Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sklepie internetowym www.stork3d.pl prowadzonym przez firmę STORK Szymon Małachowski Właścicielem materialnych praw autorskich do udostępnionych wzorców dokumentacji przetwarzania danych osobowych jest Safe Buy Sp. z o.o. Sp. k., która udzieliła sklepowi uczestniczącemu w programie ecommerce Fair Play niewyłącznego i niezbywalnego prawa do wykorzystywania tej dokumentacji do celów związanych z własną działalnością handlową w internecie. Kopiowanie oraz rozpowszechnianie niniejszej dokumentacji bez zgody Safe Buy Sp. z o.o. Sp. k. jest zabronione. Sprzedawcy internetowi mogą dowiedzieć się więcej o programie ecommerce Fair Play i możliwości darmowego korzystania z wzorca Regulaminu Sprzedaży i dokumentacji przetwarzania danych osobowych na stronie Safebuy.pl/sprzedawcy-internetowi/.
Spis treści 1. Przetwarzanie danych osobowych w systemie informatycznym... 3 2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności... 4 3. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem... 4 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu... 4 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób, miejsce i okres przechowywania... 5 6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego... 5 7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych... 6 8. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych... 6 Wzór opracowany przez SafeBuy.pl Wszelkie prawa zastrzeżone 2
1. Przetwarzanie danych osobowych w systemie informatycznym określa sposób zarządzania systemem informatycznym wykorzystywanym do przetwarzania danych osobowych przez sklep internetowy. Opisane procedury i zasady postępowania mają na celu zapewnienie bezpieczeństwa przetwarzania tych danych zgodnie z założeniami Polityki bezpieczeństwa danych osobowych, która jest dokumentem nadrzędnym i zawiera ogólne wytyczne dla bezpiecznego przetwarzania danych osobowych klientów. Uwzględniając kategorie przetwarzanych danych osobowych oraz konieczność zachowania bezpieczeństwa ich przetwarzania w systemie informatycznym połączonym z siecią publiczną (Internetem), obowiązuje poziom wysoki bezpieczeństwa w rozumieniu przepisów prawa. Przetwarzane dane są przechowywane na serwerze i stacje robocze służą przede wszystkim do prezentacji danych (przeglądarka internetowa). Uwierzytelnianie użytkowników i kontrola poziomu uprawnień zapewniane są przede wszystkim na poziomie systemu operacyjnego serwera i aplikacji działającej na serwerze oraz poprzez szyfrowanie teletransmisji. Administrator danych wykorzystuje do przetwarzania danych osobowych przede wszystkim systemy informatyczne (aplikacje) działające na serwerach będących w zewnętrznych centrach przetwarzania danych, które zapewniają wyższy poziom zabezpieczeń danych osobowych przetwarzanych w tych systemach informatycznych, a w szczególności wyższe bezpieczeństwo fizyczne i środowiskowe serwerów oraz automatyczne wykonywanie kopii zapasowych. W przypadku wyznaczenia Administratora Systemu Informatycznego (ASI) jest on odpowiedzialny za przestrzeganie zasad bezpieczeństwa przetwarzania danych osobowych w zakresie systemu informatycznego. Do obowiązków ASI należy także kontrola przepływu informacji pomiędzy systemem informatycznym a siecią publiczną oraz przeprowadzanie analizy ryzyka uwzględniającej realne zagrożenia dla systemu informatycznego. Instrukcja została opracowana zgodnie z wymogami określonymi: - ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2014 r. poz. 1182), - rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024). Wzór opracowany przez SafeBuy.pl Wszelkie prawa zastrzeżone 3
2. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności 1. Dostęp do systemu informatycznego służącego do przetwarzania danych osobowych może uzyskać wyłącznie osoba upoważniona do przetwarzania danych osobowych, która uzyskała pisemne upoważnienie do przetwarzania danych osobowych i podpisała pisemne oświadczenie o poufności oraz została zarejestrowana w tym systemie jako użytkownik. 2. W Ewidencji osób upoważnionych do przetwarzania danych osobowych odnotowuje się nadany identyfikator użytkownika oraz poziom przyznanych uprawnień w systemie informatycznym. 3. Wraz z zakończeniem współpracy z osobą, która posiada dostęp do systemu informatycznego służącego do przetwarzania danych osobowych lub cofnięciu upoważnienia, użytkownik jest wyrejestrowywany. 4. Raz przydzielony identyfikator użytkownika, nawet po jego wyrejestrowaniu z systemu informatycznego, nie może zostać przydzielony innemu użytkownikowi. 3. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Uwierzytelnienie użytkownika polega na porównaniu wprowadzonego przez niego hasła z hasłem pasującym danego identyfikatora zarejestrowanym w systemie informatycznym. 2. Pierwsze hasło nadawane jest przez system informatyczny i użytkownik jest zobowiązany do jego niezwłocznej zmiany po pierwszym zalogowaniu. Pierwsze hasło jest przekazywane w sposób bezpieczny. 3. Hasło musi składać się z co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne. 4. Hasło jest zmieniane co najmniej co 30 dni. 5. Hasła są przechowywane w systemie informatycznym w postaci uniemożliwiającej ich odczytanie. 6. Użytkownik jest zobowiązany do zabezpieczenia swojego hasła przed nieuprawnionym dostępem osób trzecich. 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 1. Dostęp do systemu informatycznego jest możliwy wyłącznie po podaniu indywidualnego identyfikatora i pasującego do niego hasła. Wzór opracowany przez SafeBuy.pl Wszelkie prawa zastrzeżone 4
2. W przypadku potrzeby opuszczenia stanowiska pracy, użytkownik zobowiązany jest do zablokowania dostępu w sposób uniemożliwiający odczytanie zawartości ekranu i wznowienia pracy bez podania hasła. 3. Po 30 minutach od zaprzestania pracy jej wznowienie wymaga ponownego podania identyfikatora użytkownika i hasła. 4. Zakończenie pracy w systemie informatycznym następuje po wylogowaniu się z niego. 5. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania oraz sposób, miejsce i okres przechowywania 1. Kopie zapasowe baz danych wykonywane są przy pomocy narzędzi dostarczonych wraz z oprogramowaniem sklepu internetowego lub baz danych. 2. Co najmniej raz na miesiąc jest wykonywana kopia przyrostowa. 3. Co najmniej raz na rok jest wykonywana kopia pełna. 4. Kopie zapasowe przechowuje się na pamięci przenośnej lub na nośnikach DVD, które są następnie przechowywane w szafie zamykanej na klucz. 5. Kopie zapasowe są usuwane bezzwłocznie po ustaniu ich użyteczności. 6. Zasady postępowania z informatycznymi nośnikami zawierającymi dane osobowe zostały opisane w Polityce bezpieczeństwa. 6. Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego 1. Zabezpieczenie dostępu do sieci teleinformatycznej ma na celu ochronę usług sieciowych przed nieupoważnionym dostępem z zewnątrz i z wewnątrz odbywa się zgodnie z wytycznymi opisanymi w Polityce bezpieczeństwa. 2. W celu zabezpieczenia przed atakami z sieci publicznej serwery i stacje robocze znajdujące się w sieciach LAN są chronione przez zaporę ogniową (firewall). 3. W przypadkach, kiedy wykorzystanie dedykowanych urządzeń firewall nie jest zasadne, serwery i stacje robocze są chronione przez lokalnie zainstalowane oprogramowanie realizujące funkcję zapory ogniowej. 4. Użytkownikom nie wolno otwierać na komputerach, na których odbywa się przetwarzanie danych osobowych, plików pochodzących z niewiadomego źródła bez zgody przełożonego. 5. Na wszystkich komputerach pracujących pod kontrolą systemu operacyjnego Microsoft Windows zainstalowany jest program antywirusowy, którego aktualizacja wykonywana jest automatycznie. Oprogramowanie antywirusowe sprawuje ciągły nadzór nad uruchamianymi lub wprowadzanymi do systemu programami oraz załącznikami poczty elektronicznej. Wzór opracowany przez SafeBuy.pl Wszelkie prawa zastrzeżone 5
7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych 1. Przeglądy i konserwacja przeprowadzana jest doraźnie, nie rzadziej niż w terminach określonych przez producentów systemu lub jeśli brak jest innych wytycznych raz na 3 miesiące wykonuje się generalny przegląd systemu informatycznego, polegający na ustaleniu poprawności działania tych jego elementów, które są niezbędne do zapewnienia realizacji funkcji wynikających z niniejszej Instrukcji. 2. W przypadku stwierdzenia nieprawidłowości w działaniu elementów systemu opisanych w pkt. 1 podejmuje się niezwłocznie czynności zmierzające do przywrócenia ich prawidłowego działania. 3. Jeżeli do przywrócenia prawidłowego działania systemu niezbędna jest pomoc podmiotu zewnętrznego, wszelkie czynności na sprzęcie komputerowym dokonywane w obszarze przetwarzania danych osobowych, powinny odbywać się w obecności osoby wyznaczonej przez Administratora Danych Osobowych. 8. Kontrola nad wprowadzaniem, dalszym przetwarzaniem i udostępnianiem danych osobowych 1. System informatyczny umożliwia automatyczne przypisanie wprowadzanych danych osobowych użytkownikowi (na podstawie identyfikatora użytkownika), który te dane wprowadza do systemu oraz daty pierwszego wprowadzenia danych do systemu. 2. System informatyczny umożliwia automatyczne odnotowanie informacji oraz sporządzanie i wydrukowanie dla każdej osoby, której dane są przetwarzane w systemie, raportu, w którym znajdują się przedstawione w powszechnie zrozumiałej formie następujące informacje: a) data pierwszego wprowadzenia danych do systemu administratora danych, b) identyfikator użytkownika wprowadzającego dane, c) źródło danych w przypadku zbierania danych nie od osoby, której one dotyczą, d) informacje o odbiorcach danych, którym dane osobowe zostały udostępnione, data i zakres udostępnienia, e) sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy, f) treść przetwarzanych danych osobowych (zgodnie z wymogiem art. 32 ust. 1 pkt 3 ustawy). 3. Dla każdej osoby, której dane osobowe są przetwarzane, system informatyczny zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w pkt. 2 litera a-e. 4. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia odnotowanie informacji o udostępnionych danych odbiorcom, zawierające informacje komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione. Wzór opracowany przez SafeBuy.pl Wszelkie prawa zastrzeżone 6