Jak bezpiecznie korzystać ze skryptów firm zewnętrznych

Klient jednego z banków zauważył, że dane dotyczące kwoty operacji wykonywanych przez niego na rachunku bankowym przekazywane są z systemu bankowego do firmy, z którą bank zawarł umowę na świadczenie usług analitycznych i doradczych związanych z badaniem rynku. W związku z tym firma analityczna uzyskiwała dostęp do szczegółów wykonywanych przez klientów operacji finansowych. Zdaniem GIODO może to świadczyć o luce w stosowanych przez bank procedurach zarządzania bezpieczeństwem.

Jak podkreśla GIODO, obowiązkiem administratorów danych przetwarzanych przy użyciu stron internetowych, za pośrednictwem których świadczone są różnego rodzaju publicznie dostępne usługi, jest zapewnienie pełnej kontroli nad tym, jakie dane osobowe są przetwarzane oraz komu i w jakim zakresie są udostępniane. ADO musi mieć kontrolę nie tylko nad przetwarzaniem danych we własnych aplikacjach, ale także w programach podmiotów trzecich, z których administrator danych korzysta, np. w celu zbierania danych statystycznych, badania rynku lub do zamieszczania reklam.

Często jest tak, że takie programy (skrypty) znajdują się na serwerach podmiotów trzecich i w związku z tym administrator danych nie ma kontroli nad ich działaniem – nad tym, kiedy i w jakim celu kod źródłowy skryptu został zmodyfikowany przez podmiot, który nim zarządza. GIODO ostrzega jednak, że sytuacja takie sytuacje nie mogą się zdarzać.

Administrator danych musi dołożyć szczególnej staranności, aby chronić interesy osób, których dane dotyczą (art. 26 ust. 1 ustawy o ochronie danych osobowych). W szczególności powinien zapewnić, aby były one:

• przetwarzane zgodnie z prawem,
• zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
• merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
• przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej, niż jest to niezbędne do osiągnięcia celu przetwarzania.

Aby zrealizować te obowiązki, administrator danych musi mieć pełną kontrolę nad celami i środkami używanymi do przetwarzania danych osobowych, zwłaszcza w systemach teleinformatycznych – informuje GIODO.

Jak informuje GIODO, w wielu dobrych praktykach wymagane są odpowiednie procedury dotyczące testowania i zatwierdzania wszelkich wprowadzanych zmian,  m.in. odnoszących się do systemów informatycznych. Tak np. ITIL (ang. Information Technology Infrastructure Library) – kodeks postępowania dla działów informatyki w odniesieniu do zarządzania zmianami wymaga, aby zmiany były odpowiednio planowane, kontrolowane i rejestrowane. Oznacza to, że każda zmiana przed jej wprowadzeniem powinna być formalnie zatwierdzona przez upoważnioną osobę. Powinien być też prowadzony rejestr dokonanych zmian i wydań (wersji) wprowadzanego do stosowania oprogramowania.

GIODO wskazuje także metodykę COBIT opracowaną przez stowarzyszenie ISACA (która jest zbiorem dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych) czy standardy ISO/IEC 20000-1 i ISO/IEC 20000-2 dotyczące zarządzania usługami informatycznymi.