Polityka bezpieczeństwa

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Sklepie Internetowym www.mikamsklep.pl

1.Definicje

Poniżej przedstawiono pojęcia, definicje i skróty przywołane w niniejszej polityce bezpieczeństwa:

1.1. Administrator danych osobowych (ADO)

- Mikam S.C. Krzysztof Bartnicki Andrzej Milewczyk, ul. Wejherowska 3 80-209 Dobrzewino, NIP 958-166-36-16, GIOŚ E0018478WZBW, adres email: biuro@mikamsklep.pl, telefon +48 722 220 915

1.2. Administrator Systemu Informatycznego (ASI)

- osoba lub firma sprawująca nadzór i koordynująca prace w zakresie eksploatacji, monitorowania i praw dostępu do zasobów informatycznych gromadzonych i przetwarzanych w sieci informatycznej.

1.3. Dane osobowe

- wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

1.4. Osoba upoważniona

– osoba posiadająca upoważnienie wydane przez administratora danych osobowych (lub osobę uprawnioną przez niego) i dopuszczona jako Użytkownik do przetwarzania danych osobowych w systemie informatycznym danej komórki organizacyjnej w zakresie wskazanym w upoważnieniu (listę osób upoważnionych do przetwarzania danych osobowych posiada ADO).

1.5. System Informatyczny

– system przetwarzania danych wraz z zasobami ludzkimi, technicznymi oraz finansowymi, który dostarcza i rozprowadza informacje,

1.6. Zabezpieczenie Systemu Informatycznego

– stosowane środki administracyjne oraz techniczne służące ochronie zbioru przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą.

1.7. Poufność

– to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym osobom.

1.8. Przetwarzanie danych

– rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

1.9. Sklep

– sklep internetowy pod adresem www.mikamsklep.pl

1.10. Stacja robocza

– stacjonarny lub przenośny komputer (laptop, netbook) wchodzący w skład systemu informatycznego umożliwiający Użytkownikom systemu dostęp do danych osobowych znajdujących się w systemie.

1.11. Ustawa

- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883)

1.12. Rozporządzenie

- Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. (Dz. U.2004 nr 100 poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

– każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

2. Postanowienia wstępne

Zakresy określone przez dokumenty Polityki Bezpieczeństwa Informacji mają zastosowanie do całego systemu informacyjnego, w szczególności do wszystkich systemów informatycznych oraz papierowych, w których przetwarzane są informacje podlegające ochronie; wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie; wszystkich pracowników w rozumieniu przepisów kodeksu pracy, osób współpracujących w oparciu o umowę cywilno-prawną w jakiejkolwiek formie i innych osób mających dostęp do informacji podlegających ochronie.

Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu kodeksu cywilnego oraz inne osoby mające dostęp do informacji podlegających ochronie.

Zestaw dokumentów składa się z:

Polityki bezpieczeństwa informacji, Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwanej dalej „instrukcją".

Zestaw dokumentów wdraża Administrator Danych Osobowych (ADO)

Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w Marcin Baran PHU SENSAZIONE zasad ochrony danych osobowych oraz muszą zapoznać się z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, polityką bezpieczeństwa informacji oraz instrukcją zarządzania systemem informatycznym.

Administratorem Systemu Informatycznego jest Mikam S.C. Krzysztof Bartnicki Andrzej Milewczyk

3. Obowiązki Administratora Danych Osobowych

Administrator Danych Osobowych zobowiązany jest do przestrzegania wszystkich przepisów Ustawy o ochronie danych osobowych, w szczególności poprzez:

spełnienie obowiązku informacyjnego zgodnie z art. 24 ust. 1 Ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych , od osoby której one dotyczą, spełnienie obowiązku informacyjengo zgodnie z art. 25 ust. 1 Ustawy o ochronie danych osobowych w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 

1) przetwarzane zgodnie z prawem; 

2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; 

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania, którym jest: udzielenie informacji o celu i zakresie przetwarzanych danych osobowych, uzupełnienie, uaktualnienie, sprostowanie danych, czasowe lub stałe wstrzymanie przetwarzania kwestionowanych danych lub ich usunięcie ze zbioru, zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, prowadzenie ewidencji osób upoważnionych do ich przetwarzania.

4. Obowiązki Administratora Systemu Informatycznego

Administrator Systemu Informatycznego odpowiedzialny jest za:

- bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych, 

- optymalizację wydajności systemu informatycznego, baz danych, 

- instalacje i konfiguracje sprzętu sieciowego i serwerowego, 

- instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego, 

- konfigurację i administrację oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem, 

- współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych, 

- zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego, 

- zarządzanie kopiami awaryjnymi danych w tym danych osobowych oraz zasobów umożliwiających ich przetwarzanie, 

- przeciwdziałanie próbom naruszenia bezpieczeństwa informacji, 

- przyznawanie na wniosek Administratora Danych ściśle określonych praw dostępu do informacji w danym systemie, 

- wnioskowanie do Administratora Danych Osobowych w przedmiocie procedur bezpieczeństwa i standardów zabezpieczeń, 

- zarządzanie licencjami, 

- prowadzenie profilaktyki antywirusowej.

Praca Administratora Systemu Informatycznego jest nadzorowana pod względem bezpieczeństwa przez Administratora Danych Osobowych.

5. Środki zabezpieczeń danych osobowych

Jednostki robocze w sklepie www.fumare.pl służące do przetwarzania danych osobowych połączone są z siecią publiczną i zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., stosuje się zabezpieczenia na poziomie wysokim.

System informatyczny służący do przetwarzania danych osobowych w sklepie www.mikamsklep.pl chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych oraz logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, obejmują one:

- kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną

- kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

Administrator Danych Osobowych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

Administrator Danych Osobowych stosuje dodatkowo środki bezpieczeństwa na poziomie podstawowym i podwyższonym, które są wymienione części A i B Załącznika do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (poz. 1024).

Rozróżnia się następujące kategorie środków zabezpieczeń danych osobowych:

Zabezpieczenia fizyczne: 

- pomieszczenia zamykane na klucz, 

- zabezpieczenie głównych urządzeń sieciowych w szafach zamykanych na klucz.

Zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej:

- przetwarzanie danych osobowych następuje w wyznaczonych do tego pomieszczeniach, 

- przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby.

Zabezpieczenia organizacyjne: 

- osobą odpowiedzialną za bezpieczeństwo danych jest Administrator Danych Osobowych.

Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: 

- wykaz pracowników Jednostki uprawnionych do przetwarzania danych osobowych, znajduje się u Administratora Danych Osobowych; 

- przetwarzać dane osobowe mogą jedynie pracownicy, którzy posiadają stosowne upoważnienie przyznane przez Administratora Danych Osobowych.

6. Wykaz pomieszczeń, w których są przetwarzane, przechowywane, niszczone dane osobowe, a także wykaz zbiorów danych osobowych oraz programów do ich przetwarzania:

- Pomieszczenia, w których przetwarza, przechowuje oraz niszczy się dane osobowe znajdują się w budynku przy ul. Wyzwolenia 27A/46, 80-537 Gdańsk 

- Wykaz zbiorów danych osobowych wraz ze wskazaniem programów do przetwarzania tych danych prowadzi i posiada Administrator Danych Osobowych.

7. Sposób przepływu danych pomiędzy poszczególnymi systemami.

Klient sklepu internetowego www.mikamsklep.pl dokonuje rejestracji w sklepie podając swoje imię, nazwisko, adres dostarczenia przesyłki, opcjonalnie numer telefonu i adres e-mail. Jego konto chronione jest wybranym przez niego, indywidualnym hasłem. Po złożeniu zamówienia administrator panelu sklepu internetowego wprowadza ręcznie dane klienta i szczegóły jego zamówienia do systemu obsługującego sklep internetowy.

8. Naruszenie ochrony danych osobowych.

Za naruszenie ochrony danych osobowych uznaje się przypadki, gdy: 

- stwierdzono naruszenie zabezpieczenia systemu informatycznego, 

- stwierdzono naruszenie zabezpieczenia zbioru danych osobowych zebranych i przetwarzanych w innej formie, 

- stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych.

Każdy pracownik, który stwierdzi lub podejrzewa naruszenie ochrony danych osobowych w systemie informatycznym (lub przetwarzanych w inny sposób) zobowiązany jest do niezwłocznego poinformowania o tym administratora systemu informatycznego.

Dane osobowe zostają ujawnione, gdy stają się znane w całości lub w części pozwalającej na określenie osobom nieuprawnionym tożsamości osoby, której dotyczą.

Administrator bazy danych osobowych, który stwierdził lub uzyskał informację wskazującą na naruszenie ochrony tej bazy danych zobowiązany jest do niezwłocznego:

- spisania w formie protokołu notatki w przedmiocie wszelkich informacji i okoliczności związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu ochrony danych osobowych lub samodzielnym wykryciu tego faktu, 

- jeżeli zasoby systemu na to pozwalają, wygenerowania i wydrukowania wszystkich dokumentów i raportów, które mogą pomóc w ustaleniu wszelkich okoliczności zdarzenia, opatrzenia ich datą i podpisania, 

- podjęcia odpowiednich kroków w celu powstrzymania lub ograniczenia dostępu osoby niepowołanej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów naruszenia ochrony danych, 

- przywrócenia normalnego działania systemu, przy czym, jeżeli nastąpiło uszkodzenie bazy danych, odtworzenia jej z ostatniej kopii awaryjnej z zachowaniem wszelkich środków ostrożności mających na celu uniknięcie ponownego uzyskania dostępu przez osobę nieupoważnioną, tą samą drogą.

Po przywróceniu normalnego stanu bazy danych osobowych należy przeprowadzić szczegółową analizę w celu określenia przyczyn naruszenia ochrony danych osobowych lub podejrzenia takiego naruszenia, oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

Administrator bazy danych osobowych, w której nastąpiło naruszenie ochrony danych osobowych przygotowuje szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia i niezwłocznie przekazuje go osobie wykonującej obowiązki administratora bezpieczeństwa informacji.

7. Przepisy końcowe

W sprawach nieuregulowanych niniejsza Polityką mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024).

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

1. Przepisy wstępne

Instrukcja określa zasady zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, a w szczególności: sposób rejestrowania i wyrejestrowania użytkownika, sposób przydziału haseł i zasady korzystania z nich, procedury rozpoczęcia i zakończenia pracy, obowiązki użytkownika, metodę i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemu.

Obszar przetwarzania danych osobowych z użyciem stacjonarnego sprzętu komputerowego stanowią pomieszczenia w budynku przy ul. Wyzwolenia 27A/46, 80-537 Gdańsk

Wszystkie pomieszczenia, które należą do obszaru przetwarzania danych, wyposażone są w odpowiednie zamknięcia.

W czasie, gdy nie znajdują się w nich osoby upoważnione, pomieszczenia są zamykane w sposób uniemożliwiający wstęp osobom nieupoważnionym.

Osoby nieupoważnione mogą przebywać w obszarze przetwarzania danych tylko za zgodą Administratora Danych lub w obecności osób upoważnionych.

2. Użytkownikiem przetwarzania danych osobowych może być:

- osoba zatrudniona przy przetwarzaniu danych osobowych w Jednostce, która posiada upoważnienie do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład,

- pracownik innego podmiotu lub przedsiębiorca będący osobą fizyczną prowadzący działalność gospodarczą na podstawie wpisu do ewidencji działalności gospodarczej, który świadczy na podstawie stosowanych umów usługi związane z pracą w systemie informatycznym (serwis, zlecenie przetwarzania danych osobowych itp.).

Każdorazowe uwierzytelnienie użytkownika w systemie następuje po podaniu loginu i hasła. Używanie hasła jest obowiązkowe dla każdego użytkownika, posiadającego login w systemie. Każdemu użytkownikowi zabrania się ujawniania haseł jakimkolwiek osobom trzecim oraz zabrania się zapisywania haseł lub takiego z nim postępowania, które ułatwia lub umożliwia dostęp do haseł osobom trzecim.

3. Rozpoczęcie i zakończenie pracy.

Przed przystąpieniem do pracy w systemie informatycznym użytkownik zobowiązany jest sprawdzić urządzenie komputerowe i stanowisko pracy ze zwróceniem uwagi, czy nie zaszły okoliczności wskazujące na naruszenie ochrony danych osobowych. W przypadku naruszenia ochrony danych osobowych użytkownik niezwłocznie powiadamia administratora danych osobowych.

Przed przystąpieniem do pracy w systemie informatycznym, Użytkownik wykonuje następujące czynności: 

- włączenie komputera, 

- zalogowania się do sytemu po wpisaniu loginu i hasła.

Zabronione jest logowanie się Użytkownika na login i hasło innego Użytkownika.

Zakończenie pracy przez Użytkownika następuje po wylogowaniu się z systemu.

Użytkownik po zakończeniu pracy zabezpiecza swoje stanowisko pracy, a w szczególności dyski przenośne, płyty cd oraz wydruki które zawierają dane osobowe przed nieupoważnionym dostępem.

W przypadku dłuższego opuszczenia stanowiska pracy, Użytkownik zobowiązany jest do wylogowania się z sytemu.

4. Tworzenie, przechowywanie, sprawdzanie przydatności i likwidacja kopii zapasowych.

Kopie zapasowe tworzone są na płytach cd / dvd. W okresie jednego miesiąca kopie zapasowe są sprawdzane pod kątem przydatności do ich odtworzenia, a w przypadku ustania ich przydatności są niezwłocznie niszczone.

5. Sprawdzanie obecności złośliwego oprogramowania.

Sprawdzanie obecności złośliwego oprogramowania następuje za pomocą programu antywirusowego, który zainstalowany jest na wszystkich stacjach roboczych i który automatycznie bez udziału Użytkownika skanuje pliki na obecność złośliwego oprogramowania.

W przypadku, gdy stacja robocza poddana była konserwacji bądź naprawie, należy dokonać sprawdzenia pod kątem wystąpienia złośliwego oprogramowania za pomocą programu antywirusowego.

W przypadku korzystania z elektronicznych nośników przenośnych, należy przed rozpoczęciem pracy dokonać ich sprawdzenia za pomocą programu antywirusowego pod kątem wystąpienia złośliwego oprogramowania.

6. Sposób i czas przechowywania nośników informacji.

Wydruki i dokumenty w wersji papierowej zawierające dane osobowe, przechowywane są w zamykanych szafach.

Elektroniczne nośniki informacji zawierające dane osobowe przechowywane są w zamykanych szafach służących wyłącznie do tego celu.

Niszczenie zużytych bądź niepotrzebnych elektronicznych nośników informacji a także wydruków papierowych zawierających dane osobowe odbywa się w sposób uniemożliwiający ich ponowne odtworzenie.

7. Komunikacja w sieci komputerowej

Użytkownicy systemu nie są uprawnieni do instalowania prywatnego oprogramowania na jednostki robocze w których przetwarzane są dane osobowe. Istnieje możliwość zainstalowania prywatnego oprogramowania tylko i wyłącznie po uzyskaniu zgody Administratora Danych Osobowych. W przypadku, gdy zainstalowano prywatne oprogramowanie bez uzyskania zgody, Użytkownik ponosi odpowiedzialność dyscyplinarną oraz prawną.

Użytkownicy systemu nie mogą ściągać za pośrednictwem sieci publicznej, która połączona jest z jednostką roboczą żadnego oprogramowania, chyba że Użytkownik uzyska zgodę od Administratora Danych Osobowych.

8. Przepisy końcowe

W sprawach nieuregulowanych niniejszą Instrukcją mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004r., Nr 100, poz. 1024).