Audyt Contact Center z wdrożenia zapisów Aneksu

Podobne dokumenty
Audyt Contact Center z wdrożenia zapisów Aneksu

Audyt Contact Center z wdrożenia zapisów Aneksu

Karta równoważności Warszawa, 30 Marca 2009

Audyt równego dostępu do systemów informatycznych TP zgodnie z wymaganiami UKE Podsumowanie Raportu

Audyt PTK Centertel z wdrożenia zapisów Aneksu

Dobre Praktyki Komitetów Audytu w Polsce

Realizacja oraz wpływ Porozumienia TP-UKE na polski rynek telekomunikacyjny. Maciej Rogalski Warszawa, r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

ZARZĄDZENIE Nr 28/2015 WÓJTA GMINY CZERNIKOWO Z DNIA 11 MAJA 2015 r.

U W A G I Polskiej Izby Informatyki i Telekomunikacji [PIIT] do propozycji zmian do procedury testu MS/PS

Współpraca biegłego rewidenta z departamentem audytu wewnętrznego badanej jednostki

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

Wstęp. Ogólne założenia

Projekt Kwalifikacja jakości w Uniwersytecie Nr POKL /11. ZAPROSZENIE DO SKŁADANIA OFERT nr 4/ZSO/KJU/2014

Załącznik Nr 1 do Protokołu Nr 2/2018 z Posiedzenia Komitetu Audytu ACTION S.A. w restrukturyzacji z dnia r.

WPROWADZENIE ZMIAN - UAKTUALNIENIA

Procedura przeprowadzenia wyboru biegłego rewidenta/firmy audytorskiej do przeprowadzania badań sprawozdań finansowych Stalexport Autostrady S.A.

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Regulamin dostępu testowego do Aplikacji erecruiter

Opis systemu kontroli wewnętrznej w mbanku S.A.

Uchwała nr [ ] Rady Nadzorczej spółki Agora S.A. z dnia 30 marca 2017 roku

System Kontroli Wewnętrznej

Regulamin Programu Stażowego REGULAMIN PROGRAMU STAŻOWEGO

Pakiet antykorupcyjny dla firm - wymóg ustawy o jawności życia publicznego

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Polityka zgodności w Kancelarii Prawniczej FORUM Radca prawny Krzysztof Piluś i spółka Spółka komandytowa

Instytut-Mikroekologii.pl

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

I NARZĘDZI PORTFEL METOD. Kodeks etyki dyrektora personalnego

Przykład klauzul umownych dotyczących powierzenia przetwarzania

II. Prawa i obowiązki Biura Karier Wyższej Szkoły Bankowej we Wrocławiu w zakresie pośrednictwa pracy, staży i praktyk dla pracodawców:

Koalicja Rzeczników Etyki w ramach Programu Biznes a Prawa Człowieka

Warunki implementacji dla partnerów biznesowych objętych procesem

Regulamin dostępu testowego do Aplikacji erecruiter

KRAJOWY OŚRODEK WSPARCIA ROLNICTWA

Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Przestrzeganie Dobrych Praktyk przez spółki giełdowe

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

POLITYKA WYNAGRODZEŃ W SATURN TOWARZYSTWIE FUNDUSZY INWESTYCYJNYCH S.A.

Umowa powierzenia przetwarzania danych osobowych

Regulamin świadczenia usług drogą elektroniczną

Sprawozdanie z przejrzystości działania Mac Auditor Sp. z o.o.

REGULAMIN KOMITETU WYNAGRODZEŃ I NOMINACJI RADY NADZORCZEJ ING BANKU ŚLĄSKIEGO S.A.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

SYSTEM KONTROLI WEWNĘTRZNEJ W RAIFFEISEN BANK POLSKA S.A.

Program Poleceń. Regulamin

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO W GMINIE OLECKO KWESTIONARIUSZ SAMOOCENY

Zarządzanie bezpieczeństwem pracowników w Grupie Kapitałowej LOTOS

Sprawozdanie z przejrzystości działania Strategia Audit Sp. z o.o.

