Polityka bezpieczeństwa

Polityka Bezpieczeństwa Informacji sklepu internetowego z oprogramowaniem x13.pl

 

Na podstawie przepisów Ustawy z 1 sierpnia 1997 o ochronie danych osobowych oraz rozporz─ůdzenia Ministra Spraw Wewn─Ötrznych i Administracji z 29 kwietnia
2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiada─ç urz─ůdzenia i systemy
informatyczne s┼éu┼╝─ůce do przetwarzania danych osobowych okre┼Ťla si─Ö niniejsz─ů Polityk─Ö Bezpiecze┼ästwa danych osobowych przetwarzanych w zwi─ůzku z prowadzeniem sklepu internetowego x13.pl

 

Administrator Bezpieczeństwa Informacji: Cezary Sokalski mail x13@x13.pl

 

Wykaz lokalizacji w których przetwarzane s─ů dane osobowe oraz zastosowane zabezpieczenia

 

  1. Dane osobowe przetwarzane s─ů za po┼Ťrednictwem systemu informatycznego w architekturze rozproszonej, przy u┼╝yciu serwera znajduj─ůcego si─Ö w siedzibie firmy Biznes-Host oraz, na podstawie umowy, serwerów znajduj─ůcych si─Ö w profesjonalnym centrum przetwarzania danych nale┼╝─ůcym do Biznes-Host.pl sp. z o.o. z siedzib─ů w Poznaniu przy ulicy Grodziskiej 17a.

  2. Zastosowano nast─Öpuj─ůce ┼Ťrodki ochrony fizycznej danych osobowych:

    1. Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwy┼╝szonej odporno┼Ťci na w┼éamanie - drzwi klasy C.

    2. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposa┼╝one s─ů w system alarmowy przeciww┼éamaniowy.

    3. Dost─Öp do pomieszcze┼ä, w których przetwarzany jest zbiory danych osobowych obj─Öte s─ů systemem kontroli dost─Öpu –

    4. Dost─Öp do pomieszcze┼ä, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemys┼éowych.

    5. Dost─Öp do pomieszcze┼ä, w których przetwarzany jest zbiór danych osobowych jest nadzorowany przez s┼éu┼╝b─Ö ochrony podczas nieobecno┼Ťci pracowników.

    6. Zastosowano System przeciwpo┼╝arowy we wszystkich pomieszczeniach serwerowni.

 

  1. Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

 

    1. Zastosowano urz─ůdzenia typu UPS, generator pr─ůdu i/lub wydzielon─ů sie─ç elektroenergetyczn─ů, chroni─ůce system informatyczny s┼éu┼╝─ůcy do przetwarzania danych osobowych przed skutkami awarii zasilania.

    2. Dost─Öp do systemu operacyjnego komputera, w którym przetwarzane s─ů dane osobowe zabezpieczony jest za pomoc─ů procesu uwierzytelnienia z wykorzystaniem identyfikatora u┼╝ytkownika oraz has┼éa.

    3. Fakt uzyskania dostępu do danych odkładany jest w logach systemowych

    4. Zastosowano systemowe ┼Ťrodki uniemo┼╝liwiaj─ůce wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy u┼╝yciu systemów informatycznych.

    5. Dost─Öp do ┼Ťrodków teletransmisji zabezpieczono za pomoc─ů mechanizmów uwierzytelnienia.

    6. Zastosowano macierz dyskow─ů w celu ochrony danych osobowych przed skutkami awarii pami─Öci dyskowej.

    7. Zastosowano ┼Ťrodki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie troja┼äskie, rootkity.

    8. U┼╝yto system Firewall do ochrony dost─Öpu do sieci komputerowej.

 

Struktura zbiorów danych osobowych

 

W ramach systemu informatycznego przetwarzane s─ů dwa zbiory danych osobowych:

 

  1. Zbiór podstawowy sklepu x13.pl zawieraj─ůcy:

    1. Numer porz─ůdkowy

    2. Adres -email

    3. Imi─Ö i nazwisko

    4. Adres korespondencyjny

    5. Nr telefonu

    6. Dat─Ö rozpocz─Öcia przetwarzania danych

    7. Flag─Ö wyra┼╝enia zgody na przetwarzanie danych

  2. Dane obydwu zbiorów przechowywane s─ů w tabelach bazy danych MySQL, zainstalowanej na zaszyfrowanej partycji serwera wirtualnego. Dost─Öp do zbioru danych ma wy┼é─ůcznie administrator danych osobowych oraz osoby przez niego pisemnie upowa┼╝nione.

  3. Kopia danych osobowych tworzona jest w postaci pliku arkusza kalkulacyjnego Excel (.xls lub .xlsx), a nast─Öpnie drukowana. Po wydrukowaniu plik zawieraj─ůcy kopi─Ö danych osobowych zostaje trwale usuni─Öty z no┼Ťnika elektronicznego.

 

Zadania administratora bezpieczeństwa informacji

 

Administrator Bezpieczeństwa Informacji:

 

  1. Prowadzi ewidencj─Ö osób upowa┼╝nionych do dost─Öpu do zbioru danych osobowych

  2. Kontroluje prawid┼éowo┼Ť─ç przetwarzania danych osobowych

  3. Podejmuje odpowiednie działania w przypadku stwierdzenia naruszeń zabezpieczeń

  4. Podejmuje odpowiednie kroki w celu zapewnienia ci─ůg┼éo┼Ťci dzia┼éania systemów zabezpieczaj─ůcych dane osobowe.

 

 

Procedura w przypadku podejrzenia naruszenia zabezpieczeń zbioru danych osobowych

 

  1. Ka┼╝dy, kto stwierdzi fakt nasuwaj─ůcy podejrzenie wyst─ůpienia mo┼╝liwo┼Ťci naruszenia bezpiecze┼ästwa informacji zobowi─ůzany jest do niezw┼éocznego powiadomienia Administratora Bezpiecze┼ästwa Informacji

  2. Do czasu przybycia Administratora Bezpieczeństwa Informacji należy:

    1. Niezw┼éocznie podj─ů─ç dzia┼éanie w celu powstrzymania skutków naruszenia bezpiecze┼ästwa

    2. Ustalić przyczynę naruszenia bezpieczeństwa

    3. Podj─ů─ç niezb─Ödne dzia┼éania w celu udokumentowania przypadku wyst─ůpienia incydentu

    4. Nie opuszczać miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji

  3. Administrator Bezpiecze┼ästwa Informacji, po zapoznaniu si─Ö z sytuacj─ů podejmuje niezb─Ödne kroki w celu:

    1. Wyja┼Ťnienia incydentu

    2. Ograniczeniu negatywnych skutków incydentu

    3. Zapobie┼╝enia pojawienia si─Ö podobnego incydentu w przysz┼éo┼Ťci

    4. Zg┼éoszenia wyst─ůpienia incydentu do odpowiednich organów ochrony prawnej, w sytuacji, gdy jest to wymagane dla danego incydentu przez przepisy prawa.