• Dofinansowanie ZUS 2023

    Poprawa bezpieczeństwa pracy

  • 80% zwrotu dla naszych Klientów – BUR

    Dla Naszych klientów zwrot nawet do 80 % wynagrodzenia, które zapłacą naszej firmie za usługi doradcze , szkoleniowe i coachingowe 

  • Tarcza 2.0

    Otrzymaliśmy subwencję finansową w ramach programu rządowego Tarcza Finansowa 2.0.

POLITYKA BEZPIECZEŃSTWA

WSTĘP

Prezes Zarządu Alicja Majkowska – Administrator Danych, świadomy wagi zagrożeń prywatności, w tym zwłaszcza zagrożeń danych osobowych przetwarzanych w związku z wykonywaniem zadań Administratora Danych, deklaruje podejmowanie wszelkich możliwych działań koniecznych do zapobiegania zagrożeniom, m. in. takim jak:

  • sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, kradzież, włamanie, działania terrorystyczne, niepożądana ingerencja ekipy remontowej;
  • niewłaściwe parametry środowiska, zakłócające pracę urządzeń komputerowych (nadmierna wilgotność lub bardzo wysoka temperatura, oddziaływanie pola           elektromagnetycznego i inne);
  • awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenia ochrony danych, niewłaściwe działanie serwisantów, w tym pozostawienie      serwisantów bez nadzoru, a także przyzwolenie na naprawę sprzętu zawierającego dane poza siedzibą Administratora Danych;
  • podejmowanie pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych, np. praca osoby, która nie jest upoważniona do przetwarzania, próby stosowania nie swojego hasła i identyfikatora przez osoby upoważnione;
  • celowe lub przypadkowe rozproszenie danych w internecie z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego Administratora        Danych;
  • ataki z internetu;
  • naruszenia zasad i procedur określonych w dokumentacji z zakresu ochrony danych osobowych przez osoby upoważnione do przetwarzania danych osobowych,   związane z nieprzestrzeganiem procedur ochrony danych, w tym zwłaszcza:- niezgodne z procedurami zakończenie pracy lub opuszczenie stanowiska pracy

– naruszenie bezpieczeństwa danych przez nieautoryzowane ich przetwarzanie,

– ujawnienie osobom nieupoważnionym procedur ochrony danych stosowanych u Administratora Danych,

– ujawnienie osobom nieupoważnionym danych przetwarzanych przez Administratora Danych, w tym również nieumyślne ujawnienie danych osobom postronnym, przebywającym bez nadzoru lub niedostatecznie nadzorowanym w pomieszczeniach Administratora Danych,

– niewykonywanie stosownych kopii zapasowych,

– przetwarzanie danych osobowych w celach prywatnych,

– wprowadzanie zmian do systemu informatycznego Administratora Danych bez jego Zgody.

CEL

  • Celem Polityki jest określenie kierunków działań oraz wsparcia dla zapewnienia bezpieczeństwa przetwarzania zbiorów danych osobowych zarządzanych przez AM BIZNES Sp. z o.o. Sp. k., ul. Jeżycka 45/3, 60-864 Poznań, zwaną dalej AMBIZNES
  • Przez bezpieczeństwo danych osobowych rozumie się zapewnienie ich poufności, integralności i dostępności oraz zapewnienie rozliczalności działań, zgodnie z Polityką Bezpieczeństwa.
  • AM BIZNES zarządza bezpieczeństwem danych osobowych w celu zapewnienia sprawnego i zgodnego z przepisami prawa wykonywania swoich zadań oraz zadań wykonywanych na podstawie umów lub powierzonych do wykonania na podstawie porozumień.
  • Zakres przedmiotowy stosowania niniejszej Polityki obejmuje wszystkie zbiory danych osobowych przetwarzane w AM BIZNES, zarówno w formie elektronicznej, jak i      tradycyjnej. W zakresie podmiotowym Polityka obowiązuje wszystkich pracowników AM BIZNES oraz inne  osoby mające dostęp do danych osobowych, w tym stażystów, osoby zatrudnione na umowę zlecenia lub umowę o dzieło itp.

