Procedura zabezpieczenia przesyłanych danych osobowych

Procedura zabezpieczenia przesyłanych danych osobowych

 

§ 1. Zakres i cel procedury

1. Procedurę zabezpieczenia przesyłanych danych osobowych, zwaną dalej Procedurą stosuje się w przypadku konieczności udostępniania plików zawierających informacje chronione, w tym dane osobowe, do adresatów zewnętrznych (np. Exadel, IBM, Microsoft i ich przedstawicieli).

2. Celem stosowania Procedury jest zapewnienie bezpieczeństwa przechowywanych danych osobowych i innych informacji chronionych, w szczególności zapewnienie ich poufności, dostępności i integralności i zabezpieczenie przed zniszczeniem, utratą i ujawnieniem osobom nieuprawnionym. Procedurę należy stosować do wszelkiego udostępniania plików zawierających informacje chronione, w tym dane osobowe zarówno w odniesieniu do koniecznego udostępniania danych osobowych, których administratorem jest Asseco, jak i danych osobowych przetwarzanych przez Asseco, których administratorem jest Comarch. Procedurę stosuje się także w przypadku przesyłania do Asseco dotyczących go danych osobowych (np. wcześniej powierzonych) oraz w komunikacji wewnętrznej.

3. Procedura reguluje:

   1) zasady udostępniania danych osobowych lub innych danych objętych ochroną przy użyciu sieci Internet lub innych publicznych sieci komunikacyjnych,

   2) zasady szyfrowania danych osobowych i innych informacji,

   3) zasady tworzenia i wysyłania wiadomości zawierających te dane lub udostępniania linków do plików i innych źródeł zawierających takie dane,

   4) zasady doboru adresatów wiadomości.

4. Procedura jest przeznaczona dla wszystkich użytkowników udostępniających ww. dane drogą elektroniczną.

 

§ 2. Pojęcia

Pojęciom występującym w Procedurze nadaje się znaczenie wskazane poniżej:

   1) Administrator – Administrator Danych Osobowych w rozumieniu art. 4 pkt 7) RODO, np. Asseco (jako administrator danych osobowych Comarch), Comarch jako administrator danych osobowych Orange;

   2) Administrator systemów – Orange wyznaczona przez Administratora Danych Osobowych sprawująca nadzór nad informatycznym bezpieczeństwem systemów i sieci;

   3) Dane – dane osobowe oraz informacje chronione;

   4) Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1) RODO, t.j. wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (Asseco); np. Jan Kowalski, 87031201234 (87031201234, PESEL), informacja o zatrudnieniu;

   5) Informacja chroniona – każda informacja wytworzona lub otrzymana przez Asseco, w odniesieniu, do której istnieje ustawowy lub umowny obowiązek jej ochrony przed nieuprawnionym dostępem, utraceniem lub zniszczeniem; informacje chronione obejmują dane osobowe oraz inne informacje o wartości gospodarczej dla Asseco lub Comarch,

   6) Użytkownik – każda osoba przetwarzająca dane w organizacji, tj. w Asseco, z upoważnienia administratora.

 

§ 3. Zasady udostępniania plików zawierających dane

1. W przypadku udostępniania danych zabronione jest umieszczanie ich, bezpośrednio w treści komunikatu/wiadomości, w temacie, w niezaszyfrowanych/niezabezpieczonych plikach lub załącznikach, w adresie email, w nazwie/ścieżce linka, w nazwie pliku lub innych niezabezpieczonych elementach wchodzących w skład przekazywanego komunikatu.

2. Dane osobowe lub inne dane objęte ochroną mogą być udostępniane wyłącznie w postaci zabezpieczonej.

3. Jako zabezpieczenie dopuszcza się szyfrowanie plików, np. plików stanowiących załączniki do przesyłanej wiadomości, plików w lokalizacji dysk sieciowy, plików znajdujących się na stronie www, plików znajdujących się w chmurze.

4. Jako zabezpieczenie dopuszcza się pliki, do których dostęp jest możliwy jedynie po podaniu odpowiedniego hasła lub wprowadzeniu odpowiedniego klucza.

5. Udostępnieniu, mogą podlegać tylko te dane, które są niezbędne i przeznaczone dla adresata komunikatu/wiadomości. Wszelkie nadmiarowe ponad niezbędne dane, nie powinny zostać udostępnione i przed udostępnieniem informacji powinny zostać usunięte lub zanonimizowane. W przypadku udostępniania danych w arkuszach kalkulacyjnych należy sprawdzić, czy w pozostałych arkuszach skoroszytu nie są dostępne dane osobowe, które nie powinny zostać udostępnione.

6. Asseco udostępniająca dane podlegające niniejszej procedurze, jest zobowiązana zabezpieczyć wszystkie chronione dane, za pomocą narzędzi przeznaczonych do tego celu.

7. Narzędzia i metody używane do zabezpieczenia danych powinny być zgodne co do typu, rodzaju i wersji, z wewnętrznymi procedurami organizacji oraz zaakceptowane przez Orange, ewentualnie inną odpowiedzialną za bezpieczeństwo danych Play.

8. Do zabezpieczenia mogą zostać wykorzystane zarówno płatne, jak i bezpłatne narzędzia pozwalające na zabezpieczenie danych, m.in. programy archiwizujące potrafiące spakować dane z hasłem np. 7-Zip, WinRAR, lokalizacje na serwerze firmowym wymagające uwierzytelnienia i/lub hasła/klucza, lokalizacje w chmurze wymagające uwierzytelnienia i/lub hasła/klucza, o ile spełniają wymagania bezpieczeństwa zaakceptowane w organizacji i ich stosowanie jest zgodne z wewnętrznymi politykami i procedurami bezpieczeństwa oraz RODO.

 

§ 4. Testowanie wprowadzonych zabezpieczeń

1. Dokonane zabezpieczenie chroniące dane powinno zostać przetestowane z zachowaniem następujących reguł:

     1) test powinien polegać na weryfikacji i potwierdzeniu braku możliwości dostania się do danych, bez podania właściwego hasła/klucza lub odpowiedniego uwierzytelnienia;

     2) test powinien być przeprowadzony przez Orange lub T-Mobile uprawnioną do dostępu do testowanych danych (w razie niezadziałania zabezpieczeń – T-Mobile taka musi mieć prawo do przetwarzania takich danych);

     3) test powinien być wykonany przed udostępnieniem danych docelowemu adresatowi.

2. Wszystkie dane, które podlegają procedurze zabezpieczania, muszą być chronione bezpiecznym hasłem/kluczem.

3. Przez pojęcie „bezpieczne hasło/klucz” rozumie się odpowiednio skomplikowane i unikalne hasło/klucz, które spełnia wszystkie warunki zgodne z polityką i procedurami bezpieczeństwa stosowanymi w organizacji. Mogą to być przykładowo następujące warunki:

   1) ma długość co najmniej 8 znaków,

   2) zawiera duże i małe litery oraz cyfry lub znaki specjalne,

   3) nie zawiera nazwy Asseco, Orange, Play,

   4) nie zawiera imienia i/lub nazwiska,

   5) nie jest stosowane przy innym szyfrowaniu.

4. Dopuszczalne jest zabezpieczanie danych, poprzez narzędzia wykorzystujące zaawansowane techniki i algorytmy zabezpieczające/szyfrujące, które zamiast hasła wykorzystują złożone klucze szyfrujące (np. AES-256 i RSA-4096) i są zgodne ze współczesnymi standardami bezpieczeństwa NIST (w tym zgodne z przyjętymi w tym czasie poziomami skomplikowania kluczy szyfrujących). Wówczas adresat powinien dysponować odpowiednim narzędziem i kluczem pozwalającym na odbezpieczenie udostępnionych mu danych. Takie szyfrowanie wymaga wcześniejszego uzgodnienia z adresatem wiadomości.

5. Niedopuszczalne jest zabezpieczenie/zaszyfrowanie danych bez hasła lub z pustym hasłem/kluczem, jak również przesłanie takiego pliku.

6. W przypadku zabezpieczania/szyfrowania danych hasłem – niedopuszczalne jest użycie tego samego hasła, do zabezpieczenia więcej niż jednego pliku lub jednej lokalizacji danych.

7. W przypadku, gdy narzędzie wykorzystane do szyfrowania danych, tworzy zaszyfrowane pliki z rozszerzeniem, które jest niedozwolone jako załącznik (w przypadku przesyłania załączników w wiadomościach jest to często np.*.exe), wówczas konieczna jest zmiana ostatniej litery rozszerzenia pliku na znak „_”. Zmianę należy przeprowadzić przed wysłaniem pliku.

8. W przypadku udostępniania danych w chmurze lub dysku sieciowym, należy wykorzystać maksymalne dostępne rodzaje zabezpieczeń, np. w przypadku udostępniania w chmurze, udostępniać należy tylko określonym osobom (o ile to możliwe) lub/oraz tylko przez 24 godziny minimalnie niezbędny czas. Należy w tym celu skorzystać z możliwości konfiguracji ustawień udostępniania. Żadne z przytoczonych w tym punkcie zabezpieczeń dodatkowych, nie zwalnia od obowiązku zabezpieczenia danych hasłem/kluczem dostępowym.

9. Czas udostępnienia plików zawierających dane powinien być nie dłuższy niż niezbędne minimum wymagane do realizacji celu, w którym dane są udostępniane, z zachowaniem następujących zasad:

     1) Jeśli to możliwe, należy ustawić czas dostępu do danych, zgodnie z niezbędnym minimum;

     2) Jeśli to możliwe, należy usunąć dostęp do danych po upływie niezbędnego czasu dostępu;

     3) Jeśli to możliwe, należy zmienić hasło/klucz pozwalające na dostęp do danych po upływie niezbędnego czasu dostępu.

 

§ 5. Sposób przekazania zaszyfrowanych plików

1. Bezpieczne hasło/klucz należy przekazać bezpośrednio adresatowi szyfrowanej wiadomości i tylko temu adresatowi. W żadnym wypadku nie należy przekazywać hasła/klucza kopią bądź innym osobom, dla których nie były przeznaczone zaszyfrowane dane.

2. Hasło/klucz może zostać przekazane drogą inną, niż komunikat udostępniający dane, np. jeśli dane zostały przekazane emailem, wówczas hasło/klucz do odszyfrowania można przekazać drogą telefoniczną. Niedozwolone jest przekazywanie klucza/hasła poprzez wpisanie go tej samej lub innej wiadomości tego samego typu. Do przekazania hasła należy użyć innego kanału informacyjnego, niż przesłana wiadomość.

3. W przypadku planowego udostępniania plików do więcej niż jednego adresata, należy zwrócić szczególną uwagę na wybór prawidłowych adresatów. Szczególną ostrożność należy zachować przy udostępnianiu danych większej liczbie adresatów.

4. Wśród adresatów komunikatu/wiadomości z ww. danymi, nie powinny znaleźć się osoby, dla których dane nie są przeznaczone, w szczególności nawet jako adresaci tzw. „do wiadomości”, ani „ukryte do wiadomości”.

5. Należy się upewnić, że pliki z danymi osobowymi są udostępniane na właściwe adresy email, które można powiązać z adresatami, dotyczy to w szczególności zgodności wskazywanych adresów z adresami odbiorców podawanymi np. w stopce email czy wcześniejszej korespondencji z daną osobą. Szczególną ostrożność i dodatkową weryfikację należy zastosować w przypadku korespondencji kierowanej na nowy adres email (należy upewnić się, że nadawca rzeczywiście wskazał taki adres).