Zapewnienie poufności, integralności, dostępności
i odporności
ZAPEWNIENIE POUFNOŚCI, INTEGRALNOŚCI, DOSTĘPNOŚCI I ODPORNOŚCI SYSTEMÓW I USŁUG PRZETWARZANIA DANYCH OSOBOWYCH
Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych osobowych osiąga się dzięki:
- – szyfrowanym kanałom przepływu danych SSL
- – uwierzytelnieniu użytkownika – możliwości włączenia dwuetapowego logowania
- – automatycznej procedurze wylogowania – na wypadek utraty zasilania
- – zarządzaniu upoważnieniami dostępu do danych – w relacji ekspert serwisu – użytkownik powinna być używana pseudoanonimizacja danych – ekspert serwisu powinien widzieć jedynie imię i numer ID (do listy ID przypisanych do konkretnych danych osobowych użytkowników upoważnienie powinni mieć jedynie pracownicy serwisu, którym jest to niezbędne do realizacji zadań serwisowych)
- – stosowaniu wysokiej klasy zabezpieczeniom infrastruktury technicznej
- – procedurze związanej z bezpieczeństwem serwisu, który powinien być monitorowany na bieżąco (system alertów), sprawdzany – testowany (w zależności od zakresu raz na kwartał lub raz na rok) i aktualizowany – dostosowywany do aktualnych wymogów prawa.
Zapewnienie bezpieczeństwa ochrony danych osobowych – pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych
Anonimizacja dotyczy procesu nieodwracalnego mającego na celu uniemożliwienie wykorzystania danych osobowych. W systemach księgowych, gdzie dane wykorzystywane są dla konkretnych celów księgowych, czyli czynności związanych z prawem, anonimizacja nie ma zastosowania z uwagi na prawny wymóg archiwizacji do czasu przedawnienia obowiązku podatkowego i/ lub roszczeń umownych.
Pseudonimizacja – jest to zamiana listy danych osobowych na np. cyfry czyli pseudonimy, tak by nie można było w łatwy sposób rozszyfrować kogo dane są podawane. Stosowana jest od dawna np. na uczelniach – student Jan Kowalski na listach wyników widnieje pod numerem indeksu, a nie pod imieniem i nazwiskiem – w ten sposób tylko znający numery indeksów są w stanie przypisać konkretny wynik do danej osoby fizycznej. Pseudonimizację wykorzystuje się często dla celów tworzenia statystyk. W praktyce dotyczy głównie sytuacji udostępniania danych na zewnątrz i to w określonych celach i sytuacjach – co nie dotyczy systemu księgowego.
Szyfrowanie danych osobowych to zabezpieczenie wykorzystywane szczególnie przy czynnościach przesyłania danych. Poprzez szyfrowanie wszystkich danych wychodzących i wchodzących z/do aplikacji transmisja staje się bezpieczna. Stosowany protokół szyfrowania powinien zapewniać wysoki poziom bezpieczeństwa.
Tworzenie i przechowywanie kopii bezpieczeństwa
Kopie danych osobowych powinny być przechowywana w zaszyfrowanej postaci, w innej lokalizacji niż serwer główny, w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Kopie należy usuwać niezwłocznie po ustaniu ich użyteczności – usuwanie kopii zapasowych powinno odbywać się automatycznie po upływie ustalonego przez administratora czasu retencji.