Audyt Contact Center z wdrożenia zapisów Aneksu

Podobne dokumenty
Audyt Contact Center z wdrożenia zapisów Aneksu

Audyt Contact Center z wdrożenia zapisów Aneksu

Audyt równego dostępu do systemów informatycznych TP zgodnie z wymaganiami UKE Podsumowanie Raportu

Karta równoważności Warszawa, 30 Marca 2009

Audyt PTK Centertel z wdrożenia zapisów Aneksu

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

SYSTEM KONTROLI WEWNĘTRZNEJ W RAIFFEISEN BANK POLSKA S.A.

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

Miejsce na zdjęcie z okładki Informacji. Wdrażanie systemu Centralnej Ewidencji Pojazdów i Kierowców Od 1 stycznia 2013 r. do 15 września 2017 r.

UMOWA O POWIERZENIE OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ BIEŻĄCĄ OBSŁUGĘ W ZAKRESIE ZAGADNIEŃ DOTYCZĄCYCH OCHRONY DANYCH OSOBOWYCH

Przedszkole Nr 30 - Śródmieście

Polityka zgodności w Kancelarii Prawniczej FORUM Radca prawny Krzysztof Piluś i spółka Spółka komandytowa

Wybó r Autóryzówanegó Dóradcy CSR

Polityka zgodności w Kredyt Inkaso S.A.

Audyt systemów informatycznych w świetle standardów ISACA

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Plus500CY Ltd. Polityka przeciwdziałania konfliktom interesów

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

Regulamin korzystania z Portalu Narodowego Funduszu Zdrowia

ZAPYTANIE OFERTOWE NR 3/dotacja

Regulamin. 1 Postanowienia ogólne. 2 Definicje

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Pakiet antykorupcyjny dla firm - wymóg ustawy o jawności życia publicznego

ZARZĄDZENIE NR 838/2009 PREZYDENTA MIASTA KRAKOWA Z DNIA 21 kwietnia 2009 r.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

Sprawozdanie z przeprowadzenia audytu

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

System kontroli biznesowej w organizacji

Szkolenie otwarte 2016 r.

Jednolity Plik Kontrolny wprowadzenie

Załącznik Nr 1 do Protokołu Nr 2/2018 z Posiedzenia Komitetu Audytu ACTION S.A. w restrukturyzacji z dnia r.

Koalicja Rzeczników Etyki w ramach Programu Biznes a Prawa Człowieka

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

System Kontroli Wewnętrznej w Banku BPH S.A.

Umowa powierzenia przetwarzania danych osobowych,

Z A R Z Ą D Z E N I E Nr 3/2011

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

II ETAP (od r. do r.) obejmuje realizację następujących zadań:

Regulamin Programu Stażowego REGULAMIN PROGRAMU STAŻOWEGO

Polityka Zarządzania Ryzykiem

- REWOLUCJA W PRZEPISACH

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr.. (nr kolejny umowy/nr jednostki/rok)

BANK SPÓŁDZIELCZY W SKAWINIE. Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Skawinie. SKAWINA, 2018 r.

Usługa: Audyt kodu źródłowego

Realizacja oraz wpływ Porozumienia TP-UKE na polski rynek telekomunikacyjny. Maciej Rogalski Warszawa, r.

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

Umowa powierzenia przetwarzania danych osobowych

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Warszawa, 2 września 2013 r.

U W A G I Polskiej Izby Informatyki i Telekomunikacji [PIIT] do propozycji zmian do procedury testu MS/PS

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Zasady powierzenia przetwarzania danych osobowych. Zawarcie umowy powierzenia przetwarzania danych osobowych

Ocena stosowania Zasad ładu korporacyjnego dla instytucji nadzorowanych w Domu Maklerskim Navigator S.A. za rok obrotowy 2015

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Współpraca biegłego rewidenta z departamentem audytu wewnętrznego badanej jednostki

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Regulamin dostępu testowego do Aplikacji erecruiter

ZARZĄDZENIE NR BURMISTRZA TYCZYNA z dnia 12 kwietnia 2016 r. w sprawie organizacji i zasad funkcjonowania kontroli zarządczej w Gminie Tyczyn

TRUDNE AUDYTY. Czy zawsze wiesz, o co pytać podczas audytów wewnętrznych? warsztaty doskonalące dla audytorów wewnętrznych. Tematy warsztatów:

Umowa powierzenia przetwarzania danych osobowych nr PDO/ /2018 zawarta w Poznaniu w dniu.. września 2018 roku

Zapytanie ofertowe na: Zakup wartości niematerialnej i prawnej w postaci nowoczesnego systemu B2B wraz ze szkoleniem z obsługi ww.

Systemy informatyczne

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

ZAPROSZENIE DO SKŁADANIA OFERT

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

wsparcia w zakresie kryteriów wyboru firmy szkoleniowej lub weryfikacji jej działań. Członkowie Polskiej Izby Firm Szkoleniowych Strona 1 z 10

Regulamin świadczenia usług drogą elektroniczną

Przez EKSPORT do SUKCESU

NOSEK ( Narzędzie Oceny Systemu Efektywnej Kontroli ) Sporządzili: Bożena Grabowska Bogdan Rajek Anna Tkaczyk Urząd Miasta Częstochowy

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Umowa powierzenia przetwarzania danych osobowych. (dalej jako: Umowa powierzenia)

ZAPYTANIE OFERTOWE: Licencje na moduły systemu B2B oraz usługi wdrożeniowe.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ORAZ POUFNOŚCI INFORMACJI

ZAPROSZENIE DO ZŁOŻENIA OFERTY CENOWEJ NA ANALIZĘ PRZYGOTOWAWCZĄ

Umowa powierzenia danych osobowych. Zawarcie umowy powierzenia

DOTACJE NA INNOWACJE- Inwestujemy w Waszą przyszłość

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

Human Performance Improvementjak HR może podnieść efektywność organizacyjną firmy

OCHRONA DANYCH OSOBOWYCH

Regulamin usługi szkoleniowej

Sprawozdanie z przejrzystości działania Mac Auditor Sp. z o.o.

NajwyŜsza Izba Kontroli Delegatura w Bydgoszczy

Zakres i cel przetwarzania danych

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Rozdział I Postanowienia ogólne

Transkrypt:

Audyt Contact Center z wdrożenia zapisów Aneksu Raport Audytora z wdrożenia zapisów Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską Audyt wg stanu na dzień 15.04.2011 r. Streszczenie Raportu Warszawa, 29 kwietnia 2011 r.

SPIS TREŚCI Spis treści... 2 Uwagi wstępne... 3 Zasada Niedyskryminacji ( 2 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 4 System motywacyjny ( 3 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 6 System motywacyjny ( 3 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )... 6 Wdrożenie dobrych praktyk oraz Wykaz niedozwolonych informacji ( 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu) rozwiązania pozasystemowe... 7 Rozdział systemów IT ( 5 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )...10 Załącznik nr 25a do Umowy Wykaz niedozwolonych informacji - rozwiązania systemowe..11 2

UWAGI WSTĘPNE Niniejsze opracowanie stanowi podsumowanie wyników prac audytowych przeprowadzonych w dniach 11.04-29.04.2011 na postawie umowy zawartej pomiędzy Telekomunikacją Polską S.A. oraz A.T. Kearney Sp. z o.o. Celem poniższego dokumentu jest przedstawienie wyników oceny wdrożenia zapisów Aneksów do Umowy pomiędzy Contact Center (CC) a Telekomunikacja Polską (TP) na dzień 15.04.2011 w zakresie wymagań organizacyjnych, procesowych jak i wymagań dotyczących systemów IT oraz funkcjonalności i procesów biznesowych przez nie realizowanych dla spółki Contact Center. Układ streszczenia jest analogiczny do układu Aneksu,, przy czym część załączników bezpośrednio związanych z paragrafami Aneksu została opisana łącznie w ramach odpowiednich paragrafów. Inne załączniki, ze względu na specyfikę poruszanych zagadnień, zostały opisane w formie oddzielnych rozdziałów. Audytor oświadcza, że wykonał Umowę z najwyższą zawodową starannością w oparciu o informacje, dane i dokumenty dostarczone przez TP. Jednocześnie Audytor zastrzega, iż nie ponosi żadnej odpowiedzialności za dalsze działania podejmowane przez TP oraz osoby trzecie w oparciu o sporządzony dokument. Ponadto poniższy dokument, jako streszczenie menadżerskie, nie zawiera wszystkich elementów zawartych w głównej części Raportu Audytora, w tym szczegółowych opisów stanu realizacji Aneksu, uzasadnień ocen oraz rekomendacji Audytora. Tym samym streszczenie nie powinno być traktowane jako materiał kompletny. 3

ZASADA NIEDYSKRYMINACJI ( 2 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie Spółka Contact Center prowadzi prace mające na celu realizację zobowiązań wynikających z 2. Prace te rozpoczęto jeszcze przed podpisaniem Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską a obecnie są one kontynuowane. Ocena Audytora Audytor pozytywnie ocenia realizację wymagań Aneksu, lecz dostrzega szereg zagrożeń w obszarze dostępu i obiegu informacji niedozwolonych, które powinny zostać wyeliminowane. Realizacja procesów obsługi usług regulowanych w CC jest prowadzona zgodnie z procesami zdefiniowanymi w TP. Audytor przedstawił uwagi do powyższych procesów w trakcie audytu TP. CC jest wykonawcą powyższych procesów i nie ma wpływu na ich kształt. Nie zidentyfikowano różnic w obsłudze pomiędzy poszczególnymi OA mających charakter dyskryminujący w ramach procesów obsługi OA realizowanych przez CC. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: wdrożenie podziału na domeny informacyjne, wprowadzenie obowiązku klauzulowania dokumentacji i korespondencji emailowej, zobowiązanie pracowników do przestrzegania KDP i ich przeszkolenie z zakresu zasad ChM. Audytor pozytywnie ocenia wysiłek szkoleniowy podjęty przez Contact Center w zakresie modułów podstawowego i pogłębionego szkoleń oraz narzędzi pomiaru efektywności przeprowadzonych szkoleń. Pozytywnie należy ocenić także podejmowane przez CC działania informacyjne w tym rozesłanie przewodnika, który zawiera niezbędne dla pracowników informacje w tym zakresie. Zagrożenia W badanym obszarze Audytor zidentyfikował następujące zagrożenia: Brak mechanizmu zapobiegającego jednoczesnej realizacji zleceń dla Detalu TP i PTK przez pracowników partnerów CC obsługujących zlecenia hurtowe dla usług regulowanych TP (DUR w CC) stanowi niebezpieczeństwo niedozwolonych przepływów informacji i ryzyko zachowań dyskryminacyjnych. W obecnej sytuacji pracownicy firm realizujących zlecenia dla Hurtu CC (pracownicy outsourcowani) mogą jednocześnie realizować zlecenia dla innych spółek GTP, w szczególności Detalu TP i PTK. Ze względu na znaczny udział pracowników outsourcowanych w CC stanowi to poważne zagrożenie. Brak mechanizmów kontroli stosowania i poprawności klauzulowania korespondencji może prowadzić do ograniczenia skuteczności zastosowanych mechanizmów. Ewidencja osób przetwarzających dane chronione jest ograniczona do osób pracujących w DUR. 4

Audytor dostrzega ryzyko związane z powstaniem w CC nowej domeny informacyjnej Korpo CC, dla której uprawnienia nie są znane w pozostałych spółkach Grupy TP, co powoduje ryzyko przepływu do tej domeny informacji, do których nie ma uprawnień. Ze względu na brak realizacji kompleksowego procesu identyfikacji miejsc przechowywania dokumentów, istnieje ryzyko występowania takich miejsc w organizacji. Audytor dostrzega ryzyko związane z utrudnionym dostępem do informacji na temat domeny informacyjnej pracowników posiadających konto pocztowe w domenie contactcenter.pl w procesie wymiany informacji drogą emailową. W opinii Audytora istnieje również ryzyko działań niezgodnych z zasadą niedyskryminacji w tym przecieku niedozwolonych informacji wynikające zarówno z braku przeszkolenia partnerów CC, którzy realizują czynności na rzecz Części Hurtowej jak również z braku dostatecznej wiedzy pracowników oraz współpracowników w zakresie KDP, niedyskryminacji oraz zasad obiegu informacji niedozwolonych. Ponadto istnieje zagrożenie działań niezgodnych z zasadą niedyskryminacji wynikające z braku bieżącego przeprowadzania czynności monitorująco-sprawdzających przestrzeganie zasady niedyskryminacji oraz ryzyko wydłużenia czasu rozpatrywania spraw przez zespół skrzynki *Niedyskryminacja z powodu nie przekazania wszystkich wymaganych informacji w trakcie zgłaszania podejrzenia naruszenia zasady niedyskryminacji. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: Wdrożenie mechanizmów zapobiegających jednoczesnej realizacji zleceń obsługi usług regulowanych dla hurtu TP i zleceń dla Detalu TP lub PTK przez pracowników partnerów CC. Wprowadzenie procesu periodycznej weryfikacji skuteczności klauzulowania poczty elektronicznej i innej dokumentacji Rozszerzenie ewidencji osób przetwarzających dane chronione na całą organizację, przeprowadzenie aktualizacji ewidencji osób przetwarzających dane chronione (rozważenie dodania informacji o kategorii przetwarzanych danych chronionych do ewidencji) Usunięcie zagrożenia związanego z przepływem informacji niedozwolonych do domeny Korpo CC z innych spółek Grupy TP Przeprowadzenie kompleksowego identyfikacji miejsc przechowywania dokumentów zawierających dane chronione i ich dostosowanie do wymagań ChM Dodanie informacji na temat domeny informacyjnej przy adresach poczty email pracowników posiadających konta w domenie contactcenter.pl Dodatkowo wskazane jest w opinii zespołu Audytora stworzenie Portalu Szkoleniowego dla partnerów CC realizujących czynności na rzecz Części Hurtowej a niemających aktualnie dostępu do systemów informatycznych, przeprowadzenie "szkoleń powtórkowych" celem przypomnienie wiedzy dotyczącej tematyki KDP, niedyskryminacji oraz obiegu informacji niedozwolonych. Ponadto niezbędne jest przeprowadzenie planowanych wewnętrznych działań monitorująco-sprawdzających w spółce CC oraz wprowadzenie zasad przekazywania zgłoszeń podejrzenia naruszenia zasady niedyskryminacji zespołowi skrzynki *Niedyskryminacja zgodnie z ustalonym formatem zawierającym wszystkie wymagane zapisami Aneksu informacje. 5

SYSTEM MOTYWACYJNY ( 3 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W okresie objętym audytem Contact Center alternatywnie stosowała część zobowiązań wynikających z 3 a dotyczących systemu motywacyjnego dla pracowników Części hurtowej CC. Ocena Audytora Na dzień audytu CC spełniła w sposób alternatywny część wymagań Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską w obszarze Systemów Motywacyjnych. Przeprowadzone w toku audytu analizy wykazały, że stosowane rozwiązania w zakresie sposobów motywowania pracowników Części Hurtowej a w szczególności kadry kierowniczej są wdrożone w sposób alternatywny w stosunku do zapisów zawartych w Aneksie. Część pracowników wsparcia zatrudnionych w Domenie Hurt CC a nierealizujących bezpośrednio usług zleconych przez Część hurtową TP w zakresie usług hurtowych nie posiada w swoich celach motywacyjnych Złożonego Wskaźnika Satysfakcji (ZWS), na który składają się prawidłowa realizacja wskaźników KPI tożsamych z wskaźnikami wykorzystywanymi w części Hurtowej TP oraz osiągnięcie wyników sprzedaży usług hurtowych. Dodatkowo, premie kadry kierowniczej są w alternatywny sposób uzależnione od realizacji celów związanych z wprowadzeniem dodatkowych elementów motywacyjnych pracownikom Części Hurtowej CC. W audytowanym okresie dokonano weryfikacji merytorycznej celów i zadań premiowych pod kątem zgodności z zapisami Aneksu oraz potencjalnego naruszenia zasady niedyskryminacji. Weryfikacja wykazała nieprawidłowości, w szczególności brak Złożonego Wskaźnika Satysfakcji w treści zadań premiowych jednego etatowego pracownika Części Hurtowej CC (cele te ustalone zostały jednak przed podpisaniem Aneksu). Zagrożenia Zidentyfikowano ryzyko działań niezgodnych z zapisami Aneksu wynikające z braku formalizacji zasad dotyczących systemów motywacyjnych opisanych w Aneksie w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki oraz braku ZWS w systemach motywacyjnych pracowników Części Hurtowej CC. Rekomendacje Audytor rekomenduje formalizację zasad dotyczących systemów motywacyjnych opisanych w Aneksie poprzez uwzględnienie zapisów dotyczących systemów motywacyjnych w wewnętrznych regulacjach (np.: regulaminie premiowania) spółki lub regulacjach wewnętrznych analogicznych do wprowadzonych w TP (Decyzji 264/10) oraz uwzględnienie ZWS w zadaniach premiowych wszystkich pracowników Części Hurtowej CC. 6

WDROŻENIE DOBRYCH PRAKTYK ORAZ WYKAZ NIEDOZWOLONYCH INFORMACJI ( 4 ZAŁĄCZNIKA NR 25 ORAZ ZAŁĄCZNIK NR 25A DO ANEKSU) ROZWIĄZANIA POZASYSTEMOWE Wprowadzenie 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu określają wymagania, jakie powinno spełniać CC, by ograniczyć przepływ informacji mogący prowadzić do dyskryminacyjnych działań CC. CC realizuje je poprzez wdrożenie odpowiednich mechanizmów, które powinny zapewniać skuteczną realizację zobowiązań wynikających z Aneksu. Ocena Audytora CC zrealizowało większość wymagań Aneksu w obszarze chińskich murów pozasystemowych. Audytor pozytywnie odnosi się do zobowiązania pracowników CC do przestrzegania Kodeksu Dobrych Praktyk. Pozytywnie oceniane jest również wprowadzenie przez CC podziału jednostek organizacyjnych na domeny informacyjne i regulacji dostępu oraz przepływów informacji w ramach domen. Za zgodne z wymaganiami Aneksu Audytor uznał również procedury nadawania dostępu do systemów IT. Realizacji wymagań Aneksu w obszarze chińskich murów pozasystemowych sprzyja również wprowadzenie proceduralnego zakazu dostępu lub wykorzystania danych chronionych przez osoby nieuprawnione i wdrożone mechanizmy ochrony przesyłanych dokumentów papierowych i elektronicznych. Audytor ocenia pozytywnie również wdrożenie zmian w procedurach rekrutacyjnych zapobiegające podwójnemu zatrudnieniu oraz przeprowadzoną akcję informacyjną dot. zakazu podwójnego zatrudnienia. Również realizacja zleceń hurtowych TP w oddzielnych lokalizacjach sprzyja wykonaniu zapisów Aneksu. Ze względu na brak określenia w harmonogramie aneksu wymaganej daty realizacji oraz wątpliwości interpretacyjne Audytor nie był w stanie ocenić realizacji trzech punktów Aneksu związanych z Kodeksem Dobrych Praktyk. W odniesieniu do systemów IT, CC wdraża dobre praktyki poprzez stosowanie procedur przyznawania i odbierania dostępów oraz stosowanie wybranych mechanizmów pozaaplikacyjnej kontroli i zapobiegania wymianie niedozwolonych informacji (np. klauzulowanie wiadomości wysyłanych pocztą elektroniczną). Zagrożenia Audytor dostrzega zagrożenia w trzech głównych obszarach: w obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk, w obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów oraz w obszarze związanym z ewidencją osób przetwarzających dane chronione. W obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk Audytor zidentyfikował następujące zagrożenia: W zakresie zobowiązywania partnerów do przestrzegania Kodeksu Dobrych Praktyk: 7

Na dzień Audytu CC nie podpisało żadnych aneksów zobowiązujących jego kontrahentów do przestrzegania zasad zawartych w KDP, co stwarza ryzyko nieprzestrzegania zasady niedyskryminacji Brak mechanizmów zobowiązujących do uwzględnienia zobowiązania do przestrzegania KDP w nowo zawieranych umowach z kontrahentami, którzy mogą mieć dostęp do danych chronionych stwarza ryzyko niewypełnienia wymagania dotyczącego zobowiązywania kontrahentów mogących mieć dostęp do danych chronionych w przyszłości Stworzenie na dzień Audytu jedynie wstępnej listy kontrahentów zawierającej 7 Agencji Pracy Tymczasowej jako kontrahentów, z którymi należy podpisać aneks zobowiązujące do przestrzegania KDP stwarza ryzyko pominięcia innych firm współpracujących z CC, w umowach z którymi powinny znaleźć się odpowiednie zapisy Brak mechanizmu zapobiegającego jednoczesnej realizacji zleceń dla Detalu TP i PTK przez pracowników partnerów CC obsługujących zlecenia hurtowe dla usług regulowanych TP (DUR w CC) stanowi niebezpieczeństwo niedozwolonych przepływów informacji i ryzyko zachowań dyskryminacyjnych. Brak mechanizmów kontroli stosowania i poprawności klauzulowania korespondencji może prowadzić do ograniczenia skuteczności zastosowanych mechanizmów W zakresie zapobiegania wymianie informacji niedozwolonych: Ryzyko związane z powstaniem w CC nowej domeny informacyjnej Korpo CC, dla której uprawnienia nie są znane w pozostałych spółkach Grupy TP, co powoduje ryzyko przepływu do tej domeny informacji, do których nie ma uprawnień Ryzyko związane z utrudnionym dostępem do informacji na temat domeny informacyjnej pracowników posiadających konto pocztowe w domenie contactcenter.pl w procesie wymiany informacji drogą emailową Przypadki nadmiarowego dostępu do systemów IT zawierających dane chronione nieuzasadnione zakresem realizowanych przez pracownika obowiązków po stronie hurtu CC W obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów Audytor zidentyfikował następujące zagrożenia: Brak akcji identyfikującej fizyczne miejsca przechowywania dokumentacji zawierającej dane chronione w CC stwarza zagrożenie dostępu do danych chronionych przez osoby nieupoważnione W obszarze związanym z ewidencją osób przetwarzających dane chronione Audytor zidentyfikował następujące zagrożenie: Ewidencja osób przetwarzających dane chronione jest ograniczona do osób pracujących w DUR, co ogranicza możliwości kontrolowania dostępu do danych chronionych Ponadto, zdaniem Audytora brak sformalizowanych mechanizmów zarządzania pomieszczeniami zapobiegających współdzieleniu pomieszczeń przez pracowników Hurtu i innych domen w przypadku nowych pracowników i migracji pracowników stwarza zagrożenie niedozwolonego współdzielenia pomieszczeń w przyszłości 8

Audytor uważa także, że wątpliwości interpretacyjne dotyczące punktów 4.3 i 4.4 odnoszących się do zobowiązania CC do przestrzegania KDP stwarzają zagrożenie niewłaściwej realizacji wymagań aneksu. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: W obszarze związanym z wdrożeniem wybranych elementów Kodeksu Dobrych Praktyk Wdrożenie mechanizmów zapobiegających jednoczesnej realizacji zleceń obsługi usług regulowanych dla hurtu TP i zleceń dla Detalu TP lub PTK przez pracowników partnerów CC. Dostosowanie zakresu systemów, do których pracownicy maja dostęp do wymagań stanowiska pracy, na którym pracują Eliminację zagrożenia przepływów informacji niedozwolonych do domeny Operacje CC i Korpo CC zarówno wewnątrz CC jak i w innych spółkach grupy TP Wprowadzenie mechanizmów zobowiązujących do uwzględnienia zobowiązania do przestrzegania KDP w nowo zawieranych umowach z kontrahentami, którzy mogą mieć dostęp do danych chronionych Określenie harmonogramu z UKE, zidentyfikowanie wszystkich kontrahentów, którzy w jakimkolwiek zakresie mogą mieć dostęp do informacji niedozwolonych i zawarcie w umowach bądź aneksach z nimi zapisów zobowiązujących ich do przestrzegania zasad zawartych w KDP Dodanie informacji na temat domeny informacyjnej przy adresach poczty email pracowników posiadających konta w domenie contactcenter.pl W obszarze związanym z identyfikacją i dostosowaniem miejsc przechowywania dokumentów Przeprowadzenie kompleksowego projektu identyfikacji miejsc przechowywania dokumentów zawierających dane chronione i dostosowanie tych miejsc do wymogów ChM Wprowadzenie procesu periodycznej weryfikacji skuteczności klauzulowania poczty elektronicznej i innej dokumentacji W obszarze związanym z ewidencją osób przetwarzających dane chronione: Rozszerzenie ewidencji osób przetwarzających dane chronione na całą organizację, przeprowadzenie aktualizacji ewidencji osób przetwarzających dane chronione (rozważenie dodania informacji o kategorii przetwarzanych danych chronionych do ewidencji). Opracowania zasad regularnej aktualizacji ewidencji. Weryfikację ewidencji osób przetwarzających dane chronione pod kątem zasadności dostępu do danych chronionych dla osób w ewidencji. Ponadto, Audytor rekomenduje również sformalizowanie i zaimplementowanie mechanizmów zarządzania pomieszczeniami zapobiegających współdzieleniu pomieszczeń. Audytor rekomenduje również potwierdzenie z UKE interpretacji punktów 4.3 i 4.4 związanych ze zobowiązaniem PTK do przestrzegania KDP. 9

ROZDZIAŁ SYSTEMÓW IT ( 5 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W Paragrafie 5 Załącznika Nr 4 do Aneksu do Umowy pomiędzy TP i CC sformułowano zasadę, zgodnie z którą w wyniku wdrożenia zmian, Systemy IT CC mają tak funkcjonować, aby uniemożliwić dyskryminujący przepływ niedozwolonych informacji w Grupie TP. Część systemów wykorzystywanych przez CC jest dostarczana przez TP lub PTK. Systemy te objęte są analogicznymi wymaganiami na mocy Porozumienia pomiędzy UKE i TP oraz aneksu do Umowy pomiędzy TP i PTK będącego odpowiednikiem Aneksu analizowanego w niniejszym Raporcie. Dlatego tez badając wypełnienie zapisów niniejszego Aneksu Audytor koncentrował uwagę na systemach własnych CC. Ocena Audytora W ocenie Audytora wdrażany przez CC program zmian w systemach w sposób adekwatny adresuje zasadę niedyskryminacji. Na obecnym etapie realizacji planowanych prac Audytor nie stwierdził zagrożeń mogących poddawać w wątpliwość wypełnienie przez CC postanowień Aneksu w wymaganym terminie tj. do dnia 31.07.2011. Zewidencjonowano systemy informatyczne wykorzystywane przez CC: o Lista zawiera 143 systemy, w tym 73 z nich zawiera dane chronione. o Zidentyfikowano 3 systemy własne CC, w których wymagane jest wprowadzenie zmian i przygotowano plan wdrożenia zakładający ukończenie prac przed datą 31.07.2011. o W pozostałych przypadkach zmiany wymagane są w systemach PTK i wdrożenie jest zarządzane w ramach projektu ChM w PTK. W zakresie przeprowadzonych testów Audytor nie stwierdził stosowania przez CC rozwiązań wykraczających poza standardy obowiązujące w Grupie TP. W zakresie analizowanych mailowych skrzynek funkcyjnych nie stwierdzono dostępu do danych chronionych przez nieupoważnionych użytkowników. W CC planowane są także działania weryfikujące i uszczelniające: Audyt wewnętrzny sprawdzający poprawność implementacji zmian w systemach w terminie 05-07.2011. TP planuje udostępnienie CC jednolitych dla całej Grupy TP narzędzi do automatycznej weryfikacji ruchów pracowników pomiędzy jednostkami organizacyjnymi oraz wspólne narzędzie do ewidencjonowanie dostępów do danych chronionych. Zagrożenia W trakcie audytu stwierdzono jednostkowe przypadki nieprawidłowego wypełnienia ankiet wykorzystywanych do planowania działań wdrożeniowych. Usterki nie miały wpływu na poprawność konkluzji wyprowadzonych na podstawie ankiet i zostały usunięte w trakcie trwania audytu. Rekomendacje Brak 10

ZAŁĄCZNIK NR 25A DO UMOWY WYKAZ NIEDOZWOLONYCH INFORMACJI - ROZWIĄZANIA SYSTEMOWE Wprowadzenie Załącznik Nr 25A oraz rozdział IV Załącznika Nr 25B przywołują zapisy Załącznika Nr 6 do Porozumienia TP UKE. Zapisy te definiują kierunki przepływu i zakresy informacji jakie objęte są zakazem przekazywania na mocy Porozumienia. Z punktu widzenia analizowanego Aneksu do umowy pomiędzy TP i CC zapisy Załączników doszczegóławiają zasadę niedyskryminacji sformułowana w Paragrafie 5 Załącznika Nr 4. Ocena Audytora Zdaniem Audytora realizowany przez CC program zmian w systemach IT uwzględnia szczegółowe wymagania odnośnie zabronionych kierunków przepływu i zakresu informacji chronionych. Program ten jest zdefiniowany w sposób spójny ze zrealizowanym w TP programem wdrożenia ChM i wdrażanym obecnie w PTK programem implementacji ChM. W trakcie przeprowadzonych testów systemów nie stwierdzono przypadków niedozwolonego przepływu danych. Zagrożenia Niektóre z działań dodatkowych o charakterze uszczelniającym wynikające z metodyki ChM zostały zaplanowane do implementacji w terminie wykraczającym poza datę 31.07.2011 (np. implementacja ostrzeżeń w Systemie 4). Rekomendacje Zaleca się przeprowadzenie akcji informacyjnej w terminie 06 07.2011 mającej na celu przypomnienie użytkownikom o zasadach pracy z danymi chronionymi w systemach, w których wdrożenie dodatkowych (niekrytycznych) mechanizmów wykracza poza termin przyjęty w Aneksie. 11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres