Załącznik nr 3 do Umowy Umowa o powierzenie przetwarzania danych osobowych 1. Przedmiot umowy: Przedmiotem niniejszej umowy (porozumienia) jest powierzenie, na podstawie art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej Ustawą, przez ORANGE POLSKA S.A., która jest administratorem danych, do przetwarzania Kontrahentowi następujących zbiorów danych: danych osobowych Abonentów ORANGE POLSKA S.A. 2. Oświadczenia ORANGE POLSKA S.A.: 1) ORANGE POLSKA S.A. oświadcza, że powierzone dane nie ujawniają, bezpośrednio ani w jakimkolwiek kontekście, danych osobowych wymienionych w art. 27 ust. 1 Ustawy 2) ORANGE POLSKA S.A. oświadcza, że przetwarza powierzane dane osobowe, zgodnie z prawem i jest uprawniona do ich powierzenia Kontrahentowi. 3) Powierzone dane osobowe stanowią tajemnicę telekomunikacyjną w rozumieniu ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz.1800 z późn. zm.) 3. Cel, zakres i sposób przetwarzania powierzonych danych osobowych: 1) powierzone dane osobowe będą przetwarzane przez Kontrahenta w celu realizacji Umowy i Zamówień realizowanych w ramach Umowy. 2) przetwarzanie danych jest konieczne do wykonywania przez Kontrahenta następujących czynności: a) Opracowanie dokumentacji projektowej b) Rekonfiguracja sieci 3) ORANGE POLSKA S.A. powierza Kontrahentowi do przetwarzania następujący zakres danych osobowych: a) Imię i Nazwisko str. 1
a. Adres (gmina, miejscowość, nr domu, nr lokalu) 4) powierzone dane osobowe będą przez Kontrahenta przetwarzane: a) w następujących miejscach:... (wskazanie miejsca przetwarzania danych miejscowość, ulica, nr domu, nr lokalu/pokoju), b) w sposób tradycyjny w formie: na nośniku elektronicznym c) z użyciem systemu teleinformatycznego MS Office, stanowiącego własność Kontrahenta. O zmianie systemów teleinformatycznych i miejsc przetwarzania powierzonych danych Strony będą się wzajemnie powiadamiać w formie ustalonej do kontaktów w ramach realizacji niniejszej umowy. Zmiany, o których mowa w zdaniu poprzedzającym, stają się skuteczne z chwilą doręczenia powiadomienia o nich drugiej Stronie, z zastrzeżeniem, że zmiana dokonywana przez Kontrahenta będzie wymagała akceptacji ORANGE POLSKA S.A. 4. Zobowiązania Kontrahenta: 1) Kontrahent zobowiązuje się wykonywać niniejszą umowę z najwyższą starannością zawodową w celu zabezpieczenia prawnego, organizacyjnego i technicznego interesów ORANGE POLSKA S.A. w zakresie przetwarzania powierzonych danych osobowych. 2) Kontrahent zobowiązuje się do wykorzystania powierzonych danych osobowych w celu, zakresie i na zasadach określonych w niniejszej umowie, Ustawie i wydanych na jej podstawie aktach wykonawczych. 3) w czasie realizacji niniejszej umowy Kontrahent zobowiązuje się do współdziałania z ORANGE POLSKA S.A. w procesie przetwarzania powierzonych danych osobowych, w tym informowania o wszelkich okolicznościach mających lub mogących mieć wpływ na jej wykonanie, oraz do stosowania się do instrukcji i zaleceń ORANGE POLSKA S.A. dotyczących powierzonych danych osobowych. 4) system teleinformatyczny, w którym będą przetwarzane powierzone dane osobowe spełnia wymogi wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy str. 2
informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024), zwanym dalej Rozporządzeniem, odpowiednie do wymaganego w niniejszym przypadku poziomu bezpieczeństwa przetwarzania powierzonych danych osobowych. Wymagania techniczne i organizacyjne dla Systemów Teleinformatycznych przetwarzających dane osobowe stanowią Załącznik nr 1 do niniejszej umowy. 5) Kontrahent zobowiązuje się zastosować, zgodnie z art. 36 39 Ustawy, środki techniczne i organizacyjne mające na celu należyte, odpowiednie do zagrożeń oraz kategorii danych osobowych ich zabezpieczenie, w szczególności zobowiązuje się zabezpieczyć powierzone dane osobowe przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Ustawy, oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 6) Kontrahent będzie prowadził ewidencję osób upoważnionych do przetwarzania powierzonych danych osobowych, a także zaznajomi ich z treścią przepisów i zasad w zakresie ochrony danych osobowych, w szczególności: a) Ustawą, b) Rozporządzeniem, oraz odpowiedzialnością karną i cywilną za ich nie przestrzeganie. Ewidencja osób będzie dostępna w..(miejsce wskazane przez Kontrahenta, możliwe do skontrolowania przez ORANGE POLSKA S.A.) na każde żądanie ORANGE POLSKA S.A. 7) osoby wykonujące umowę w imieniu Kontrahenta zostaną zobowiązane do zachowania w tajemnicy powierzonych danych osobowych oraz sposobów ich zabezpieczenia, poprzez podpisanie przed dopuszczeniem do ich przetwarzania oświadczenia. Kopie podpisanych oświadczeń będą dostępne w (miejsce wskazane przez Kontrahenta, możliwe do skontrolowania przez ORANGE POLSKA S.A.) na każde żądanie ORANGE POLSKA S.A. 8) Kontrahent zobowiązuje się zachować w tajemnicy wszelkie informacje związane z powierzeniem danych osobowych oraz powierzone dane osobowe, w ramach wykonywania niniejszej umowy w trakcie jej realizacji, jak również bezterminowo po wygaśnięciu lub rozwiązaniu umowy. str. 3
9) Kontrahent zobowiązuje się, niezwłocznie po uzyskaniu informacji w tym przedmiocie, nie później jednak niż w ciągu 4 godzin, powiadomić ORANGE POLSKA S.A. o: a) kontroli zgodności przetwarzania powierzonych danych osobowych z przepisami o ochronie danych osobowych przeprowadzanej przez GIODO u Kontrahenta, b) wydanych przez GIODO decyzjach administracyjnych i rozpatrywanych skargach w sprawach wykonania przez Kontrahenta przepisów o ochronie danych osobowych dotyczących powierzonych danych, c) innych działaniach uprawnionych organów wobec powierzonych danych osobowych, d) innych zdarzeniach mających wpływ na przetwarzanie powierzonych danych osobowych, w szczególności o wszystkich przypadkach naruszenia powierzonych danych osobowych. 10) informacje, o których mowa w pkt 9 powyżej, Kontrahent zobowiązany jest wysłać na adres email: incydent.incydent@orange.com. 11) w przypadku, o którym mowa w pkt 9 lit. d powyżej, minimalny zakres informacji, do przekazania których zobowiązany jest Kontrahent, obejmuje: a) datę i godzinę zdarzenia (jeśli jest znana; w razie potrzeby możliwe jest określenie w przybliżeniu), b) opis charakteru i okoliczności naruszenia danych osobowych (w tym wskazanie, na czym polegało naruszenie, określenie miejsca, w którym fizycznie doszło do naruszenia, wskazanie nośników, na których znajdowały się dane będące przedmiotem naruszenia), c) charakter i treść danych osobowych, których dotyczyło naruszenie, d) liczbę osób, których dotyczyło naruszenie, e) opis potencjalnych konsekwencji i niekorzystnych skutków naruszenia danych osobowych dla osób, których dane dotyczą, str. 4
f) opis środków technicznych i organizacyjnych, które zostały lub mają być zastosowane w celu złagodzenia potencjalnych niekorzystnych skutków naruszenia danych osobowych, g) dane kontaktowe do osoby, od której można uzyskać więcej informacji na temat zgłoszonego naruszenia danych osobowych. 12) w przypadku dalszego powierzenia przez Kontrahenta podwykonawcy przetwarzania powierzonych Kontrahentowi przez ORANGE POLSKA S.A. danych osobowych, niezbędne jest zawarcie pisemnej umowy między Kontrahentem a jego podwykonawcą, zapewniającej powierzanym danym osobowym ochronę nie mniejszą niż jest to przewidziane w niniejszej umowie i zgodnej z Wytycznymi do umów powierzenia przetwarzania danych osobowych, których administratorem jest ORANGE POLSKA S.A.. Kontrahent zobowiązany jest do uzyskania pisemnej akceptacji ORANGE POLSKA S.A. na zawarcie umowy z podwykonawcą oraz udostępnienia ORANGE POLSKA S.A. kopii zawartych z podwykonawcami umów w terminie 7 dni od ich zawarcia, jak też na każde żądanie ORANGE POLSKA S.A. 13) za wszystkie działania i zaniechania swoich podwykonawców Kontrahent ponosi odpowiedzialność jak za swoje działania i zaniechania. 14) Kontrahent zobowiązany jest do sprawowania bieżącej kontroli prawidłowości przetwarzania danych osobowych przez swoich podwykonawców. 15) Kontrahent zobowiązany jest do zgłaszania Zleceniodawcy wszelkich nieprawidłowości oraz nieścisłości w treści powierzonych danych osobowych. 5. Uprawnienia ORANGE POLSKA S.A.: 1) ORANGE POLSKA S.A. przysługuje prawo kontrolowania sposobu przetwarzania przez Kontrahenta i podwykonawcę Kontrahenta powierzonych danych osobowych. Przedstawiciele ORANGE POLSKA S.A. są uprawnieni do wstępu do pomieszczeń, w których przetwarzane są powierzone dane osobowe oraz żądania od Kontrahenta udzielania informacji dotyczących przebiegu przetwarzania powierzonych danych osobowych, wglądu do dokumentacji wymaganej Ustawą i aktami wykonawczymi do niej, przeprowadzania oględzin nośników i systemów teleinformatycznych służących do str. 5
przetwarzania powierzonych danych osobowych oraz ingerencji w system teleinformatyczny przetwarzający dane w celu weryfikacji zabezpieczeń stosowanych przy przetwarzaniu powierzonych danych osobowych. 2) o terminie kontroli Kontrahent będzie informowany z co najmniej 24 godzinnym wyprzedzeniem. Powiadomienie będzie określało przedmiot kontroli oraz wskazanie osób upoważnionych do prowadzenia kontroli w imieniu Zleceniodawcy. 3) w przypadku stwierdzenia rażącego naruszenia przez Kontrahenta postanowień niniejszej umowy, ORANGE POLSKA S.A. może rozwiązać umowę ze skutkiem natychmiastowym. 4) ORANGE POLSKA S.A., jako administrator danych, upoważnia osoby (wg ewidencji sporządzonej przez Kontrahenta) do przetwarzania powierzonych danych osobowych, wyłącznie w celu realizacji postanowień niniejszej umowy. Dostęp do systemów teleinformatycznych ORANGE POLSKA S.A., w których są przetwarzane powierzone dane osobowe wymaga dodatkowo spełnienia warunków wynikających z wewnętrznych procedur dostępu do systemów teleinformatycznych, obowiązujących w ORANGE POLSKA S.A. 5) dane osobowe osób upoważnionych do dostępu do powierzonych danych osobowych przetwarzanych w systemach teleinformatycznych ORANGE POLSKA S.A., zwanych dalej Użytkownikami systemów, będą odnotowane w tych systemach i przetwarzane w celach technicznych lub operacyjnych związanych z obsługą systemów teleinformatycznych, także przez podwykonawców ORANGE POLSKA S.A. w przypadku świadczenia przez nich na rzecz ORANGE POLSKA S.A. bieżącego wsparcia i utrzymania technicznego tych systemów. W tych celach Kontrahent powierza ORANGE POLSKA S.A. dane Użytkowników systemów realizujących niniejszą umowę w jego imieniu, w zakresie niezbędnym dla wykonania tych celów. 6. Zabezpieczenie interesów ORANGE POLSKA S.A.: 1) Kontrahent zapłaci ORANGE POLSKA S.A. karę umowną w wysokości 100 000 PLN za każdy stwierdzony przypadek naruszenia zasad ochrony powierzonych danych osobowych. 2) zapłata kary umownej nie wyłącza możliwości dochodzenia przez ORANGE POLSKA S.A. odszkodowania na zasadach ogólnych, w przypadku, gdy wysokość szkody przewyższa wysokość kary umownej. str. 6
3) w przypadku naruszenia przez Kontrahenta zasad ochrony powierzonych danych osobowych, Zleceniodawcy przysługuje zwrot wszelkich kosztów procesu i zastępstwa procesowego i ewentualnego odszkodowania zasądzonego na rzecz osób, których danych dotyczyło naruszenie, oraz nałożonych przez uprawnione organy kar finansowych. 4) jeżeli w wyniku zmiany stanu prawnego na Kontrahencie będą ciążyć dalej idące obowiązki związane z przetwarzaniem danych osobowych niż te, które wynikają z niniejszej umowy, Kontrahent zobowiązuje się takie obowiązki wypełniać, bez potrzebny zmiany niniejszej umowy. 7. Przekazanie i zwrot danych osobowych: 1) Powierzone dane osobowe zostaną przekazane Kontrahentowi na płytach CD, DVD, w terminie do. Dane będą przekazane na płycie CD lub DVD, która będzie zabezpieczona kodem, aby uniemożliwić jej odczytanie przez osoby nieupoważnione)) powierzone dane osobowe zostaną przekazane Kontrahentowi. (np. na płytach CD, DVD, pendrive ach, przesłane w formie zaszyfrowanej wiadomości e-mail) w terminie do... (data). 2) po rozwiązaniu lub wygaśnięciu umowy Kontrahent jest zobowiązany do zwrotu powierzonych mu danych osobowych oraz zniszczenia wszelkich kopii tych danych, będących w jego posiadaniu, niezwłocznie, nie później niż w ciągu 3 Dni Roboczych od dnia rozwiązania lub wygaśnięcia umowy. 3) z czynności odbioru przez Kontrahenta, zwrotu oraz usunięcia powierzonych danych osobowych zostanie sporządzony protokół podpisany przez należycie umocowanych reprezentantów Kontrahenta. Wzór Protokołu odbioru/zwrotu/usunięcia danych osobowych stanowi Załącznik nr 2 do niniejszej umowy. 8. Zasady określone w niniejszej umowie stosuje się odpowiednio do przetwarzania danych stanowiących tajemnicę telekomunikacyjną, w tym również do danych stanowiących tajemnicę telekomunikacyjną a nie stanowiących danych osobowych. str. 7
Załącznik nr 1 do Umowy powierzenia przetwarzania danych osobowych Wymagania techniczne i organizacyjne dla systemów teleinformatycznych przetwarzających dane 1. Podstawa prawna osobowe Ustawa o ochronie danych osobowych - tekst jednolity: Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm. (dalej Ustawa) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - Dz.U. z 2004 r. Nr 100, poz. 1024 (dalej Rozporządzenie). 2. Szczegółowe wytyczne A. zgodnie z Ustawą: System Teleinformatyczny powinien zapewniać: 1) możliwość wstrzymania przetwarzania danych osobowych (Art. 32 ust. 1 pkt 6), 2) możliwość usunięcia danych z systemu (Art. 32 ust. 1 pkt 6), 3) spełnienie wymogów zabezpieczenia danych osobowych, określonych w Rozdziale 5, w szczególności art. 36 ust. 1, tj.: "Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom str. 8
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem." B. zgodnie z Rozporządzeniem 1) Należy przygotować i wdrożyć dokumentację, o której mowa w 1 pkt 1 Rozporządzenia, tj.: a) politykę bezpieczeństwa, zgodnie z 4 Rozporządzenia, b) instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, zgodnie z 5 Rozporządzenia, 2) dla każdej osoby, której dotyczą dane przetwarzane w systemie teleinformatycznym, system ten powinien zapewnić odnotowanie: a) daty pierwszego wprowadzenia danych do systemu; b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu. Odnotowanie informacji, o których mowa w lit. a i b, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. c) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; d) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 Ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, w przypadku systemu służącego do realizacji tego typu udostępnień. W przypadku przetwarzania danych osobowych w co najmniej dwóch systemach teleinformatycznych, wymagania, o których mowa w lit. a)-d), mogą być realizowane w jednym z nich lub w odrębnym systemie teleinformatycznym przeznaczonym do tego celu. e) sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych oraz wobec przekazania danych innemu administratorowi danych w celach marketingowych, w przypadku systemu wykorzystywanego w celach, w których możliwe jest złożenie sprzeciwu, 3) dla każdej osoby, której dane osobowe są przetwarzane w systemie teleinformatycznym, system ten zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w pkt. 2), str. 9
4) system zapewnia zachowanie atrybutów bezpieczeństwa przetwarzania danych osobowych, takich jak: poufności, integralności i rozliczalności (definicje tych atrybutów są opisane odpowiednio w 2 pkt. 10, 8 i 7 Rozporządzenia), 5) zastosowano środki bezpieczeństwa na poziomie podstawowym / podwyższonym / wysokim (pozostaw właściwy poziom) ( 6 Rozporządzenia). W zależności od wybranego poziomu bezpieczeństwa należy spełnić wymagania określone odpowiednio w tabelach 1, 2 i 3. Tabela 1. Wykaz minimalnych środków bezpieczeństwa wymaganych do spełnienia podstawowego poziomu bezpieczeństwa Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych I. 1. Obszar, w którym przetwarzane są dane osobowe (budynki, pomieszczenia, części pomieszczeń), zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. 2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w pkt 1 powyżej, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 1. W systemie teleinformatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. II. 2. Jeżeli dostęp do danych przetwarzanych w systemie teleinformatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: 1) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; 2) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. III. System teleinformatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed: 1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu str. 10
do systemu teleinformatycznego; 2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2. W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się co najmniej z 6 znaków. IV. 3. Dane osobowe przetwarzane w systemie teleinformatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 4. Kopie zapasowe: 1) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; 2) usuwa się niezwłocznie po ustaniu ich użyteczności. V. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w pkt I.1, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; VI. 2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych -pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; 3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. VII. Administrator danych monitoruje wdrożone zabezpieczenia systemu teleinformatycznego. str. 11
Tabela 2. Wykaz dodatkowych w stosunku do poziomu podstawowego minimalnych środków bezpieczeństwa wymaganych do spełnienia podwyższonego poziomu bezpieczeństwa Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych VIII. W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. IX. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 Ustawy, przekazywane poza obszar, o którym mowa w pkt I.1, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. X. Instrukcję zarządzania systemem teleinformatycznym rozszerza się o sposób stosowania środków, o których mowa w pkt IX. Tabela 3. Wykaz dodatkowych w stosunku do poziomu podstawowego i podwyższonego minimalnych środków bezpieczeństwa wymaganych do spełnienia wysokiego poziomu bezpieczeństwa Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych 1. System teleinformatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. XI. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w pkt. 1, obejmują one: 1) kontrolę przepływu informacji pomiędzy systemem teleinformatycznym administratora danych a siecią publiczną; 2) kontrolę działań inicjowanych z sieci publicznej i systemu teleinformatycznego administratora danych. XII. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. str. 12
Zabezpieczenie danych osobowych przetwarzanych w Chmurze Obliczeniowej (dalej Chmura ) Wymagania techniczne: 1) dostawca usług w chmurze zapewnia szyfrowanie powierzonych mu do przetwarzania danych osobowych zgodnie z obowiązującym w ORANGE POLSKA S.A. standardem stosowania kryptograficznych środków ochrony stanowiącym Dodatek 1 do niniejszych Wymagań; 2) szyfrowanie stosuje się zarówno wobec danych w tranzycie, jak i danych przechowywanych na serwerach oraz wobec mechanizmów autoryzacji; 3) dostawca usług w Chmurze stosuje środki zapewniające ciągłość świadczenia usługi (np. zapewnienie zapasowych łączy internetowych i skutecznych mechanizmów wykonywania kopii zapasowych); 4) platforma komputerowa w Chmurze powinna umożliwiać wiarygodny monitoring i mechanizmy rejestrowania działań na danych osobowych, pozwalające na identyfikację wszystkich operacji przetwarzania danych i przypisania do nich podmiotu, który je podjął; 5) dostawca usług w Chmurze zapewnia odpowiednie środki pozwalające na przeniesienie danych od jednego dostawcy usługi w Chmurze do innego. str. 13
Dodatek 1 do Wymagań technicznych i organizacyjnych dla systemów teleinformatycznych przetwarzających dane osobowe Standard stosowania kryptograficznych środków ochrony w Systemach teleinformatycznych Wersja 1.4 Abstrakt Dokument opisuje wykorzystywanie Kryptograficznych Środków Ochrony do celów uwierzytelniania użytkowników oraz ochrony informacji. Wyciąg ze Słownika pojęć Ilekroć w dokumencie występuje wyraz MUSI lub WYMAGANE lub NIE MOŻE lub ZABRONIONE lub odpowiadające im formy oznacza to, że istnieje obowiązek bezwzględnego zastosowania się do treści zapisu. Ilekroć w dokumencie występuje wyrażenie POWINNO lub ZALECANE lub NIE POWINNO lub NIEZALECANE lub odpowiadające im formy oznacza to, że dopuszczalne jest niezastosowanie się do treści zapisu, ale wtedy i tylko wtedy, gdy na podstawie uprzednio wykonanej analizy przy udziale eksperta Bezpieczeństwa Systemów Teleinformatycznych dla określonego przypadku wykazano, że zastosowanie się do treści zapisu jest niemożliwe lub inne obiektywnie uzasadnione czynniki, które uzyskały aprobatę eksperta Bezpieczeństwa Systemów Teleinformatycznych sprawiają, że zastosowanie się jest zbędne albo nieefektywne. Stosowanie kryptografii Wszelkie informacje podlegające ochronie MUSZĄ być chronione przed nieuprawnionym dostępem. W szczególności oznacza to, że należy stosować poniższe zasady i algorytmy kryptograficzne do ochrony Informacji Chronionych. Algorytmy Należy wykorzystywać tylko algorytmy kryptograficzne, na które nie są publicznie znane sposoby ataków. Dopuszczone do użytku algorytmy kryptograficzne wraz z ZALECANYMI długościami kluczy to: str. 14
Algorytmy Symetryczne Nazwa algorytmu AES256 AES192 AES128 CAST6 (Cast-256) CAST5 (CAST-128) TWOFISH BLOWFISH 3DES (keying option 2) [ Dozwolony maksymalnie do końca 2013. W nowych wdrożeniach nie należy implementować tego algorytmu.] 3DES (keying option 1) [ Dozwolony maksymalnie do końca 2014. W nowych wdrożeniach nie należy implementować tego algorytmu.] RC4 [UWAGA: w PTK niedozwolony, w TP maksymalnie do końca 2013]. W nowych wdrożeniach nie należy implementować tego algorytmu.] Minimalna długość klucza 256 bitów 192 bity 128 bitów 256 bitów 128 bitów 256, 192, 128 bitów >= 128 bity 112 bitów (80 bitów efektywnych) 168 bitów (112 bitów efektywnych) 128 bitów Algorytmy asymetryczne Nazwa algorytmu Minimalna długość klucza Maksymalny czas życia klucza RSA 2048 bitów RSA 1024 bitów 1 rok (w ORANGE POLSKA od 2014) Elgamal DSA (na potrzeby podpisów) Diffie-Helman (na potrzeby ustalenia/wymiany kluczy) ECDSA 2048 bitów 2048 bitów 2048 bitów 224 bity str. 15
Dopuszczone do użytku funkcje skrótu to: Nazwa funkcji skrótu SHA-1 SHA-2 SHA-3 (Keccak) MD5 Uwagi Dopuszczony maksymalnie do końca 2014 roku. W nowych wdrożeniach nie należy implementować tego algorytmu. SHA-512, SHA-384, SHA-256, SHA-224 Keccak-512, Keccak-384, Keccak-256, Keccak- 224 Tylko w kodach uwierzytelniania wiadomości HMAC, w funkcjach tworzących klucze oraz w generatorach liczb losowych RIPEMD160 Przy wykorzystywaniu symetrycznej kryptografii blokowej do szyfrowania treści NIE MOŻNA używać trybu ECB. Zalecane jest używanie trybów CBC, CFB, OFB lub CTR z wykorzystaniem IV (Initialization Vector) generowanego przy każdym użyciu od nowa (NIE MOŻE być użyty wielokrotnie, zwłaszcza z tym samym kluczem) z wykorzystaniem wiarygodnych generatorów losowych. Dopuszczane jest też stosowanie innych (niezłamanych) algorytmów, które znajdują się na liście dopuszczonych algorytmów kryptograficznych w standardzie FIPS-140-2 Annex A: Approved Security Functions for FIPS PUB 140-2 Security Requirements for Cryptographic Modules oraz przez aktualne normy z rodziny ISO/IEC 18033 zgodnie ze wskazanymi tam warunkami i ograniczeniami. Stosowane klucze nie powinny przy tym być krótsze (długość efektywna kluczy) niż 112 dla algorytmów symetrycznych, 2048 dla algorytmów asymetrycznych oraz 224 bitów dla algorytmów opartych na krzywych eliptycznych. Zarządzanie kluczami Klucze MUSZĄ być chronione przed nieuprawnionym dostępem i użyciem. Klucze na koniec cyklu życia muszą być bezpowrotnie zniszczone lub bezpiecznie zarchiwizowane. str. 16
Klucze MUSZĄ być generowane przy pomocy możliwie najlepszych generatorów losowych (najlepiej sprzętowych). W szczególności dotyczy to par kluczy asymetrycznych, przeznaczonych do długotrwałego użytku. Klucze sesyjne POWINNY być generowane na nowo dla każdej nowej sesji. Klucze sesyjne nigdy NIE POWINNY być wykorzystywane powtórnie ani archiwizowane. Identyfikatory sesji wykorzystywane przy protokołach bezstanowych (np. HTTP) NIE MOGĄ być generowane przy wykorzystaniu przewidywalnych zmiennych (czas, adres IP klienta, PID procesu, zwiększający się licznik itp.). Zamiast tego identyfikator sesji POWINIEN być generowany poprzez wyliczenie skrótu (przy użyciu jednej z dopuszczonych funkcji skrótu) z danych pochodzących z kryptograficznie bezpiecznego generatora liczb pseudolosowych (CS PRNG) lub losowych. Zasady podziału sekretu W systemach, w których wymagane są szczególne środki kontroli w użyciu materiałów kryptograficznych ZALECANE jest opracowanie systemu podziału sekretu. Należy w takich przypadkach kierować się zasadą p z n, gdzie p i n to liczby dodatnie, gdzie p<n, muszą one być ustalane indywidualnie dla systemu. Przy stosowaniu podziału sekretu, po każdorazowym użyciu POWINNO się zmieniać sekrety w taki sposób, aby w żadnym momencie poza użyciem nikt nie miał jednoosobowo dostępu do (lub znajomości) zestawu sekretów równemu lub większemu od p. Fizyczne warunki przechowywania sekretów MUSZĄ gwarantować ich bezpieczeństwo. Wszelkie użycie poszczególnych sekretów MUSI pozostawiać widoczne skutki, tak aby niemożliwe było wykorzystanie ich w sposób nierozpoznawalny (np. przechowywanie sekretów w pieczętowanych i datowanych kopertach) Współdzielony sekret (ang. pre-shared secret, pre-shared key, shared secret - dotyczy rozwiązań VPN opartych na IPSEC) Minimalna długość współdzielonego sekretu MUSI wynosić co najmniej 20 znaków, ZALECANE jest jednak stosowanie długości co najmniej 32 znaków. Maksymalny czas życia współdzielonego sekretu NIE MOŻE być dłuższy niż 2 lata, ZALECA się jednak, aby nie przekraczał on 1 roku. Odstępstwa W uzasadnionych przypadkach Dyrektor Bezpieczeństwa Systemów Teleinformatycznych lub osoba przez niego upoważniona MOŻE wyrazić zgodę (pisemnie lub w formie wiadomości elektronicznej podpisanej cyfrowo z wykorzystaniem usługi Bezpieczna Poczta ORANGE POLSKA ) na odstąpienie od powyższych wymogów bezpieczeństwa. str. 17
Załącznik 2 do Umowy powierzenia przetwarzania danych osobowych Protokół odbioru/zwrotu/usunięcia danych osobowych 1) Odbieram/Zwracam* dane osobowe.. ORANGE POLSKA S.A., na nośniku załączonym do niniejszego protokołu, na podstawie Umowy powierzenia przetwarzania danych osobowych nr... zawartej w Warszawie w dniu.. pomiędzy: ORANGE POLSKA Spółką Akcyjną z siedzibą i adresem w Warszawie (kod pocztowy) przy ulicy.., wpisaną do Rejestru Przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem..; Regon.., NIP.; z pokrytym w całości kapitałem zakładowym wynoszącym zł; reprezentowaną przez:..., zwaną Zleceniodawcą, a,.. z siedzibą., wpisaną do Rejestru Przedsiębiorców pod numerem KRS., reprezentowaną przez.,zwaną Kontrahentem, powierzone w celu realizacji w/w umowy. 2) Potwierdzam usunięcie danych osobowych* powierzonych w celu realizacji w/w umowy.... miejscowość i data str. 18
... imię i nazwisko oraz podpis osoby reprezentującej Kontrahenta.. Niniejszy protokół został sporządzony w dwóch egzemplarzach, po jednym dla każdej ze Stron w/w umowy. * niepotrzebne skreślić str. 19