Szukaj
 
Producenci
 
Koszyk
0 produktów
 


Certyfikat Przyjazny Regulamin

Polityka bezpieczeństwa

Polityka bezpieczeństwa przetwarzania danych osobowych
PLANTAGO Mariusz Łyżwa


Realizując postanowienia ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926 z późn. zm.) oraz wydane w oparciu o delegację ustawową przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informacyjne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), wprowadza się zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej pozwalający na zapewnienie ochrony danych osobowych administrowanych przez   PLANTAGO Mariusz Łyżwa, zwaną dalej „polityką bezpieczeństwa” w następującym brzmieniu:


Rozdział I
Definicje bezpieczeństwa informacji, ogólne cele i zakres oraz znaczenie bezpieczeństwa

§ 1
1. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych;
2. Polityką bezpieczeństwa objęte są dane osobowe, którymi zgodnie z ustawą o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 poz. 926, z późn. zm.) są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
3. Reguły i zasady do przetwarzania danych osobowych prowadzonych zarówno w aktach, jak i w systemach informatycznych obowiązują, także w przypadku przetwarzania danych poza zbiorem danych.

§ 2
Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech:
a) poufności — właściwości zapewniającej, że dane nie są udostępniane nieupoważnionym podmiotom;
b) integralności — właściwości zapewniającej, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalności — właściwości zapewniającej, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.

§ 3
Definicje:
1. Administrator Danych Osobowych –   PLANTAGO Mariusz Łyżwa, Warszawska 279
2. 26-110 Skarżysko-Kamienna, zwana dalej Administratorem;
3. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101 poz. 926 z późn. zm.);
4. Osoba upoważniona – osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych nadane przez Administratora;
5. Osoba nieupoważniona – osoba nieposiadająca pisemnego upoważnienia do przetwarzania danych osobowych nadanego przez Administratora oraz osoba, która nie otrzymała zgody Administratora na udostępnienie danych osobowych w trybie i na zasadach określonych w art. 29 Ustawy;
6. Użytkownik – Osoba upoważniona przetwarzająca dane osobowe w Systemie informatycznym;
7. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;
8. Obszar bezpieczeństwa – pomieszczenia użytkowane przez Administratora w budynku przy ul. Warszawskiej 279, 26-110 Skarżysko-Kamienna, w których przetwarzane są dane osobowe gromadzone przez Administratora;



Rozdział II
Oświadczenie o intencjach kierownictwa


§ 4
Administrator danych do właściwej i skutecznej ochrony danych osobowych deklaruje:
a) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych;
b) zamiar stałego podnoszenia świadomości oraz kwalifikacji pracowników administratora danych, którzy przetwarzają dane osobowe, w szczególności w zakresie problematyki bezpieczeństwa tych danych;
c) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby;
d) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych.

§ 5
Dla skutecznej realizacji polityki bezpieczeństwa Administrator zapewnia:
a) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne;
b) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony;
c) okresowe szacowanie ryzyka zagrożeń dla zbiorów danych;
d) kontrolę i nadzór nad przetwarzaniem danych osobowych;
e) monitorowanie zastosowanych środków ochrony.

§ 6
Administrator danych realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczając dane osobowe przed:
a) udostępnieniem ich osobom nieupoważnionym,
b) zabraniem ich przez osobę nieuprawnioną,
c) przetwarzaniem danych z naruszeniem ustawy o ochronie danych osobowych,
d) zmianą, utratą, uszkodzeniem lub zniszczeniem danych.

§ 7
1. Administrator danych realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych.
2. Administrator danych zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym  dostępem oraz innymi zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.

Rozdział III
Wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla instytucji


§ 8
Administrator zapewnia zgodność niniejszej polityki bezpieczeństwa z przepisami określającymi zasady przetwarzania danych osobowych oraz z polskimi normami ustanawiającymi wytyczne
w dziedzinie zarządzania bezpieczeństwem systemów teleinformatycznych:
a) Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926 z późn. zm.);
b) Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100 Poz. 1024) wraz z Załącznikiem;

§ 9

Wszystkie osoby przetwarzające dane osobowe zobowiązane są do:
a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami;
b) postępowania zgodnie z ustaloną przez administratora polityką bezpieczeństwa oraz z „Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w   PLANTAGO Mariusz Łyżwa”;



Rozdział IV
Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji


§ 10

Podział zagrożeń:
a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) - ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania, pogorszenie jakości sprzętu i oprogramowania) - może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.
c) zagrożenia zamierzone - świadome i celowe działania powodujące naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na:
nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu),
nieuprawniony dostęp do systemu z jego wnętrza,
nieuprawnione przekazanie danych,
bezpośrednie zagrożenie materialnych składników systemu (np. kradzież sprzętu).

§ 11
1. Naruszenie lub podejrzenie naruszenia systemu informatycznego, w którym przetwarzane są dane osobowe następuje w sytuacji:
a) losowego lub nieprzewidzianego oddziaływania czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, itp.,
b) niewłaściwych parametrów środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych,
c) awarii sprzętu lub oprogramowania, które wyraźnie wskazuje na umyślne działanie w kierunku naruszenia ochrony danych,
d) pojawienia się odpowiedniego komunikatu alarmowego,
e) podejrzenia nieuprawnionej modyfikacji danych w systemie lub innego odstępstwa od stanu oczekiwanego,
f) naruszenia lub próby naruszenia integralności systemu lub bazy danych w tym systemie,
g) pracy w systemie wykazującej odstępstwa uzasadniające podejrzenie przełamania lub zaniechania ochrony danych osobowych - np. praca osoby, która nie jest formalnie dopuszczona do obsługi systemu,
h) ujawnienia nieautoryzowanych kont dostępu do systemu,
i) naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, itp.).
2. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przechowywania i przetwarzania danych osobowych np.:
a) niezabezpieczone pomieszczenia,
b) nienadzorowane, otwarte szafy, biurka, regały,
c) niezabezpieczone urządzenia archiwizujące,
d) pozostawianie danych w  nieodpowiednich miejscach – kosze, stoły itp.

§ 12
1. W przypadku stwierdzenia naruszenia:
a) zabezpieczenia systemu informatycznego,
b) technicznego stanu urządzeń,
c) zawartości zbioru danych osobowych,
d) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych,
d) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, kradzież itp.).
- każda osoba jest zobowiązana do niezwłocznego powiadomienia o tym fakcie administratora danych.
2. Po wykonaniu czynności określonych w pkt 1 należy:
a) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców,
b) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia,
c) zaniechać - o ile to możliwe - dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę zdarzenia,
d) podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego lub aplikacji użytkowej,
e) zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku,
f) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora danych.
3. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, administrator danych:
a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania,
b) może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
c) jeżeli zachodzi taka potrzeba zleca usuniecie występujących naruszeń, oraz powiadamia odpowiednie instytucje,
4. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarne.

Rozdział V
Wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe


§ 13
1. Przetwarzanie danych osobowych, zarówno w formie tradycyjnej, jak i w systemie informatycznym, może odbywać się wyłącznie w obszarach do tego celu przeznaczonych (Obszar bezpieczeństwa).
2. Dane osobowe mogą być przetwarzane przez Użytkowników także poza Obszarem bezpieczeństwa, za pomocą komputerów przenośnych mających dostęp do systemu informatycznego za pomocą sieci Internet.


§ 14
Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego upoważnienie.


Rozdział VI
Wykaz zbiorów danych osobowych


§ 15
Zbiór danych osobowych przetwarzanych przez administratora danych stanowią dane osobowe użytkowników sklepu internetowego Plantago.pl.

§ 16
Jeden zbiór danych przetwarzany jest przez jeden system. Przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest dwukierunkowy (do odczytu i do zapisu).

Rozdział VI
Opis struktury zbiorów danych


§ 17

Zbiór danych zawiera następujące informacje:
 - imię i nazwisko
- dane adresowe
- numer telefonu
- adres mailowy
- Numer NIP


Rozdział VII
Określenie środków technicznych i organizacyjnych zapewniających ochronę danych osobowych


§ 19
Zabezpieczenia pomieszczeń, w których przetwarzane są dane osobowe:
a) pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy. W przypadku opuszczenia pomieszczeń biura przez ostatniego pracownika upoważnionego do przetwarzania danych osobowych, zobowiązany jest on do uzbrojenia alarmu przeciwwłamaniowego.
b) dane osobowe przechowywane w wersji tradycyjnej (papierowej) po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych. Klucze od szafek są zabezpieczone przed dostępem osób nieupoważnionych do przetwarzania danych osobowych,
c) nieaktualne lub błędne wydruki zawierające dane osobowe są niszczone mechanicznie.

§ 20
1. Osoby upoważnione przez Administratora do przetwarzania danych osobowych zobowiązane są do:
a) ścisłego przestrzegania zakresu udzielonego upoważnienia;
b) zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
c) zgłaszania Administratorowi przypadków związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem Systemu informatycznego.
2. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera: imię i nazwisko osoby upoważnionej, identyfikator (jeżeli został nadany), numer upoważnienia, datę nadania oraz datę ustania upoważnienia.



§ 21

Zabezpieczenia przed nieautoryzowanym dostępem do baz danych:
a) podłączenie urządzenia końcowego (komputera, terminala, drukarki) do sieci komputerowej dokonywane jest przez Administratora sieci,
b) udostępnianie użytkownikowi zasobów sieci (programów i baz danych), przez administratora serwera, na podstawie upoważnienia do przetwarzania danych osobowych,
c) identyfikacja użytkownika w systemie poprzez zastosowanie podwyższonego uwierzytelnienia,
d) przydzielenie indywidualnego identyfikatora każdemu użytkownikowi Systemu i rejestrowanie przez System czasu logowania użytkownika oraz rodzaju wprowadzonych przez niego danych,
e) stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach systemem operacyjnym Windows,
f) zabezpieczenie hasłami kont na komputerach, używanie kont z ograniczonymi uprawnieniami do ciągłej pracy,
g) zachowanie szczególnej ostrożności przez osoby użytkujące komputer przenośny podczas jego transportu, przechowywania i użytkowania poza obszarem, zawierający dane osobowe , w tym stosowanie środków ochrony kryptograficznej wobec przetwarzanych danych osobowych.
h) pozbawienie zapisu danych, a w przypadku gdy nie jest to możliwe, uszkodzenie nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie, w przypadku ich likwidacji,  przekazania podmiotowi nieuprawnionemu lub naprawy.
i) ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym.

§ 22
Zabezpieczenia przed nieautoryzowanym dostępem do baz danych poprzez Internet opiera się na firewall oraz szyfrowaniu połączeń i autoryzacji dostępów do baz danych. Bazy danych znajdują się na odseparowanym serwerze z brakiem podłączenia do internetu.


§ 23
Zabezpieczenia przed utratą danych osobowych w wyniku awarii, są następujące:
a) odrębne zasilanie sprzętu komputerowego,
b) ochrona serwerów przed zanikiem zasilania poprzez stosowanie zasilaczy zapasowych
c) ochrona przed utratą zgromadzonych danych poprzez cykliczne wykonywanie kopii zapasowych, z których w przypadku awarii odtwarzane są dane i system operacyjny,
d) ochrona przed awarią podsystemu dyskowego poprzez używanie macierzy dyskowych,
e) zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego,
f) zastosowanie ochrony przeciwpożarowej poprzez umieszczenie w serwerowni gaśnic,
okresowo kontrolowanych przez specjalistę,
g) zwiększenie niezawodności serwerów i urządzeń sieciowych poprzez logiczne rozmieszczenie ich w szafach serwerowych.