Witamy na naszym eksperckim blogu poświęconym szeroko pojętej tematyce Internetu, webdesignu, identyfikacji internetowej, marketingu w Internecie, promocji w sieci oraz e-biznesu
Zapraszamy do lektury wszystkich, którzy chcą odnieść e-sukces!

Wymogi dotyczące funkcjonalności serwisów internetowych - ochrona danych osobowych w Internecie

Kategoria: Ochrona danych
18 styczeń 2012
W odniesieniu do systemów informatycznych (a więc i serwisów internetowych) przetwarzających dane osobowe ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 wprowadziła szereg przepisów dotyczących ich bezpieczeństwa oraz funkcjonalności.
W niniejszym artykule przedstawiamy wymagania dotyczące funkcjonalności serwisu internetowego, przetwarzającego dane osobowe, a także wskazówki odnośnie dodatkowych środków zabezpieczeń danych.

W stosunku do systemów informatycznych przetwarzających dane osobowe wprowadzone zostały następujące poziomy bezpieczeństwa:
  1. poziom podstawowy
  2. pozoim podwyższony
  3. poziom wysoki
W przypadku systemu informatycznego jakim jest serwis internetowy należy stosować środki zabezpieczeń z poziomu wysokiego, które powinny być stosowane gdy przynajmniej jedno urządzenie systemu informatycznego przetwarzającego dane osobowe połączone jest z siecią publiczną (czyli np. z Internetem). 
Stosowanie środków bezpieczeństwa poziomu wysokiego oznacza stosowanie zabezpieczeń również z poziomu podstawowego i podwyższonego. Oznacza to, że system używany do przetwarzania danych osobowych poprzez Internet powinien spełniać wszystkie minimalne wymagania dla zabezpieczeń na poziomie podstawowym, podwyższonym oraz wysokim.

1. Konta administracyjne - kontrola dostępu do danych osobowych
Mechanizm kont administracyjnych umożliwia zapewnienie kontroli dostępu do danych osobowych przetwarzanych przez serwis. W przypadku gdy serwisem zarządza tylko jedna osoba i tylko ona ma dostęp do gromadzonych danych - wystarczy jedno konto administratora. Jednak gdy do panelu administracyjnego, umożliwiającego wgląd w przechowywane dane osobowe, ma dostęp więcej niż jedna osoba - należy utworzyć osobne konta administratorów dla każdej z osób upoważnionych do dostępu do danych osobowych.

Każdy administrator musi być zdefiniowany z imienia i nazwiska oraz musi posiadać unikatowy identyfikator (na przykład login). Identyfikator administratora, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Przykładowo: jeśli w systemie wprowadzony został administrator o loginie "admin", który następnie został usunięty z systemu - kolejny, nowo dodawany administrator nie może posiadać tego samego identyfikatora "admin".

W przypadku gdy do uwierzytelniania administratorów używa się hasła, jego zmiana powinna następować nie rzadziej niż co 30 dni. System może wymuszać zmianę hasła lub powinien przynajmniej informować o konieczności jego zmiany. Przy zmianie hasła na nowe system powinien uniemożliwiać nadanie takiego samego hasła co obecnie.
Hasło na wysokim poziomie bezpieczeństwa musi:
  • składać się co najmniej z 8 znaków
  • zawierać małe i wielkie litery oraz cyfry lub znaki specjalne
     
2. Konta użytkowników
Użytkownik, który w celu np. założenia konta w serwisie udostępnia swoje dane osobowe, musi mieć możliwość wglądu do swoich danych oraz możliwość ich poprawiania.
Poszczególne dane powinny być prezentowane w pełnym brzmieniu i powinny być poprzedzone nazwą opisową danego pola, to jest nazwą, której znaczenie jest powszechnie zrozumiałe. Na przykład: jeśli w strukturze bazy istnieje słownik kodów wykształcenia w postaci:
w - wyższe,
s - średnie,
p - podstawowe,
a w systemie operuje się tymi kodami, to jednak podczas ich prezentacji należy przedstawić ich pełne opisy.
Opisy nie powinny być także wieloznaczne - nie należy np. stosować skrótów, których znaczenie w przypadku braku wystarczającego kontekstu mogłoby budzić wątpliwości, jak np. użycie skrótu “arch.” dla oznaczenia zawodu architekt, który może być interpretowany również jako skrót od słowa archeolog lub archiwista.

Serwis powinien być zabezpieczony w taki sposób, aby uniemożliwić użytkownikom poprawianie danych innych użytkowników. Użytkownicy powinni mieć dostęp do poprawiania jedynie swoich danych osobowych.
W tym celu zazwyczaj stosuje się uwierzytelnianie użytkownika na podstawie wprowadzonego identyfikatora (np. loginu lub e-maila) oraz przypisanego do niego hasła, znanego tylko danemu użytkownikowi.
Hasła użytkowników powinny:
  • składać się minumum z 6 znaków
  • być przechowywane w postaci zaszyfrowanej, uniemożliwiającej jej odszyfrowanie
System powinien odnotowywać:
  • kiedy dane osobowe danego użytkownika zostały dodane do bazy (data pierwszego wprowadzenia danych do systemu)
  • identyfikator osoby wprowadzającej dane do systemu (czy dane wprowadził sam użytkownik czy też np. dany administrator)
  • datę ostatniej edycji danych oraz identyfikator osoby, która dane te edytowała
  • źródło danych, w przypadku zbierania danych nie od osoby, której one dotyczą
  • informacje o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych

3. Formularze gromadzące dane osobowe
Innym warunkiem funkcjonalności serwisu internetowego przetwarzającego dane osobowe jest to, aby wobec osób, które będą się udostępniać swoje dane przy użyciu formularza, spełniony był tzw. obowiązek informacyjny. Oznacza to że osoba, która np. zamierza dokonać rejestracji poprzez formularz, powinna być poinformowana:
  • o tym kto jest administratorem danych
  • o tym w jakim celu przekazane dane będą przetwarzane
  • o dobrowolności albo obowiązku podania danych, a jeśli taki obowiązek istnieje – o jego podstawie prawnej
  • o prawie do wglądu i poprawiania swoich danych osobowych
  • o odbiorcach lub kategoriach odbiorców danych osobowych, jeśli gromadzone dane są udostępniane innym podmiotom
Pozyskiwane za pośrednictwem formularza internetowego dane osobowe powinny być ograniczone do niezbędnego minimum (zasada tzw. minimalizacji danych, która oznacza, że system powinien przetwarzać tylko te dane osobowe, które są niezbędne z punktu widzenia celu, w jakim dane są przetwarzane).
Formularz, w którym wprowadzane są dane osobowe, powinien zawierać pole (np. checkbox) które umożliwi osobie, której dane dotyczą, wyrażenie zgody na przetwarzanie jej danych osobowych, oraz - w sytuacji, gdy administrator zamierza przetwarzać pozyskane dane także dla celów marketingowych - pole, za pomocą którego możliwe będzie wyrażenie (lub niewyrażenie) zgody na przetwarzanie danych w takich właśnie celach. Pole checkbox z wyrażeniem zgody na przetwarzanie danych osobowych nie może być domyślnie zaznaczone.
Należy pamiętać, że formularze powinny przy polu umożliwiającym wyrażenie zgody na przetwarzanie danych zawierać dokładny opis sposobu i celu przetwarzania danych oraz informacje o zamiarze ewentualnego udostępniania danych innym podmiotom.
W przypadku, gdy zbierane dane osobowe administrator zamierza wykorzystywać dla celów marketingowych, w formularzu powinno być wyraźnie oddzielone pole na wyrażenie zgody na przetwarzanie danych od pola na wyrażenie zgody na przetwarzanie danych dla celów marketingowych. Niedozwolone jest jakiekolwiek uzależnianie możliwości wysłania formularza i wyrażania zgody, np. na jednorazowy kontakt z administratorem od wyrażenia zgody na "ogólne" przetwarzanie danych w celach marketingowych przez bliżej nieokreślony czas.

4. Numery porządkowe użytkowników
Oprócz identyfikatorów stosowanych do zalogowania się na swoje konto użytkownika, takich jak login czy też e-mail, w bazie danych zazwyczaj przechowywany jest również numer identyfikujący danego użytkownika. Są to tak zwane numery porządkowe (indeksy), które są unikatowe dla każdego użytkownika. Numery te zazwyczaj są kolejnymi liczbami naturalnymi, określającymi pozycję zapisu w zbiorze danych. Czasami jednak istnieje potrzeba przypisania użytkownikowi specyficznego numeru porządkowego, w którym zawarte są informacje o danym użytkowniku.
Takie numery porządkowe mogą zawierać jedynie oznaczenia płci, daty urodzenia, numer nadania oraz liczbę kontrolną. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych.

5. Usuwanie danych
Dane osobowe powinny być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Realizacja tego obowiązku wymaga od aplikacji przetwarzającej dane osobowe, aby jednoznacznie realizowany był wymóg usunięcia danych z bazy danych. Opcja, która realizuje usuwanie pozycji ze zbioru danych powinna polegać na rzeczywistym ich usunięciu lub nadpisaniu informacją pustą, a nie oznaczeniu danej pozycji jako rekordu skasowanego - z tego względu iż takie dane stają się często niewidoczne jedynie z poziomu aplikacji, jednak dalej istnieją w przetwarzanym zbiorze danych. W przypadku oznaczenia danego rekordu jako skasowanego zamiast rzeczywistego usunięcia lub nadpisania pustą informacją umożliwia przy użyciu odpowiednich narzędzi, ponowne "odkrycie" usuniętych w ten sposób danych oraz dalsze ich przetwarzanie. Natomiast rzeczywiste usunięcie lub nadpisanie informacją pustą kasowanych danych uniemożliwia dokonywanie jakichkolwiek dalszych modyfikacji na nich.

6. Kopie zapasowe
Dane osobowe przetwarzane w systemie informatycznym powinny być zabezpieczone przed utraceniem poprzez wykonywanie kopii zapasowych zbiorów danych. Z tego względu system powinien zawierać mechnizm wykonywania backup'u bazy danych zawierającej dane osobowe.
Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa się niezwłocznie po ustaniu ich użyteczności.

7. Blokada przed zaindeksowaniem danych przez wyszukiwarki
Wiele serwisów internetowych podzielonych jest na dwie części:
  • część jawną z treściami, które mogą (i powinny) być zaindeksowane przez wyszukiwarki
    oraz
  • część z ograniczonym dostępem, gdzie znajdują się informacje dla zarejestrowanych i zalogowanych użytkowników, które nie powinny być indeksowane ani kopiowane do zasobów wyszukiwarek
Zasoby części serwisu z ograniczonym dostępem powinny być zabezpieczone przed robotami wyszukiwarek, tak aby te nie mogły kopiować, przechowywać i udostępniać znajdujących się tam treści.


Oprócz powyższych wymogów i wskazówek, administrator danych powinien stosować również inne, dodatkowe środki bezpieczeństwa ograniczające zagrożenia bezpieczeństwa zidentyfikowane w wyniku analizy ryzyka dla środowiska informatycznego, w którym użytkowany jest jego system. Do dodatkowych środków bezpieczeństwa, mających zastosowanie w serwisie internetowym, można zaliczyć na przykład:
  • ograniczenie liczby prób nieudanych logowań (zarówno dla użytkowników jak i administratorów)
  • mechanizmy analizujące i powiadamiające o próbach ataku na system
  • ustawienie ograniczonych praw dostępów do katalogów i plików na serwerze
  • stosowanie miernika siły hasła dla użytkowników
  • ograniczenie stosowania zbyt prostych haseł (składających się z ciągu znaków np. "12345678" lub np "admin123") dla administratorów czy też nawet użytkowników

Zobacz także: Polecamy również:
Tagi: GIODO, ochrona danych osobowych
Artykuł był dla Ciebie pomocny i przydatny? Podziel się nim z innymi:
Dodaj do:  
   
   
   
   
   
  Wydrukuj
» następny post: Bezpieczeństwo haseł w Internecie - infografika
« poprzedni post: Obowiązki Administratora Danych Osobowych - ochrona danych osobowych w Internecie
« wróć do poprzedniej strony
 Komentarze (0)
Dodaj pierwszy komentarz lub zadaj pytanie związane z artykułem:
Pozostało znaków: 1000 
Podpis:
    Przepisz cyfry/litery: 
 
  Inny obrazek

Ten artykuł nie ma jeszcze komentarzy.