Sprawozdanie z przejrzystości działania dotyczące roku obrotowego

POLITYKA WYNAGRODZEŃ INVESTORS TOWARZYSTWO FUNDUSZY INWESTYCYJNYCH SPÓŁKA AKCYJNA

wsparcia w zakresie kryteriów wyboru firmy szkoleniowej lub weryfikacji jej działań. Członkowie Polskiej Izby Firm Szkoleniowych Strona 1 z 10

Efektywniejsza obsługa kadrowa, płacowa i księgowa w PKP PLK S.A.

Sprawozdanie z działalności Rady Nadzorczej za Ostaszewo, 12 czerwca 2017 r.

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Dodatkowymi atutami będą:

1 Postanowienia ogólne

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

POLITYKA PRYWATNOŚCI Konkurs wiedzy dermatologicznej dla lekarzy

REGULAMIN KONTROLI ZARZĄDCZEJ W ZESPOLE SZKÓŁ Nr 3 W PŁOŃSKU

Przebieg usługi w przedsiębiorstwie Projekt Polskiej Agencji Rozwoju Przedsiębiorczości Zarządzanie kompetencjami w MSP

Opis przedmiotu zamówienia

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBIEGU DOKUMENTÓW CIRCULAR

Załącznik nr 1 do uchwały Rady Nadzorczej spółki PROTEKTOR SA nr. z dnia r.

Umowa powierzenia przetwarzania danych osobowych nr PDO/ /2018 zawarta w Poznaniu w dniu.. września 2018 roku

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Polityka zgodności w Kredyt Inkaso S.A.

ARKA WNS - Akademia Rozwoju Kompetencji Wydziału Nauk Społecznych

SPRAWOZDANIE RADY NADZORCZEJ IPOPEMA SECURITIES S.A. [przyjęte uchwałą Rady Nadzorczej z dnia 1 czerwca 2017 r.]

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

Umowa na przetwarzanie danych

Porozumienie Prezes UKE TP i jego skutki inwestycyjne. Anna Streżyńska, Prezes Urzędu Komunikacji Elektronicznej. Warszawa,

REGULAMIN CERTYFIKACJI ZAKŁADOWEJ. Certyfikowana Jakość Produkcji Suplementów Diety

Polityka Zarządzania Ryzykiem

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Prezentacje multimedialne

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

UDA-POKL /14

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

SYSTEM PRZYZNAWANIA PUNKTÓW ROZWOJOWYCH PODMIOTOWI ZAREJESTROWANEMU W REJESTRZE USŁUG ROZWOJOWYCH (RUR)

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

REGULAMIN PROGRAMU STYPENDIÓW FUNDOWANYCH PRZEZ FIRMĘ Procter&Gamble DLA STUDENTÓW POLITECHNIKI ŁÓDZKIEJ W RAMACH PROGRAMU MŁODZI W ŁODZI

Tytuł: Energoinstal Spółka Akcyjna Raport dotyczący zakresu stosowania Dobrych Praktyk

SPIS TREŚCI Audyt wewnętrzny wydanie II

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Regulamin Programu Stażowego. REGULAMIN PROGRAMU STAŻOWEGO (Asystent Spedytora)

Plus500CY Ltd. Polityka przeciwdziałania konfliktom interesów

REGULAMIN KOMITETU AUDYTU PCC EXOL SPÓŁKA AKCYJNA

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

SPRAWOZDANIE Z DZIAŁALNOŚCI RADY NADZORCZEJ ULMA Construccion Polska S.A. ZA ROK 2016

Transkrypt:

Audyt Contact Center z wdrożenia zapisów Aneksu Raport Audytora z wdrożenia zapisów Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską Audyt wg stanu na dzień 31.12.2011 r. Streszczenie Raportu Warszawa, 13 stycznia 2012 r.

SPIS TREŚCI Spis treści... 2 Uwagi wstępne... 3 Zasada Niedyskryminacji ( 2 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 4 System motywacyjny ( 3 Załącznika Nr 10 Warunki Realizacji Prac zgodnie z Zasadą Niedyskryminacji )... 6 Wdrożenie dobrych praktyk oraz Wykaz niedozwolonych informacji ( 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu)... 8 Rozdział systemów IT ( 5 Załącznika Nr 4: Załącznika Nr 25 Warunki realizacji usług świadczonych na podstawie Umowy Zasady Niedyskryminacji )...11 Załącznik nr 25a do Umowy Wykaz niedozwolonych informacji - rozwiązania systemowe (Załącznik nr 1 do Aneksu)...13 2

UWAGI WSTĘPNE Niniejsze opracowanie stanowi podsumowanie wyników prac audytowych przeprowadzonych w dniach 01.12.2011-13.01.2012 na postawie umowy zawartej pomiędzy Telekomunikacją Polską S.A. oraz A.T. Kearney Sp. z o.o. Celem poniższego dokumentu jest przedstawienie wyników oceny wdrożenia zapisów Aneksów do Umowy pomiędzy Contact Center (CC) a Telekomunikacja Polską (TP) na dzień 31.12.2011 w zakresie wymagań organizacyjnych, procesowych jak i wymagań dotyczących systemów IT oraz funkcjonalności i procesów biznesowych przez nie realizowanych dla spółki Contact Center. Układ streszczenia jest analogiczny do układu Aneksu, przy czym część załączników bezpośrednio związanych z paragrafami Aneksu została opisana łącznie w ramach odpowiednich paragrafów. Inne załączniki, ze względu na specyfikę poruszanych zagadnień, zostały opisane w formie oddzielnych rozdziałów. Audytor oświadcza, że wykonał Umowę z najwyższą zawodową starannością w oparciu o informacje, dane i dokumenty dostarczone przez TP. Jednocześnie Audytor zastrzega, iż nie ponosi żadnej odpowiedzialności za dalsze działania podejmowane przez TP oraz osoby trzecie w oparciu o sporządzony dokument. Ponadto, poniższy dokument, jako streszczenie menadżerskie, nie zawiera wszystkich elementów zawartych w głównej części Raportu Audytora, w tym szczegółowych opisów stanu realizacji Aneksu, uzasadnień ocen oraz rekomendacji Audytora. Tym samym streszczenie nie powinno być traktowane jako materiał kompletny. 3

ZASADA NIEDYSKRYMINACJI ( 2 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W okresie od 1 października 2011 do 31 grudnia 2011 spółka Contact Center kontynuowała realizację działań wymaganych zapisami 2 Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską. Ocena Audytora Audytor pozytywnie ocenia realizację wymagań Aneksu, lecz dostrzega szereg zagrożeń w obszarze dostępu i obiegu informacji niedozwolonych, które powinny zostać wyeliminowane. Realizacja procesów obsługi usług regulowanych w CC jest prowadzona zgodnie z procesami zdefiniowanymi w TP. Audytor przedstawił uwagi do powyższych procesów w trakcie audytu TP. Nie zidentyfikowano różnic w obsłudze pomiędzy poszczególnymi OA mających charakter dyskryminujący w ramach procesów obsługi OA realizowanych przez CC. Najistotniejsze, w opinii Audytora, zakończone działania i funkcjonujące rozwiązania w ocenianym obszarze to: Wprowadzenie obowiązku klauzulowania dokumentacji i korespondencji elektronicznej; Wprowadzenie narzędzi wspierających proces klauzulowania; Zobowiązanie pracowników do przestrzegania KDP i ich przeszkolenie z zakresu zasad ChM; Wdrożenie systemu do prowadzenia ewidencji osób przetwarzających Dane Chronione; Rozszerzenie ewidencji pracowników przetwarzających dane chronione na całą organizację; Wdrożenie podziału na Domeny odwzorowanego w Regulaminie Organizacyjnym (szczegółowemu badaniu został poddany aktualnie obowiązujący Regulamin z 7.12.2011); Ukończenie do 31.12.2011 przez 93% pracowników modułu powtórkowego szkolenia wprowadzonego 15.07.2011. Audytor pozytywnie ocenia wysiłek szkoleniowy podjęty przez Contact Center w zakresie modułów podstawowego, pogłębionego i powtórkowego szkoleń oraz wdrożenia rekomendacji Audytora z ostatniego Audytu Aneksów w tym obszarze. Zagrożenia W badanym obszarze Audytor zidentyfikował następujące zagrożenia: 4