PODSTAWA PRAWNA

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016r. Poz. 922 z późn. zm.),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z. 2004r. Nr 100, poz. 1024).

TERMINOLOGIA

Ilekroć w niniejszej Polityce Bezpieczeństwa jest mowa o:

  • Systemie informatycznym – rozumie się zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych      zastosowanych w celu przetwarzania danych,
  • Danych osobowych – rozumie się przez to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej,
  • Ustawie – rozumie się przez to Ustawę o ochronie danych osobowych z dn. 29 sierpnia 1997r.
  • Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
  • Osobie upoważnionej do przetwarzania danych osobowych – rozumie się przez to osobę, która została upoważniona została do przetwarzania danych osobowych przez Administratora Danych na piśmie
  • Poufności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie są udostępniane nieupoważnionym osobą i podmiotom,
  • Przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,
  • Nazwie użytkownika – rozumie się jednoznacznie przypisany jednej osobie identyfikator składający się z liter i cyfr, określający użytkownika w systemie informatycznym.
  • Haśle – rozumie się ciąg znaków, stanowiący tajemnicę użytkownika, w połączeniu z nazwą użytkownika umożliwiający uwierzytelnienie w systemie informatycznym.

ODPOWIEDZIALNOŚĆ

  • AM BIZNES zabezpiecza dane osobowe przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem.
  • W imieniu Administratora Danych nadzór nad przestrzeganiem zasad ochrony danych osobowych sprawuje Administrator Bezpieczeństwa Informacji powołany przez Administratora Danych.
  •  Administrator Bezpieczeństwa Informacji jest odpowiedzialny za
  1. zapewnienie, aby do danych osobowych miały dostęp wyłącznie osoby upoważnione w zakresie wykonywanych zadań,
  2. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych
  3. zarządzanie uprawnieniami do przetwarzania danych osobowych w imieniu Administratora Danych,
  4. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych
  5. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy,
  6. nadzorowanie fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe oraz kontroli przebywających w nich osób,
  7. nadzorowanie przestrzegania zasad określonych w Polityce Bezpieczeństwa i Instrukcjach dotyczących ochrony bezpieczeństwa danych osobowych,
  8. nadzorowanie wykonywania kopii awaryjnych, ich przechowywania oraz okresowego sprawdzania pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu,
  9. nadzorowanie przeglądów, konserwacji oraz uaktualnień systemów służących do przetwarzania danych osobowych oraz wszystkich innych czynności wykonywanych na bazach danych osobowych,
  10. nadzorowanie systemu komunikacji w sieci komputerowej oraz przesyłania danych za pośrednictwem urządzeń teletransmisji,
  11. nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe generowane przez system informatyczny,
  12. nadzorowanie funkcjonowania mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontroli dostępu do danych osobowych,
  13. analizę sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych (jeśli takie wystąpiło) i przygotowanie oraz przedstawienie Administratorowi Danych odpowiednich zmian do Instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych,
  14. prowadzenie rejestru wydanych upoważnień przetwarzania danych,
  15. zlecenie modyfikacji uprawnień w systemach informatycznych w przypadku odebrania lub zmiany upoważnienia do przetwarzania danych osobowych,
  16. szkolenie osób dopuszczonych do przetwarzania danych osobowych z zakresu przepisów prawa oraz uregulowań wewnętrznych w zakresie bezpieczeństwa danych osobowych.
  17. przeprowadzanie audytów bezpieczeństwa infrastruktury firmy oraz raportowanie do ADO
  • Każdy pracownik przetwarzający dane osobowe zarządzane przez Administratora Danych posiada odpowiednie upoważnienie do przetwarzania danych osobowych, zawierające:
  1. imię i nazwisko,
  2. datę nadania i okres jego obowiązywania,
  3. zakres danych, które osoba może przetwarzać (zbiory danych),

 

  • Każdy pracownik przetwarzający dane osobowe zobowiązany jest zapewnić ich należytą ochronę, a w szczególności przestrzegać zasad należytej ochrony.

WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE

  • Obszarem przetwarzania danych osobowych w systemie informatycznym w AM BIZNES są wyznaczone pomieszczenia wewnątrz budynku przy ul. Jeżycka 45/3, 60-864 Poznań,
  • Wykaz obszarów przetwarzania danych – załącznik PB nr 2 do GIODO

W celu zabezpieczenia całego obiektu przed utratą znajdujących się w nim danych osobowych, AM BIZNES stosuje następujące środki:

Zabezpieczenia budynku:

  • Zamykane wejście do budynku, domofon
  • Firma posiada zamykane drzwi wejściowe oraz rolety antywłamaniowe

Zabezpieczenia obszarów przetwarzania:

Sekretariat:

  • Dokumenty przechowywane w zamkniętych szafkach
  • Przestrzegana reguła „czystego biurka”
  • Monitor ustawiony w ten sposób iż uniemożliwiają wgląd osobą postronnym
  • Hasło na stacji roboczej
  • Wygaszacz ekranu blokowany hasłem
  • System antywirusowy

Biuro:

  • Dokumenty przechowywane w zamkniętych szafkach
  • Przestrzegana reguła „czystego biurka”
  • Monitor ustawiony w ten sposób iż uniemożliwiają wgląd osobą postronnym
  • Hasło na stacji roboczej
  • Wygaszacz ekranu blokowany hasłem
  • System antywirusowy
  • Zamykane drzwi

Gabinet prezesa:

  • Dokumenty przechowywane w zamkniętych szafkach
  • Przestrzegana reguła „czystego biurka”
  • Monitor ustawiony w ten sposób iż uniemożliwiają wgląd osobą postronnym
  • Hasło na stacji roboczej
  • Wygaszacz ekranu blokowany hasłem
  • System antywirusowy
  • Zamykane drzwi

Archiwum:

  • Zamykane drzwi
  • Krata w oknie

Pozostałe zabezpieczenia w odniesieniu do formy przechowywania i przetwarzania danych osobowych:

Dane osobowe przetwarzane metodą tradycyjną:

  • Należy chronić dokumenty papierowe zawierające dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemożliwiałoby odczytanie lub odzyskanie informacji w nich zawartych.
  • Dokumenty papierowe zawierające dane osobowe muszą być chronione przed zagrożeniami ze strony otoczenia (ogień, wyciek wody itp.).
  • Dokumenty papierowe powinny być fizycznie chronione przed kradzieżą, zniszczeniem lub niewłaściwym używaniem. Opuszczając stanowisko pracy należy sprawdzić czy są one należycie zabezpieczone przed dostępem osób niepowołanych.
  • Zbiory danych przetwarzane w formie papierowej przechowywane są w niemetalowych i metalowych szafkach, zamykanych na klucz.
  • Zabrania się kopiowania jakichkolwiek danych osobowych zawartych na dokumentach papierowych bez zgody Administratora Danych lub osoby przez niego upoważnionej.
  • Każdy dokument papierowy zawierający dane osobowe przeznaczony do usunięcia lub wyniesienia poza siedzibę AM BIZNES, wymaga zgody Administratora Danych lub upoważnionej przez niego osoby.
  • Utrata i kradzież dokumentów papierowych zawierających dane osobowe powinna być niezwłocznie zgłoszona Administratorowi Bezpieczeństwa Informacji oraz Administratorowi Danych.
  • Każdy dokument papierowy zawierający dane osobowe, mający charakter dokumentu roboczego, należy na koniec pracy zniszczyć w niszczarce papieru lub zabezpieczyć przed dostępem osób niepowołanych.

Dane osobowe przetwarzane w systemie informatycznym

  • Na wszystkich stacja roboczych, na których przetwarzane są dane osobowe wprowadza się wysoki poziom zabezpieczeń.
  • Na wszystkich stacjach roboczych, na których przetwarzane są dane osobowe, stosuje się aktywna ochronę antywirusową.
  • Jeśli oprogramowanie wykorzystywane do przetwarzania danych umożliwia stworzenie własnego systemu kont użytkowników (zabezpieczonych hasłami) i uprawnień, funkcjonalność ta jest wykorzystywana.
  • Stosuje się następujące zabezpieczenia organizacyjne przed dostępem do danych osób niepowołanych:
  1. dostęp do danych mają wyłącznie pracownicy upoważnieni przez Administratora Danych.
  2. w pokoju do którego mają dostęp osoby nieupoważnione, monitory komputerowe ustawione są w ten sposób, by osoby te nie widziały zapisów na ekranie.
  3. zalogowanie się do systemu wymaga podania nazwy użytkownika i hasła. Każdy użytkownik ma przypisane uprawnienia do wykonywania operacji.
  4. w przypadku dłuższej bezczynności komputera, uruchamiane są tzw. wygaszacze ekranu, których deaktywacja jest możliwa po podaniu prawidłowego hasła użytkownika
  5. kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej metalowej szafie.

Nośniki danych

  • Zabrania się kopiowania jakichkolwiek zbiorów danych osobowych z nośników magnetycznych i optycznych bez zgody Administratora Danych.
  • Należy chronić nośniki magnetyczne i optyczne zawierające dane osobowe przed ich fizycznym uszkodzeniem lub zniszczeniem co uniemożliwiłoby odczytanie lub odzyskanie informacji w nich zawartych.
  • Nośniki magnetyczne i optyczne zawierające dane osobowe powinny być fizycznie chronione przed kradzieżą, lub niewłaściwym używaniem. Opuszczając stanowisko pracy należy sprawdzić czy są one należycie zabezpieczone przed dostępem osób niepowołanych.
  • Wszystkie nośniki magnetyczne i optyczne zawierające dane osobowe muszą być oznaczone dla ich identyfikacji.
  • Nośniki magnetyczne i optyczne zawierające dane osobowe nie mogą być wynoszone poza siedzibę AM BIZNES bez wcześniejszej zgody Administratora Danych.
  • Niszczenia zużytych lub uszkodzonych nośników magnetycznych i optycznych zawierających dane osobowe dokonuje Administrator Bezpieczeństwa Informacji za zgodą Administratora Danych.
  • Utrata lub kradzież nośnika magnetycznego i optycznego z danymi osobowymi powinna być niezwłocznie zgłoszona do Administratora Bezpieczeństwa Informacji oraz Administratora Danych.

Kopie bezpieczeństwa

  • Aby zapewnić należyte bezpieczeństwo sporządza się kopie zapasowe danych osobowych przetwarzanych w systemie informatycznym.
  • Częstotliwość sporządzania kopii zapasowych reguluje instrukcja zarządzania systemem informatycznym opracowana przez Administratora Bezpieczeństwa Informacji w porozumieniu z Administratorem Danych
  • Kopie zapasowe przechowywane są w zamykanej szafie
  • Kopie zapasowe przechowuje się w pomieszczeniu innym, niż dane przetwarzane na bieżąco.
  • Kopie awaryjne podlegają takiej samej ochronie jak komputery zawierające dane bieżąco przetwarzane.
  • Pomieszczenia, w których przetwarzane są zbiory danych osobowych zabezpieczone są przed skutkami pożaru za pomocą wolno stojących gaśnic.

SPOSÓB PRZEPŁYWU DANYCH MIĘDZY SYSTEMAMI

  • Przepływ danych z systemem bankowym
  • Przepływ między terminalem a systemem bankowym odbywa się dwustronnie po łączu szyfrowanym SSL.