Jak bezpiecznie korzystać ze skryptów firm zewnętrznych

Dodano: 21 kwietnia 2017
Jak bezpiecznie korzystać ze skryptów firm zewnętrznych

W związku z doniesieniami, że jeden z banków na swojej stronie internetowej korzystał ze skryptu, który umożliwiał przesłanie informacji o stanie konta klienta do firmy analitycznej, GIODO informuje, w jaki sposób należy zadbać o bezpieczeństwo danych. Organ zapowiedział też, że zajmie się tą sprawą z urzędu.

Klient jednego z banków zauważył, że dane dotyczące kwoty operacji wykonywanych przez niego na rachunku bankowym przekazywane są z systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie usług analitycznych i doradczych związanych z badaniem rynku. W związku z tym firma analityczna uzyskiwała dostęp do szczegółów wykonywanych przez klientów operacji finansowych. Zdaniem GIODO może to świadczyć o luce w stosowanych przez bank procedurach zarządzania bezpieczeństwem.

Uwaga

GIODO przestrzega, że wstawianie skryptów, czyli krótkich programów komputerowych, umożliwiających np. zbieranie danych statystycznych czy pośrednictwo w sprzedaży reklam, w systemach informatycznych, może prowadzić do wykradania danych.

Jak podkreśla GIODO, obowiązkiem administratorów danych przetwarzanych przy użyciu stron internetowych, za pośrednictwem których świadczone są różnego rodzaju publicznie dostępne usługi, jest zapewnienie pełnej kontroli nad tym, jakie dane osobowe są przetwarzane oraz komu i w jakim zakresie są udostępniane. ADO musi mieć kontrolę nie tylko nad przetwarzaniem danych we własnych aplikacjach, ale także w programach podmiotów trzecich, z których administrator danych korzysta, np. w celu zbierania danych statystycznych, badania rynku lub do zamieszczania reklam.

Często jest tak, że takie programy (skrypty) znajdują się na serwerach podmiotów trzecich i w związku z tym administrator danych nie ma kontroli nad ich działaniem – nad tym, kiedy i w jakim celu kod źródłowy skryptu został zmodyfikowany przez podmiot, który nim zarządza. GIODO ostrzega jednak, że sytuacja takie sytuacje nie mogą się zdarzać.

Jakie obowiązki związane z zabezpieczaniem danych ma ADO

Administrator danych musi dołożyć szczególnej staranności, aby chronić interesy osób, których dane dotyczą (art. 26 ust. 1 ustawy o ochronie danych osobowych). W szczególności powinien zapewnić, aby były one:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania.

Aby zrealizować te obowiązki, administrator danych musi mieć pełną kontrolę nad celami i środkami używanymi do przetwarzania danych osobowych, zwłaszcza w systemach teleinformatycznych – informuje GIODO.

GIODO zaleca korzystanie z dobrych praktyk i standardów

Jak informuje GIODO, w wielu dobrych praktykach wymagane są odpowiednie procedury dotyczące testowania i zatwierdzania wszelkich wprowadzanych zmian,  m.in. odnoszących się do systemów informatycznych. Tak np. ITIL (ang. Information Technology Infrastructure Library) – kodeks postępowania dla działów informatyki w odniesieniu do zarządzania zmianami wymaga, aby zmiany były odpowiednio planowane, kontrolowane i rejestrowane. Oznacza to, że każda zmiana przed jej wprowadzeniem powinna być formalnie zatwierdzona przez upoważnioną osobę. Powinien być też prowadzony rejestr dokonanych zmian i wydań (wersji) wprowadzanego do stosowania oprogramowania.

GIODO wskazuje także metodykę COBIT opracowaną przez stowarzyszenie ISACA (która jest zbiorem dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych) czy standardy ISO/IEC 20000-1 i ISO/IEC 20000-2 dotyczące zarządzania usługami informatycznymi.

Źródło:

GIODO

Nasi partnerzy i zdobyte nagrody » 


Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel