Polityka Bezpieczeństwa Informacji sklepu internetowego z oprogramowaniem HTC-sklep.pl

 

Na podstawie przepisów Ustawy z 1 sierpnia 1997 o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia
2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych określa się niniejszą Politykę Bezpieczeństwa danych osobowych przetwarzanych w związku z prowadzeniem sklepu internetowego HTC-sklep.pl

 

Administrator Bezpieczeństwa Informacji: Marcin Młynarczyk 509 646 290

 

Wykaz lokalizacji w których przetwarzane są dane osobowe oraz zastosowane zabezpieczenia

 

Dane osobowe przetwarzane są za pośrednictwem systemu informatycznego w architekturze rozproszonej, przy użyciu serwera znajdującego się w siedzibie firmy LinuxPL.com oraz, na podstawie umowy, serwerów znajdujących się w profesjonalnym centrum przetwarzania danych należącym do Linuxpl.com z siedzibą w Rzeszowie przy ulicy Krakowskiej 66.

Zastosowano następujące środki ochrony fizycznej danych osobowych:

Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C.

Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy.

Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu –

Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych.

Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest nadzorowany przez służbę ochrony podczas nieobecności pracowników.

Zastosowano System przeciwpożarowy we wszystkich pomieszczeniach serwerowni.

 

Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

 

Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.

Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.

Fakt uzyskania dostępu do danych odkładany jest w logach systemowych

Zastosowano systemowe środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.

Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.

Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.

Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.

Użyto system Firewall do ochrony dostępu do sieci komputerowej.

 

Struktura zbiorów danych osobowych

 

W ramach systemu informatycznego przetwarzane są dwa zbiory danych osobowych:

 

Zbiór podstawowy sklepu HTC-sklep.pl zawierający:

Numer porządkowy

Adres -email

Imię i nazwisko

Adres korespondencyjny

Nr telefonu

Datę rozpoczęcia przetwarzania danych

Flagę wyrażenia zgody na przetwarzanie danych

Dane obydwu zbiorów przechowywane są w tabelach bazy danych MySQL, zainstalowanej na zaszyfrowanej partycji serwera wirtualnego. Dostęp do zbioru danych ma wyłącznie administrator danych osobowych oraz osoby przez niego pisemnie upoważnione.

Kopia danych osobowych tworzona jest w postaci pliku arkusza kalkulacyjnego Excel (.xls lub .xlsx), a następnie drukowana. Po wydrukowaniu plik zawierający kopię danych osobowych zostaje trwale usunięty z nośnika elektronicznego.

 

Zadania administratora bezpieczeństwa informacji

 

Administrator Bezpieczeństwa Informacji:

 

Prowadzi ewidencję osób upoważnionych do dostępu do zbioru danych osobowych

Kontroluje prawidłowość przetwarzania danych osobowych

Podejmuje odpowiednie działania w przypadku stwierdzenia naruszeń zabezpieczeń

Podejmuje odpowiednie kroki w celu zapewnienia ciągłości działania systemów zabezpieczających dane osobowe.

 

 

Procedura w przypadku podejrzenia naruszenia zabezpieczeń zbioru danych osobowych

 

Każdy, kto stwierdzi fakt nasuwający podejrzenie wystąpienia możliwości naruszenia bezpieczeństwa informacji zobowiązany jest do niezwłocznego powiadomienia Administratora Bezpieczeństwa Informacji

Do czasu przybycia Administratora Bezpieczeństwa Informacji należy:

Niezwłocznie podjąć działanie w celu powstrzymania skutków naruszenia bezpieczeństwa

Ustalić przyczynę naruszenia bezpieczeństwa

Podjąć niezbędne działania w celu udokumentowania przypadku wystąpienia incydentu

Nie opuszczać miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji

Administrator Bezpieczeństwa Informacji, po zapoznaniu się z sytuacją podejmuje niezbędne kroki w celu:

Wyjaśnienia incydentu

Ograniczeniu negatywnych skutków incydentu

Zapobieżenia pojawienia się podobnego incydentu w przyszłości

Zgłoszenia wystąpienia incydentu do odpowiednich organów ochrony prawnej, w sytuacji, gdy jest to wymagane dla danego incydentu przez przepisy prawa.