Brak mechanizmów zabezpieczających przed jednoczesnym zatrudnieniem pracowników partnerów TP, PTK, OCS i CC przy realizacji czynności związanych z obsługą zleceń hurtowych i sprzedażą produktów regulowanych TP i PTK stwarza ryzyko niedozwolonych przepływów informacji pomiędzy częścią hurtową TP a częścią detaliczną TP i PTK; Brak stosowania mechanizmu klauzulowania korespondencji elektronicznej może prowadzić do nieuprawnionych przepływów informacyjnych. Ponadto, istnieje zagrożenie działań niezgodnych z zasadą niedyskryminacji wynikające z braku bieżącego przeprowadzania czynności monitorująco-sprawdzających. Rekomendacje W związku ze stwierdzonymi zagrożeniami Audytor rekomenduje: Wprowadzenie mechanizmów zabezpieczających przed wystąpieniem niedozwolonych przepływów informacyjnych w sytuacji jednoczesnego zatrudnienie przy realizacji czynności dla Hurtu i Detalu w GTP przez partnerów zaangażowanych w procesy obsługi zleceń hurtowych TP; Wprowadzenie mechanizmów weryfikacji niedozwolonych przepływów informacyjnych w sytuacji podwójnego zatrudnienia pracowników partnerów zaangażowanych w obsługę zleceń hurtowych przy czynnościach sprzedażowych dla usług regulowanych TP i PTK. Ponadto, niezbędne jest przeprowadzenie planowanych wewnętrznych działań monitorującosprawdzających w spółce CC. 5

SYSTEM MOTYWACYJNY ( 3 ZAŁĄCZNIKA NR 10 WARUNKI REALIZACJI PRAC ZGODNIE Z ZASADĄ NIEDYSKRYMINACJI ) Wprowadzenie W okresie objętym audytem spółka Contact Center stosowała system motywacyjny dla pracowników Części Hurtowej Contact Center odpowiadający zobowiązaniom z 3. Ocena Audytora W okresie objętym audytem Contact Center realizowało wszystkie zobowiązania dotyczące systemów motywacyjnych wynikające z Aneksu do Umowy pomiędzy Contact Center a Telekomunikacją Polską, w tym część w sposób alternatywny. W opinii Audytora przyjęte rozwiązania alternatywne w obszarze Systemów Motywacyjnych są zgodne z intencjami sygnatariuszy Aneksu. Przeprowadzone w toku audytu analizy wykazały, że stosowane rozwiązania w zakresie sposobów motywowania pracowników Części Hurtowej a w szczególności kadry kierowniczej są zgodne z zasadami określonymi w Aneksie. Dodatkowo Contact Center sformalizowało i ujednoliciło z TP / PTK zasady dotyczące systemów motywacyjnych wdrożone uchwałą Zarządu z dnia 22.11.2011. Do tego czasu kwestia ta w CC nie była sformalizowana. W umowach ze swoimi podwykonawcami CC uzależnia wynagrodzenia wyłącznie od wolumenu, jakości i rodzaju wykonanych prac, a nie ze względu na źródło zlecenia. Wprowadzona w czerwcu 2011 roku wewnętrzna instrukcja reguluje sposób rozliczania nagród dla współpracowników Departamentu Usług Regulowanych Contact Center zgodnie z intencją Aneksu do umowy pomiędzy PTK Centertel oraz Telekomunikacją Polską w tym zakresie. Premia Dyrektora Departamentu Usług Regulowanych została dodatkowo uzależniona od realizacji celów związanych z wprowadzeniem dodatkowych elementów motywacyjnych pracownikom Części Hurtowej CC. Audytor przebadał arkusze premiowe 40 pracowników Departamentu Usług Regulowanych Contact Center pod kątem zgodności z wymaganiami 3. Ze względu na długotrwałe zwolnienia dla 2 pracowników nie wyznaczono celów, więc analiza ich arkuszy była niemożliwa. Wszystkie spośród pozostałych 38 arkuszy zawierały cel ZWS. Zbadane arkusze zawierały wyłącznie cele niedyskryminujące. Zagrożenia Audytor nie zidentyfikował istotnych zagrożeń w odniesieniu do realizacji przez Contact Center zapisów 3 Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską. Rekomendacje Audytor rekomenduje wprowadzenie regularnych czynności kontrolnych mających na celu weryfikację, czy sposób wynagradzania współpracowników Departamentu Usług 6

