Audyt Contact Center z wdrożenia zapisów Aneksu



Podobne dokumenty
Audyt Contact Center z wdrożenia zapisów Aneksu

Audyt Contact Center z wdrożenia zapisów Aneksu

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

Karta równoważności Warszawa, 30 Marca 2009

Audyt równego dostępu do systemów informatycznych TP zgodnie z wymaganiami UKE Podsumowanie Raportu

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

Wstęp. Ogólne założenia

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

II. Prawa i obowiązki Biura Karier Wyższej Szkoły Bankowej we Wrocławiu w zakresie pośrednictwa pracy, staży i praktyk dla pracodawców:

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

ZASADY PROWADZENIA CERTYFIKACJI PUNKTÓW INFORMACYJNYCH FUNDUSZY EUROPEJSKICH I PRACOWNIKÓW PUNKTÓW INFORMACYJNYCH

Pakiet antykorupcyjny dla firm - wymóg ustawy o jawności życia publicznego

Uwagi kryterium TAK NIE Uwagi. 1) Uzasadnienie możliwości realizacji założeń projektu

Instytut-Mikroekologii.pl

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

Umowa nr TXU/TXXI/INNE/ /2018 powierzenia przetwarzania danych osobowych

Projekt Kwalifikacja jakości w Uniwersytecie Nr POKL /11. ZAPROSZENIE DO SKŁADANIA OFERT nr 4/ZSO/KJU/2014

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

Regulamin korzystania z Moje GS1

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

REGULAMIN PROMOCJI 75% taniej na start. 1. Postanowienia ogólne

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

Szkoła Podstawowa nr 2

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Umowa powierzenia przetwarzania danych osobowych

Umowa na przetwarzanie danych

Regulamin świadczenia usług drogą elektroniczną w CAT LC Polska Sp. z o.o. WSTĘP

Standard świadczenia doradczo-szkoleniowej usługi pilotażowej w zakresie wykorzystania technologii informacyjnych w zarządzaniu przedsiębiorstwem

ISTOTNE POSTANOWIENIA UMOWY (IPU) - modyfikacja. Przedmiot umowy

POLITYKA ZAKUPU SPRZĘTÓW I USŁUG ZRÓWNOWAŻONY ŁAŃCUCH DOSTAW

Zakres i cel przetwarzania danych

Opis systemu kontroli wewnętrznej w mbanku S.A.

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Kwestionarisz samooceny

Pozostałe zagadnienia związane z realizacją procesu (do określenia przed kontrolą) KONTROLA

Przykład klauzul umownych dotyczących powierzenia przetwarzania

STANDARDY I KRYTERIA OCENY JAKOŚCI PROGRAMÓW PROMOCJI ZDROWIA I PROFILAKTYKI W RAMACH SYSTEMU REKOMENDACJI

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

REGULAMIN KOMITETU DS. AUDYTU BANKU HANDLOWEGO W WARSZAWIE S.A.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

Współpraca biegłego rewidenta z departamentem audytu wewnętrznego badanej jednostki

WPROWADZENIE ZMIAN - UAKTUALNIENIA

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Kwestionariusz samooceny kontroli zarządczej

REGULAMIN KOMITETU DS. AUDYTU BANKU HANDLOWEGO W WARSZAWIE S.A.

Polska Agencja Rozwoju Przedsiębiorczości Departament Wsparcia e-gospodarki. Poradnik przedsiębiorcy poświęcony prowadzeniu i rozliczaniu projektów

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Regulamin korzystania z Portalu Narodowego Funduszu Zdrowia

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ

PLAN AUDYTU WEWNĘTRZNEGO NA ROK 2012 w Biurze Rzecznika Praw Obywatelskich

Audyt PTK Centertel z wdrożenia zapisów Aneksu

KWESTIONARIUSZ SAMOOCENY. NIE w pełnym zakresie

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krzywdzie

Opis systemu kontroli wewnętrznej w PLUS BANK S.A.

Umowa powierzenia przetwarzania danych osobowych nr..

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBARTOWIE

NOSEK ( Narzędzie Oceny Systemu Efektywnej Kontroli ) Sporządzili: Bożena Grabowska Bogdan Rajek Anna Tkaczyk Urząd Miasta Częstochowy

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

System kontroli wewnętrznej w Limes Banku Spółdzielczym

Uchwała wchodzi w życie z dniem uchwalenia.

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (zwana dalej Umową )

Analiza poziomów przygotowania do ponownego użycia i recyklingu w kontekście celów na 2020 r. Jacek Pietrzyk

Regulamin świadczenia usług drogą elektroniczną. przez Brass

System Kontroli Wewnętrznej w Banku BPH S.A.

Regulamin Portalu

UMOWA POWIERZENIA DANYCH OSOBOWYCH - (projekt)

ROZPORZĄDZENIE MINISTRA ŚRODOWISKA 1) z dnia 6 lutego 2006 r. w sprawie wymagań dla audytorów uprawnionych do weryfikacji rocznych raportów 2)

Szkolenie otwarte 2016 r.

Warszawa, 2 września 2013 r.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Regulamin Programu Stażowego REGULAMIN PROGRAMU STAŻOWEGO

UMOWA NR RARR/CRW/ /2018 UCZESTNICTWA W PROJEKCIE Innowacyjne Techniki Projektowania i Wytwarzania w Branży Lotniczej - SOLIDWORKS/CNC

Wybó r Autóryzówanegó Dóradcy CSR

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. pomiędzy: (zwana dalej Umową )

ZARZĄD WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO INSTYTUCJA ZARZĄDZAJĄCA REGIONALNYM PROGRAMEM OPERACYJNYM WOJEWÓDZTWA ZACHODNIOPOMORSKIEGO

Ocena stosowania Zasad ładu korporacyjnego dla instytucji nadzorowanych w Domu Maklerskim Navigator S.A. za rok obrotowy 2015

POLITYKA PRYWATNOŚCI W SERWISIE SENTIONE.COM

UMOWA NR.. o przeprowadzenie audytu zewnętrznego wydatkowania środków finansowych na naukę

Proces desygnacji w programach polityki spójności w perspektywie finansowej stycznia 2015 r.

Załącznik Nr 4 do Umowy nr.

Transkrypt:

Audyt Contact Center z wdrożenia zapisów Aneksu Raport Audytora z wdrożenia zapisów Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską Audyt wg stanu na dzień 30.09.2012 r. Streszczenie Raportu Warszawa, 15 października 2012 r.

SPIS TREŚCI Spis treści... 2 Uwagi wstępne... 3 Zasada Niedyskryminacji ( 2 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 4 System motywacyjny ( 3 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 7 Wdrożenie dobrych praktyk oraz Wykaz niedozwolonych informacji ( 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu)... 8 Rozdział systemów IT ( 5 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )...10 Załącznik nr 25a do Umowy Wykaz niedozwolonych informacji - rozwiązania systemowe (Załącznik nr 1 do Aneksu)...11 2

UWAGI WSTĘPNE Niniejsze opracowanie stanowi podsumowanie wyników prac audytowych przeprowadzonych w dniach 10.09.2012 15.10.2012 na postawie umowy zawartej pomiędzy Telekomunikacją Polską S.A. oraz A.T. Kearney Sp. z o.o.. Celem poniższego dokumentu jest przedstawienie wyników oceny wdrożenia zapisów Aneksów do Umowy pomiędzy Contact Center (CC) a Telekomunikacja Polską (TP) na dzień 30.09.2012 w zakresie wymagań organizacyjnych, procesowych jak i wymagań dotyczących systemów IT oraz funkcjonalności i procesów biznesowych przez nie realizowanych dla spółki Contact Center. Układ streszczenia jest analogiczny do układu Aneksu, przy czym część załączników bezpośrednio związanych z paragrafami Aneksu została opisana łącznie w ramach odpowiednich paragrafów. Inne załączniki, ze względu na specyfikę poruszanych zagadnień, zostały opisane w formie oddzielnych rozdziałów. Audytor oświadcza, że wykonał Umowę z najwyższą zawodową starannością w oparciu o informacje, dane i dokumenty dostarczone przez TP. Jednocześnie Audytor zastrzega, iż nie ponosi żadnej odpowiedzialności za dalsze działania podejmowane przez TP oraz osoby trzecie w oparciu o sporządzony dokument. Ponadto, poniższy dokument, jako streszczenie menadżerskie, nie zawiera wszystkich elementów zawartych w głównej części Raportu Audytora, w tym szczegółowych opisów stanu realizacji Aneksu, uzasadnień ocen oraz rekomendacji Audytora. Tym samym streszczenie nie powinno być traktowane jako materiał kompletny. 3

ZASADA NIEDYSKRYMINACJI ( 2 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W okresie od 1 lipca 2012 do 30 września 2012 spółka Contact Center kontynuowała realizację działań wymaganych zapisami 2 Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską. Ocena Audytora Audytor pozytywnie ocenia realizację wymagań Aneksu, lecz dostrzega zagrożenie związane z przepływem informacji w przypadku jednoczesnego zatrudnienia pracowników partnerów TP, PTK, OCS i CC przy realizacji czynności związanych z obsługą zleceń hurtowych i sprzedażą produktów regulowanych TP i PTK. W opinii Audytora przeniesienie jednostki organizacyjnej DUR z CC do struktury TP od 1.07.2012 przyczyniło się znacząco do zmniejszenia zagrożenia zasady niedyskryminacji. Dodatkowo planowana jest również likwidacja domeny Korpo TP w CC ograniczając znacząco liczbę pracowników posiadających dostęp do danych chronionych. W dalszym ciągu w CC brakuje jednak mechanizmów systemowej weryfikacji dostępów do danych chronionych dla pracowników partnerów, które pozwoliłyby na zapobieganie jednoczesnej realizacji zadań dla Hurtu i Detalu przez pracowników partnerów. Ponadto Audytor wskazuje na brak umowy odnośnie wymiany danych osobowych pomiędzy spółkami grupy GTP, a CC co w opinii Audytora uniemożliwia przeprowadzenie rzetelnej analizy podwójnego zatrudnienia pracowników CC zarówno przez Audytora, jak i Audyt Wewnętrzny TP. Nie zidentyfikowano różnic w obsłudze pomiędzy poszczególnymi OA mających charakter dyskryminujący w ramach procesów obsługi OA realizowanych przez CC. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: Wprowadzenie obowiązku klauzulowania dokumentacji i korespondencji elektronicznej; Wprowadzenie narzędzi wspierających proces klauzulowania; Zobowiązanie pracowników do przestrzegania KDP i ich przeszkolenie z zakresu zasad ChM (wszyscy nowi współpracownicy i pracownicy są szkoleni na bieżąco, natomiast po upływie 1 roku organizowane jest szkolenie powtórkowe); Wdrożenie systemu do prowadzenia ewidencji osób przetwarzających Dane Chronione i rozszerzenie ewidencji pracowników przetwarzających dane chronione na całą organizację; Aktualizacja Instrukcji nadawania / zmiany oraz odbierania domeny informacyjnej w Contact Center (rozszerzenie jej o procedurę odbierania domeny); Podpisanie pomiędzy CC, a Agencjami Pracy Tymczasowej (APT) Aneksów do umów, obligujących APT do przestrzegania KDP; 4

Zdjęcie domeny informacyjnej z kont pracowników oznaczonych domeną Operacje CC i wprowadzenie zakazu przekazywania danych chronionych na skrzynki nieposiadające domeny informacyjnej; Aktualizacja procedury zawierania umów z dniem 14.03.2012 o zapis dotyczący akceptacji Dyrektora DUR w przypadku, gdy umowa przewiduje przetwarzanie Danych Chronionych oraz o zapis zobowiązujący do przestrzegania Kodeksu Dobrych Praktyk, jeżeli umowa dot. Danych Chronionych Aneks TP-CC na mocy porozumienia z dnia 01.07.2012 pomiędzy TP a CC uległ rozwiązaniu w dniu 30.09.2012 (w efekcie rozwiązania przedmiotowej umowy o świadczeniu usług przez CC na rzecz TP z dnia 29.01.2010). W rezultacie uchwałą nr 22/12 w dniu 16.07.2012 roku Zarząd Contact Center przyjął aktualny Regulamin Organizacyjny Spółki obowiązujący od 01.07.2012, który zmienił dotychczasowy podział struktury organizacyjnej na domeny informacyjne (brak domeny hurtowej). Wprowadzone w badanym okresie zmiany prawne lub organizacyjne nie miały negatywnego wpływu na realizację zapisów Porozumienia wymienionych w 2.4-2.7 Załącznika nr 10. Audytor w ramach badania zweryfikował dodatkowo liczbę pracowników i współpracowników CC, którzy ukończyli moduł podstawowy i rozszerzony szkolenia w odniesieniu do stanu zatrudnienia na dzień 30.09.12 (aktywne konta w Systemie 58) badanie wykazało, że na dzień audytu wszyscy zatrudnieni pracownicy i współpracujący Partnerzy CC zostali przeszkoleni ze znajomości Porozumienia w zakresie obu modułów. Z dniem 01.07.2012 na podstawie Porozumienia (zawartego 01.07.2012) w sprawie rozwiązania Umowy z dnia 29.01.2010 przeniesiono pracowników Departamentu Usług Regulowanych (DUR) CC świadczących usługi hurtowe do TP. Zagrożenia W badanym obszarze Audytor zidentyfikował następujące zagrożenia: Brak pełnej weryfikacji podwójnego zatrudnienia może zwiększać ryzyko wystąpienia takiego przypadku pomiędzy domenami mającymi różne poziomy uprawnień dostępu do informacji chronionych Niepoprawne klauzule nadawane wysyłanej korespondencji zwiększają ryzyko nieuprawnionego przepływu danych chronionych. Ryzyko działań niezgodnych z Porozumieniem w zakresie zasady niedyskryminacji przez nowych pracowników CC oraz Partnerów CC do momentu przeszkolenia. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: Wdrożenie planowanych systemowych mechanizmów zabezpieczających przed jednoczesnym zatrudnieniem pracowników partnerów TP, PTK, OCS i CC. Umożliwienie przeprowadzenia pełnej weryfikacji podwójnego zatrudnienia Cykliczne przeprowadzanie akcji informacyjnych dot. konieczności klauzulowania korespondencji oraz weryfikacja wypełniania tego obowiązku 5

Weryfikacja metody doboru próby do badania klauzulowania wiadomości maili w celu zwiększenia ilości wiadomości zawierających dane chronione. Regularna komunikacja do Partnerów CC o konieczności przeszkolenia pracowników. Monitorowanie poziomu przeszkolenia ze znajomości Porozumienia pracowników i współpracowników CC (według aktywnych kont w systemie 58). 6

SYSTEM MOTYWACYJNY ( 3 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W badanym okresie nie doszło do zmian w regulacjach wewnętrznych CC dotyczących systemów motywacyjnych. Jednak, w związku z podpisaniem w dniu 01.07.2012 porozumienia przez TP i CC o rozwiązaniu umowy o świadczeniu usług (z dnia 29.01.2010), zaprzestaniem przez CC obsługi Procesów Usług Regulowanych na rzecz TP oraz przeniesieniem wszystkich pracowników CC wykonujących tę obsługę do TP na zasadzie art. 23 1 K.p., regulacje wewnętrzne w zakresie systemów motywacyjnych nie mają zastosowania w praktyce. Ocena Audytora W związku z sytuacją opisaną punkt wyżej w przypadku zapisów Paragrafu 3 występuje brak możliwości oceny realizacji zapisów Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską. Zagrożenia W związku z brakiem możliwości oceny spełnienia przez TP wymagań zawartych w 3 Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską, nie zidentyfikowano zagrożeń dla dalszej realizacji Porozumienia. Rekomendacje W związku z brakiem możliwości oceny spełnienia przez TP wymagań zawartych w 3 Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską oraz niezidentyfikowaniem zagrożeń dla dalszej realizacji zapisów Aneksu w tym zakresie, nie zdefiniowano rekomendacji w omawianym obszarze. 7

WDROŻENIE DOBRYCH PRAKTYK ORAZ WYKAZ NIEDOZWOLONYCH INFORMACJI ( 4 ZAŁĄCZNIKA NR 25 ORAZ ZAŁĄCZNIK NR 25A DO ANEKSU) Wprowadzenie 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu określają wymagania, jakie powinno spełniać CC, by ograniczyć przepływ informacji mogący prowadzić do dyskryminacyjnych działań CC. CC realizuje je poprzez wdrożenie odpowiednich mechanizmów, które powinny zapewniać skuteczną realizację zobowiązań wynikających z Aneksu. Ocena Audytora CC zrealizowało większość wymagań Aneksu w obszarze Chińskich murów pozasystemowych. W opinii Audytora zaprzestanie obsługi zleceń hurtowych od 1.07.2012 znacząco przyczyniło się do zmniejszenia zagrożenia naruszenia zasady niedyskryminacji. Ponadto Audytor pozytywnie ocenia plany likwidacji domeny Korpo TP w CC, co przyczyni się znacząco do ograniczenia liczby pracowników posiadających dostęp do danych chronionych. Audytor pozytywnie ocenia również trzy punkty Aneksu związane z Kodeksem Dobrych Praktyk. CC wdrożyło procedury zobowiązujące pracowników do umieszczania klauzul KDP w nowo zawieranych kontraktach, jeśli kontrahent będzie miał dostęp do danych chronionych. Ponadto, CC podpisuje na bieżąco aneksy zawierające zapisy KDP do wszystkich umów z kontrahentami, których pracownicy mieli dostęp do danych chronionych. Audytor zidentyfikował jednak szereg obszarów wymagających dalszej pracy by spełnić wymagania stawiane przez Paragraf 4 Załącznika do Aneksu TP-CC Audytor wskazuje na konieczność zaktualizowania wewnętrznych wytycznych dot. ChM oraz zarządzania danymi chronionymi w kontekście wdrożonych w okresie audytowanym zmian organizacyjnych. Ponadto zidentyfikowane utrudnienia w weryfikacji zarówno systemowej (brak wyróżniania pomieszczeń w budynkach CC) oraz rzeczywistej (brak domeny na identyfikatorze pracowników CC) mogą przyczynić się do opóźnień w identyfikacji konfliktów domenowych w pomieszczeniach własnych CC. W dalszym ciągu w CC brakuje jednak mechanizmów systemowej weryfikacji dostępów do danych chronionych dla pracowników partnerów, które pozwoliłyby na zapobieganie jednoczesnej realizacji zadań dla Hurtu i Detalu przez pracowników partnerów. W odniesieniu do systemów IT, CC wdraża dobre praktyki poprzez stosowanie procedur przyznawania i odbierania dostępów oraz stosowanie wybranych mechanizmów pozaaplikacyjnej kontroli i zapobiegania wymianie niedozwolonych informacji (np. klauzulowanie wiadomości wysyłanych pocztą elektroniczną). Zagrożenia Audytor zidentyfikował poniższe zagrożenia w zakresie Chińskich Murów w CC: 8

Nieaktualne wytyczne wewnętrzne dotyczące zasad przetwarzania danych chronionych zwiększają ryzyko związane z zarzadzaniem danymi chronionymi; Zbyt mała próba wiadomości wylosowanych do audytu klauzulowania oraz stosowany operat losowania próby może ograniczać skuteczność badania; Utrudnienia w weryfikacji zarówno systemowej (brak wyróżniania pomieszczeń w budynkach CC) oraz rzeczywistej (brak domeny na identyfikatorze pracowników CC) mogą przyczynić się do opóźnień w identyfikacji konfliktów domenowych w pomieszczeniach; Brak mechanizmów systemowej weryfikacji niedozwolonego podwójnego zatrudnienia pracowników CC w spółkach GTP może prowadzić do utrudniania wykrycia takich przypadków; Rekomendacje W związku ze stwierdzonymi zagrożeniami w zakresie Chińskich Murów w CC, Audytor rekomenduje: Weryfikacja metody doboru próby do badania klauzulowania wiadomości mail w celu zwiększenia ilości wiadomości zawierających dane chronione; Aktualizacja dokumentacji wewnętrznej dotyczącej zarządzania danymi chronionymi, w szczególności wytycznych do postępowania z dokumentami zawierającymi dane chronione w CC pod kątem wdrożonych zmian organizacyjnych; Przeprowadzenie analizy możliwości wprowadzenia jednoznacznych oznaczeń pomieszczeń w budynkach CC i bazie danych Outlook; Przeprowadzenie analizy możliwości umieszczenia domeny pracowników na identyfikatorach pracowników w pomieszczeniach własnych CC; Do momentu wdrożenia systemowej weryfikacji zakazu podwójnego zatrudnienia na podstawie danych osobowych pracowników zatrudnianych w spółkach Grupy TP - kontynuowanie cyklicznej kontroli podwójnego zatrudnienie pracowników hurtu w spółkach GTP, bazującego przynajmniej na badaniu losowej próbki pracowników z różnych spółek GTP, obejmującego w szczególności pracowników Contact Center; Wprowadzenie mechanizmów systemowej weryfikacji podwójnego zatrudnienia pracowników partnerów; 9

ROZDZIAŁ SYSTEMÓW IT ( 5 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W Paragrafie 5 Załącznika Nr 4 do Aneksu do Umowy pomiędzy TP i CC sformułowano zasadę, zgodnie z którą w wyniku wdrożenia zmian, Systemy IT CC mają tak funkcjonować, aby uniemożliwić dyskryminujący przepływ niedozwolonych informacji w Grupie TP. Znaczna część systemów wykorzystywanych przez CC jest dostarczana przez TP lub PTK (w tym systemy przetwarzające dane chronione przed Detalem TP i/lub Detalem PTK). Systemy te objęte są analogicznymi wymaganiami na mocy Porozumienia pomiędzy UKE i TP oraz aneksu do Umowy pomiędzy TP i PTK będącego odpowiednikiem Aneksu analizowanego w niniejszym Raporcie. Dlatego tez badając wypełnienie zapisów niniejszego Aneksu Audytor koncentrował uwagę na systemach własnych CC. Ocena Audytora Zgodnie z wymaganiami Porozumienia, w dniu 31.07.2011 zostały zakończone w CC prace nad zmianami w systemach w adekwatny sposób adresujące zasadę niedyskryminacji. Tym samym CC zrealizowała wszystkie wymagania Aneksu w obszarze Chińskich murów systemowych. Zgodnie z prowadzoną ewidencją systemową, w CC wdrożone są 3 systemy własne (nie licząc pakietów do prac biurowych i innych niezwiązanych z obsługą kampanii telefonicznych). Wszystkie 3 systemy zawierają dane chronione; W CC wdrożone są procedury przyznawania i odbierania pracownikom uprawnień do dostępu do informacji chronionych, obowiązujące od 15.11.2011; W ramach niniejszego audytu Audytor sprawdził 2 systemy TP udostępnione CC oraz 2 systemy PTK udostępnione CC. W analizowanych wypadkach nie stwierdzono niedozwolonego przepływu danych chronionych. Od czasu poprzedniego audytu wprowadzono rekomendacje w Systemie 25 wykorzystywanym przez CC. Wdrożenie Systemu 34 zrealizowano w sposób umożliwiający korzystanie z narzędzia przez wszystkich użytkowników ewidencjonowanych w Systemie 34. Z narzędzia mogą korzystać pracownicy CC. Zagrożenia Brak Rekomendacje Brak 10

ZAŁĄCZNIK NR 25A DO UMOWY WYKAZ NIEDOZWOLONYCH INFORMACJI - ROZWIĄZANIA SYSTEMOWE (ZAŁĄCZNIK NR 1 DO ANEKSU) Wprowadzenie Załącznik Nr 25A oraz rozdział IV Załącznika Nr 25B przywołują zapisy Załącznika Nr 6 do Porozumienia TP UKE. Zapisy te definiują kierunki przepływu i zakresy informacji jakie objęte są zakazem przekazywania na mocy Porozumienia. Z punktu widzenia analizowanego Aneksu do umowy pomiędzy TP i CC zapisy Załączników doszczegóławiają zasadę niedyskryminacji sformułowaną w Paragrafie 5 Załącznika Nr 4. Ocena Audytora Wdrożenie w systemach CC i PTK zakończyło się zgodnie z założeniami Porozumienia w dniu 31.07.2011. Zdaniem Audytora zrealizowany przez CC program zmian w systemach IT uwzględnia szczegółowe wymagania odnośnie zabronionych kierunków przepływu i zakresu informacji chronionych. Program ten został zdefiniowany w sposób spójny ze zrealizowanym w TP i PTK programem wdrożenia ChM. Zagrożenia Brak Rekomendacje Brak 11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres