Temat: Polityka bezpieczeństwa, instrukcja zarządzania SI -...
Radek Rzążewski:
Paweł Kurpiewski:
Witam wszystkich!
2. Jak mniej więcej wygląda polityka bezpieczeństwa dla serwisu webowego ?
Nie ma wzoru. Każdy opracowuje swoją własną na potrzeby firmy.
3. Jak mniej więcej wygląda i czy jest wymagana instrukcja zarządzania systemem informacyjnym gdy Administratorem Danych Osobowych jest jedna osoba ?
Jeśli jesteś firmą to powinieneś mieć PB, załączniki do niej, SZBI i inne dokumenty - nawet jeśli jesteś jedną osobą ;)
Niestety nie mam firmy ani PB, SZBI i nie wiem jak się do tego zabrać.
GIODO udostępnia na swojej stronie 3 pliki w formacie PDF.
1. Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa
2. Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym
3. Wymagania dotyczące struktur baz danych osobowych
Jakie jest prawdopodobieństwo, że tworząc takie dokumenty jak PB i instrukcja zarządzania BI zgodnie z powyższymi wytycznymi/wskazówkami rejestracja nie zostanie odrzucona przez GIODO ?
Otrzymałem również informacje od firmy hostingowej na temat GIODO. Fragmenty...
Analiza okoliczności faktycznych i prawnych związanych z działalnością podmiotów oferujących usługi hostingowych prowadzi do wniosku, iż podmiot świadczący usługi hostingowe nie staje się administratorem danych przetwarzanych przez niego w ramach umowy hostingu.
OK.
W punkcie 16 d) kwestie dotyczące systemu operacyjnego serwera czyli warunki zależne od dostawcy hostingu to tylko niewielka część zabezpieczeń i zgodnie z naszym doświadczeniem najmniej istotna. Wnioski które ograniczają się tylko do informacji o serwerze w takim przypadku są odrzucane.
Ważne. Jak opisać zabezpieczenia w serwisie webowym aby były wystarczające do rejestracji ?
Punkt 16 e), f) i g) dotyczą przede wszystkim implementacji systemu zgłaszającego bazę danych osobowych. Dostawca hostingu udostępnia wyłącznie oprogramowanie opisane powyżej,
sposób jego wykorzystania zależy już wyłącznie od użytkownika.
OK.
Zgodnie ze wskazówkami GIODO nie jest konieczna również dodatkowa umowa czy też oświadczenie pomiędzy administratorem danych, a dostawcą hostingu jeśli spełniony jest warunek braku bezpośredniego dostępu do osobowej bazy danych przez dostawcę. Brak bezpośredniego dostępu oznacza w praktyce taki sposób kodowania (szyfrowania) danych, który uniemożliwia pracownikom dostawcy ich przeglądanie bez złamania zabezpieczeń. Do odpowiedniego zabezpieczenia (szyfrowania) danych zobowiązany jest administrator danych czyli podmiot zgłaszający bazę do GIODO – w praktyce informatyk przygotowujący system zbierania i przechowywania tych danych poprzez np. użycie aplikacji binarnej bez dostępu do kodu źródłowego.
Jak to wygląda w przypadku skryptów np. PHP, które są jawne i mogą zawierać np. hasła do baz danych ?