Regulowanych CC jest zgodny z intencjami Aneksu do umowy pomiędzy Contact Center oraz Telekomunikacją Polską. 7

WDROŻENIE DOBRYCH PRAKTYK ORAZ WYKAZ NIEDOZWOLONYCH INFORMACJI ( 4 ZAŁĄCZNIKA NR 25 ORAZ ZAŁĄCZNIK NR 25A DO ANEKSU) Wprowadzenie 4 Załącznika nr 25 oraz Załącznik nr 25a do Aneksu określają wymagania, jakie powinno spełniać CC, by ograniczyć przepływ informacji mogący prowadzić do dyskryminacyjnych działań CC. CC realizuje je poprzez wdrożenie odpowiednich mechanizmów, które powinny zapewniać skuteczną realizację zobowiązań wynikających z Aneksu. Ocena Audytora CC zrealizowało większość wymagań Aneksu w obszarze chińskich murów pozasystemowych. Audytor pozytywnie odnosi się do zobowiązania pracowników CC do przestrzegania Kodeksu Dobrych Praktyk. Pozytywnie oceniane jest również wprowadzenie przez CC podziału jednostek organizacyjnych na domeny informacyjne i regulacji dostępu oraz przepływów informacji w ramach domen. Za zgodne z wymaganiami Aneksu Audytor uznał również procedury nadawania dostępu do systemów IT. Realizacji wymagań Aneksu w obszarze chińskich murów pozasystemowych sprzyja również wprowadzenie proceduralnego zakazu dostępu lub wykorzystania danych chronionych przez osoby nieuprawnione i wdrożone mechanizmy ochrony przesyłanych dokumentów papierowych i elektronicznych. Audytor ocenia pozytywnie również wdrożenie zmian w procedurach rekrutacyjnych zapobiegające podwójnemu zatrudnieniu oraz przeprowadzoną akcję informacyjną dot. zakazu podwójnego zatrudnienia. Również realizacja zleceń hurtowych TP w oddzielnych lokalizacjach sprzyja wykonaniu zapisów Aneksu. Audytor pozytywnie ocenia również trzy punkty Aneksu związane z Kodeksem Dobrych Praktyk. CC wdrożyło procedury zobowiązujące pracowników do umieszczania klauzul KDP w nowo zawieranych kontraktach, jeśli kontrahent będzie miał dostęp do danych chronionych. Ponadto, CC podpisało aneksy do umów zawierające zapisy KDP z Agencjami Pracy Tymczasowej, których pracownicy mieli dostęp do danych chronionych. W odniesieniu do systemów IT, CC wdraża dobre praktyki poprzez stosowanie procedur przyznawania i odbierania dostępów oraz stosowanie wybranych mechanizmów pozaaplikacyjnej kontroli i zapobiegania wymianie niedozwolonych informacji (np. klauzulowanie wiadomości wysyłanych pocztą elektroniczną). CC wdrożyło dodatkowo 04.01.2012 procedurę dotyczącą zmiany domeny w formie uchwały Zarządu CC. Zagrożenia Audytor zidentyfikował zagrożenia w zakresie zapobiegania podwójnemu zatrudnieniu i separacji pracowników domeny Hurt: 8

Brak oznaczenia pomieszczeń lokalizacji CC niesie ze sobą ryzyko naruszenia zasady Chińskich Murów, pomimo geograficznej separacji lokalizacji realizującej zlecenia hurtowe od lokalizacji realizującej zlecenia detaliczne; Brak mechanizmów weryfikacji niedozwolonego podwójnego zatrudnienia pracowników CC w spółkach GTP; Brak mechanizmów zabezpieczających przed jednoczesnym zatrudnieniem pracowników partnerów TP, PTK, OCS i CC przy realizacji czynności związanych z obsługą zleceń hurtowych i sprzedażą produktów regulowanych TP i PTK stwarza ryzyko niedozwolonych przepływów informacji pomiędzy częścią hurtową TP a częścią detaliczną TP i PTK. Powyższe zagrożenie audytor uważa za istotne, ponieważ ponad 90% pracowników zaangażowanych w obsługę zleceń hurtowych w DUR w CC jest pracownikami partnerów, a nie pracownikami TP; Brak stosowania mechanizmu klauzulowania korespondencji elektronicznej może prowadzić do nieuprawnionych przepływów informacyjnych. Audytor nie zidentyfikował zagrożeń w zakresie zobowiązywania podmiotów trzecich do przestrzegania KDP oraz w zakresie kontroli przepływu danych chronionych oraz przechowywania dokumentów zawierających dane chronione. Rekomendacje W związku ze stwierdzonymi zagrożeniami w zakresie zapobiegania podwójnemu zatrudnieniu i separacji pracowników domeny Hurt Audytor rekomenduje: Dokończenie procesu oznaczania wszystkich pomieszczeń CC; Uzupełnienie brakujących danych dot. zajmowanych pomieszczeń przez pracowników CC w programie Outlook; Do momentu wdrożenia systemowej weryfikacji zakazu podwójnego zatrudnienia na podstawie danych osobowych pracowników zatrudnianych w spółkach Grupy TP - wdrożenie mechanizmów cyklicznej kontroli podwójnego zatrudnienie pracowników hurtu w spółkach GTP, bazującego przynajmniej na badaniu losowej próbki pracowników z różnych spółek GTP, obejmującego w szczególności pracowników DUR w Contact Center; W celu umożliwienia systemowej weryfikacji zakazu podwójnego zatrudnienia na podstawie danych osobowych pracowników zatrudnianych w spółkach Grupy TP - przeprowadzenie analiz prawnych i wypracowanie rozwiązania prawnego umożliwiającego wymianę danych osobowych pracowników i współpracowników spółek Grupy TP (pomiędzy TP i spółkami Grupy TP); Wprowadzenie mechanizmów zabezpieczających przed wystąpieniem niedozwolonych przepływów informacyjnych w sytuacji jednoczesnego zatrudnienie przy realizacji czynności dla Hurtu i Detalu w GTP przez partnerów zaangażowanych w procesy obsługi zleceń hurtowych TP; Wprowadzenie mechanizmów weryfikacji niedozwolonych przepływów informacyjnych w sytuacji podwójnego zatrudnienia pracowników partnerów 9

zaangażowanych w obsługę zleceń hurtowych przy czynnościach sprzedażowych dla usług regulowanych TP i PTK; Realizacja cyklicznych kwartalnych audytów klauzulowania korespondencji elektronicznej dla istotnej statystycznie próby skrzynek i prowadzenie działań zmierzających do realizacji założonych celów skuteczności klauzulowania. 10

ROZDZIAŁ SYSTEMÓW IT ( 5 ZAŁĄCZNIKA NR 4: ZAŁĄCZNIKA NR 25 WARUNKI REALIZACJI USŁUG ŚWIADCZONYCH NA PODSTAWIE UMOWY ZASADY NIEDYSKRYMINACJI ) Wprowadzenie W Paragrafie 5 Załącznika Nr 4 do Aneksu do Umowy pomiędzy TP i CC sformułowano zasadę, zgodnie z którą w wyniku wdrożenia zmian, Systemy IT CC mają tak funkcjonować, aby uniemożliwić dyskryminujący przepływ niedozwolonych informacji w Grupie TP. Znaczna część systemów wykorzystywanych przez CC jest dostarczana przez TP lub PTK (w tym systemy przetwarzające dane chronione przed Detalem TP i/lub Detalem PTK). Systemy te objęte są analogicznymi wymaganiami na mocy Porozumienia pomiędzy UKE i TP oraz aneksu do Umowy pomiędzy TP i PTK będącego odpowiednikiem Aneksu analizowanego w niniejszym Raporcie. Dlatego tez badając wypełnienie zapisów niniejszego Aneksu Audytor koncentrował uwagę na systemach własnych CC. Ocena Audytora Zgodnie z wymaganiami Porozumienia w dniu 31.07.2011 zostały zakończone w CC prace nad zmianami w systemach w sposób adekwatny adresujące zasadę niedyskryminacji. Tym samym CC zrealizowała wszystkie wymagania Aneksu w obszarze chińskich murów systemowych. Zgodnie z prowadzoną ewidencją systemową, w CC wdrożonych jest 11 systemów własnych (nie licząc pakietów do prac biurowych i innych niezwiązanych z obsługą kampanii telefonicznych). Wśród nich 2 systemy zawierają dane chronione; W CC wdrożono nowe procedury przyznawania i odbierania pracownikom uprawnień do dostępu do informacji chronionych, które obowiązują od 15.11.2011; W systemach wykorzystywanych w CC wprowadzono m.in. profilowanie dostępu oraz ograniczono liczbę użytkowników korzystających z systemów (np. w Systemie 14); W zakresie przeprowadzonych testów Audytor nie stwierdził stosowania przez CC rozwiązań wykraczających poza standardy obowiązujące w Grupie TP; Zagrożenia W systemach własnych CC są stosowane jedynie proceduralne mechanizmy kontroli zmiany zatrudnienia pracowników oraz ewidencjonowania danych chronionych. Nie jest planowane wdrożenie odpowiednich narzędzi automatycznych na wzór narzędzi implementowanych w TP; W TP wdrażany jest System 28, który ma za zadanie ułatwić klauzulowanie korespondencji e-mail oraz zabezpieczenie plików MS Office i poczty elektronicznej przed nieuprawnionym dostępem. W CC planuje się stosowanie dotychczasowej metody klauzulowania poczty e-mail. CC nie planuje również wdrożenia Systemu 29, zabezpieczającego przed wypływem danych chronionych; 11

Rekomendacje Objęcie systemów własnych CC jednolitym mechanizmem kontroli ruchów pracowników (System 37) oraz ewidencji danych chronionych (System 38) w ramach Grupy TP; Audytor rekomenduje przeprowadzenie analiz dotyczących procesów i wolumenów informacji e-mail wymienianych pomiędzy TP i CC oraz pomiędzy domenami w CC i w zależności od wyników analiz objęcie wybranych pracowników CC mechanizmami Systemów 28 i 29. W szczególności kandydatami do wdrożenia Systemów 28 i 29 są ci pracownicy CC, którzy korzystają z systemów zawierających dane chronione, a którzy nie mają zablokowanej możliwości pozaaplikacyjnego zapisu i przesyłu informacji. 12

ZAŁĄCZNIK NR 25A DO UMOWY WYKAZ NIEDOZWOLONYCH INFORMACJI - ROZWIĄZANIA SYSTEMOWE (ZAŁĄCZNIK NR 1 DO ANEKSU) Wprowadzenie Załącznik Nr 25A oraz rozdział IV Załącznika Nr 25B przywołują zapisy Załącznika Nr 6 do Porozumienia TP UKE. Zapisy te definiują kierunki przepływu i zakresy informacji jakie objęte są zakazem przekazywania na mocy Porozumienia. Z punktu widzenia analizowanego Aneksu do umowy pomiędzy TP i CC zapisy Załączników doszczegóławiają zasadę niedyskryminacji sformułowana w Paragrafie 5 Załącznika Nr 4. Ocena Audytora Wdrożenie w systemach CC i PTK zakończyło się zgodnie z założeniami Porozumienia w dniu 31.07.2011. Zdaniem Audytora zrealizowany przez CC program zmian w systemach IT uwzględnia szczegółowe wymagania odnośnie zabronionych kierunków przepływu i zakresu informacji chronionych. Program ten został zdefiniowany w sposób spójny ze zrealizowanym w TP i PTK programem wdrożenia ChM. W trakcie przeprowadzonych testów systemów nie stwierdzono przypadków niedozwolonego przepływu danych. Zagrożenia Por. omówienie w Paragrafie 5 Rekomendacje Por. omówienie w Paragrafie 5 13

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres