Bezpieczeństwo danych w biurze rachunkowym wg RODO
RODO przedstawia przykładowy katalog czynności jakie mogą pomóc w ochronie danych osobowych. Należy pamiętać, że nie każde z tych czynności będą miały zastosowania w biurze rachunkowym. Konieczne jest bowiem dopasowanie takich zabezpieczeń, które faktycznie w danym miejscu będą spełniały swoją rolę. RODO wskazuje więc kierunki natomiast nie mówi dokładnie jaki ostatecznie wybrać zabezpieczenie. Jak powinno wyglądać bezpieczeństwo danych w biurze rachunkowym?
Bezpieczeństwo danych w biurze rachunkowym - pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych
Pseudonimizacja
Pseudonimizacja to proces odwracalny w skutkach polegający na zamianie listy danych osobowych na np. numerki czyli pseudonimy, dzięki czemu można byłoby w łatwy sposób rozszyfrować kogo dane dotyczą. Stosowana jest np. na uczelniach - student Jan Kowalski na listach wyników widnieje zamiast pod imieniem i nazwiskiem to pod numerem indeksu - w ten sposób tylko znający numery indeksów są w stanie przypisać konkretny wynik do danej osoby fizycznej. Pseudonimizację wykorzystuje się często przy udostępnianiu danych dla celów tworzenia statystyk. W praktyce więc dotyczy głównie sytuacji udostępniania danych na zewnątrz i to w określonych celach, co nie dotyczy systemu księgowego.
Anonimizacja
Anonimizacja to proces nieodwracalny mający na celu uniemożliwienie wykorzystania danych osobowych. W systemie księgowym gdzie dane wykorzystywane są dla konkretnych celów księgowych czyli czynności związanych z prawem, anonimizacja nie ma zastosowania z uwagi na prawny wymóg archiwizacji do czasu przedawnienia obowiązku podatkowego i/ lub roszczeń umownych.
Szyfrowanie danych
Szyfrowanie danych osobowych to zabezpieczenie wykorzystywane szczególnie przy czynności przesyłu danych. Poprzez szyfrowanie wszystkich danych wychodzących i wchodzących z/do aplikacji transmisja staje się bezpieczna. Protokół używany przez wfirma.pl SSL-EV jest takim wysokim zabezpieczeniem jakiego używają banki.
Innym sposobem szyfrowania danych osobowych jest zabezpieczenie przesyłanych między firmami plików hasłem - jak bezpiecznie przesłać plik z danymi?
Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
Osiąga się to dzięki:
-
szyfrowanym kanałom przepływu danych ssl ev
-
uwierzytelnieniu użytkownika - możliwość włączenia dwuetapowego logowania
-
automatycznym procedurą wylogowania - na wypadek utraty zasilania
-
zarządzaniu upoważnieniami dostępu do danych np. pomoc ekspertów serwisu wfirma.pl - eksperci nie mają dostępu do danych przechowywanych przez użytkowników serwisu, a ponadto w procesie relacji ekspert wfirma - użytkownik (przedsiębiorca) używana jest pseudoanonimizacja danych - ekspert widzi jedynie imię i numer ID (do listy ID przypisanych do konkretnych danych osobowych użytkowników upoważnienie mają jedynie pracownicy serwisu wfirma.pl, którym jest to niezbędne do realizacji zadań pracowniczych)
-
stosowaniu wysokiej klasy zabezpieczeniom infrastruktury technicznej
-
procedury związane z bezpieczeństwem serwisu wfirma.pl są monitorowane na bieżąco (system alertów), sprawdzane-testowane (w zależności od zakresu raz na kwartał lub raz na rok) i aktualizowane - dostosowywane do aktualnych wymogów prawa.
Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
Dotyczy przede wszystkim tworzenia kopii zapasowych. Przy tworzeniu kopii zapasowych zwraca się szczególną uwagę na to by miejsce przechowywania kopii zapasowych było w odmiennej lokalizacji niż serwer główny oraz na to by wprowadzone zostały procedury i czynności dotyczące sprawdzania poprawności tworzenia backupów czyli tzw. okresowe testowanie odtwarzania kopii.
Dodatkowo wysokim standardem zabezpieczeń jest wprowadzona np. w systemie mojebiuro24.pl replikacja danych czyli proces powielania informacji pomiędzy różnymi serwerami baz danych w czasie prawie rzeczywistym (czyli minimalne opóźnienia). W razie awarii pozwala to na szybsze przełączenie i zachowanie ciągłości działania i dostępu do danych.
Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
Zarówno serwis wfirma.pl jak i infrastruktura techniczna poddawana jest ciągłemu testowaniu i odtwarzaniu a prowadzona regularnie ocena ryzyka pozwala na ocenę skuteczności stosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.