownika ani jego części dłuższej niż dwa kolejne
znaki.
2. Ustawa o ochronie danych osobowych
System Rubinet spełnia wszystkie wymagania przedstawione w "Rozporządzenie ministra
spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) " na poziomie wysokim. Dotyczy to kwestii
ochrony technicznej, kryptograficznej jak i polityki haseł.
Concordia Polska jest administratorem danych osobowych przechowywanych w Systemie.
3. Bezpieczne uprawnienia
Każdy Użytkownik Systemu Rubinet posiada zestaw indywidualnych uprawnień składających
się na rolę. Uprawnienia te regulują w sposób precyzyjny poziom dostępu do elementów
Systemu na poziomie Użytkownika jak i Organizacji. Zastosowanie takiego rozwiązania
budowy uprawnień, w znaczny sposób wspomaga Administratorów Systemu w bezpiecznym
zarządzaniu Użytkownikami Rubinetu oraz gwarantuje ochronę przed nieuprawnionym
korzystaniem z elementów Systemu przez osoby trzecie.
Zasady bezpieczeństwa
Strona 3 z 5
Jak bezpiecznie korzystać z systemu Rubinet
Nigdy nie udostępniaj osobom trzecim loginu ani hasła dostępu.
Identyfikator (login) jest poufnym ciągiem znaków, który jest nadawany przez system,
nie możesz go zmienić.
1. Przed zalogowaniem sprawdź, czy połączenie z systemem RUBINET jest szyfrowane.
Adres witryny powinien rozpoczynać się od https://, a w dole ekranu przeglądarki www
powinien pojawić się symbol zamkniętej kłódki (Rys. 1). Brak kłódki lub otwarta kłódka
oznacza brak szyfrowania - Twoje dane są przesyłane przez Internet tekstem jawnym, co
naraża Cię na niebezpieczeństwo podsłuchu transmisji.
Rys. 1. Elementy „bezpiecznego” paska adresu przeglądarki Internet Explorer.
2. Sprawdzaj prawidłowość certyfikatu.
Zanim wpiszesz identyfikator bądź login i hasło, sprawdź certyfikat witryny (kliknięcie
w kłódkę). Sprawdź przede wszystkim datę ważności certyfikatu i dla kogo został
wystawiony. Jeśli certyfikat utracił ważność lub nie można go zweryfikować – zrezygnuj
z połączenia.
3. Po zalogowaniu do systemu RUBINET nie odchodź od komputera, a po zakończeniu
pracy wyloguj się i zamknij przeglądarkę (długość sesji).
4. Jeżeli trzykrotnie pomylisz się przy wpisywaniu hasła, Twoje konto zostanie
zablokowane na okres 5 minut.
Blokada chroni Twoje konto przed niepożądanymi próbami wejścia osób trzecich.
Jeżeli Twoje konto jest zablokowane, a nie podejmowałeś próby zalogowania – zgłoś to pilnie
wysyłając e-mail na adres:
[email protected]
5. Jeśli przy logowaniu pojawią się nietypowe komunikaty lub prośby o podanie
danych osobowych lub dodatkowe pola z pytaniem o hasła do autoryzacji,
natychmiast zgłoś problem do swojego Managera Wsparcia Sprzedaży lub
w systemie RUBINET w zakładce Pomoc.
Zasady bezpieczeństwa
Strona 4 z 5
6. Zaleca się okresowe wykonanie skanowania komputera, w szczególności przed
wejściem na stronę internetową systemu i wykonaniem jakiejkolwiek transakcji.
7. Nigdy nie używaj wyszukiwarek internetowych do znalezienia strony logowania
systemu RUBINET.
Wyszukane w nich linki mogą prowadzić do fałszywych stron lub stron zawierających wirusy.
8. Nie zapisuj nigdzie haseł służących do logowania i pamiętaj o ich regularnej
zmianie.
Jeśli system nie zmusza Cię do zmiany hasła - zmieniaj je samodzielnie przynajmniej raz w
miesiącu.
9. Korzystaj z adresu pomocy udostępnionego przez Concordia Ubezpieczenia.
Zawsze możesz skorzystać z pomocy, jeśli masz wątpliwości w zakresie bezpiecznych
transakcji zakupu ubezpieczenia - wykonywanych za pośrednictwem Internetu.
10. Komputer podłączony do Internetu musi mieć
antywirusowy i musi on być na bieżąco aktualizowany.
zainstalowany
program
Niezbędna jest również aktywacja istotnych modułów w pakiecie ochronnym takich jak
monitor antywirusowy, skaner poczty czy firewall. Nie należy wyłączać wspomnianych
modułów w celu redukcji obciążenia systemu.
11. Aktualizuj system operacyjny i istotne dla jego funkcjonowania aplikacje np.
przeglądarki internetowe.
Hakerzy stale szukają luk w oprogramowaniu, które są następnie wykorzystywane do
przestępstw internetowych. Producenci systemów operacyjnych i aplikacji publikują
stosowne „łaty”, których celem jest usuwanie podatności ich produktów na ataki
przeprowadzane za pośrednictwem znalezionych luk.
PAMIĘTAJ
Nawet najlepsze zabezpieczenia nie pomogą, jeżeli nie będziesz chronić swojego
indywidualnego identyfikatora (loginu) i hasła przed osobami trzecimi.
Zawsze stosuj się do zaleceń przedstawionych w niniejszym dokumencie.
Dyr. Biura Infrastruktury IT
Marcin Kmetko
Zasady bezpieczeństwa
Strona 5 z 5