Ochrona danych osobowych w systemach ERP

Szczegóły
Kategoria: ERP

Ochrona danych osobowych w systemach ERP

Mówiąc o ochronie danych w systemach informatycznych często mamy na myśli ochronę danych osobowych, o której wiele się mówi i która jest regulowana ustawowo oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji. W istocie zagadnienie ochrony danych jest jednak dużo szersze i w przypadku systemów ERP dotyczy także innych obszarów. Żadna firma nie chce wycieku informacji finansowych, kartoteki poddostawców czy danych technologicznych. Warto więc przyjrzeć się jak nasze systemy są zabezpieczone, bo nie wszyscy dostawcy ERP przykładają do tego dostateczną wagę; wiele także zależy od wewnętrznej polityki firmy korzystającej z systemu i przyjętych w niej procedur.


DANE OSOBOWE NAJWAŻNIEJSZE

Na początek zastanówmy się jak chronimy właśnie dane osobowe. Mają one priorytet, gdyż obowiązek ten wynika z prawa, a poza tym lista wymogów jest w miarę dobrze w przepisach określona. Nikt też z pewnością nie zamierza narażać się pracownikom Biura Generalnego Inspektora Ochrony Danych Osobowych, który dowolnego dnia może zapukać do naszych drzwi w celu „przeprowadzenia niezbędnych badań lub innych czynności kontrolnych”.

WARTO PRZY TYM ZWRÓCIĆ UWAGĘ, ŻE PRZEPISY ZOBOWIĄZUJĄ DO ZAPEWNIENIA ODPOWIEDNIEGO POZIOMU BEZPIECZEŃSTWA DANYCH OSOBOWYCH FIRMĘ LUB INSTYTUCJĘ KORZYSTAJĄCĄ Z SYSTEMU A NIE DOSTAWCĘ OPROGRAMOWANIA.

A więc firma we własnym interesie powinna przenieść wymogi wynikające z prawa na producenta systemu żądając od niego spełnienia określonych wymagań i ewentualnie zabezpieczając się odpowiednio skonstruowaną umową. Oczywiście nie wszystkie punkty ustawy oraz rozporządzenia dotyczą systemu sensu stricte, część z nich jest sprawą wewnętrzną firmy (np. procedury dot. przechowywania zapasowych kopii danych).

ODPOWIEDZIALNOŚĆ KARNA

W razie stwierdzenia uchybień Generalny Inspektor może w najłagodniejszym przypadku np. zażądać usunięcia uchybień lub zastosowania dodatkowych zabezpieczeń a w najczarniejszym – skierować do organów ścigania zawiadomienie o popełnieniu przestępstwa. Wówczas może nam grozić grzywna, kara ograniczenia wolności lub pozbawienia wolności do roku (w razie np. niedostatecznych zabezpieczeń) lub do lat 2 (w razie nieuprawnionego przetwarzania) albo do lat 3 (jeżeli miałoby to dotyczyć danych ujawniających np. pochodzenie rasowe, przekonania religijne, dane o życiu seksualnym, przynależność związkową lub dane o stanie zdrowia). Łatwo zauważyć, że w dwu ostatnich przypadkach (przynależność związkowa, dane o stanie zdrowia) takie informacje mogą znajdować się w systemie ERP (w postaci np. odliczeń na składki związkowe, wyników badań okresowych lub zwolnień lekarskich).

PRZEPISY W NAJWIĘKSZEJ MIERZE DOTYCZĄ ADMINISTRATORA DANYCH I TO ON POWINIEN BYĆ NAJBARDZIEJ ŚWIADOMY ODPOWIEDZIALNOŚCI PRAWNEJ, JAKA NA NIM SPOCZYWA. WYMOGI ROZPORZĄDZENIA

Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych opisuje szereg wymogów, z których część dotyczy systemu informatycznego. Systemy takie powinny:

  • Automatycznie odnotowywać datę pierwszego wprowadzenia danych osobowych do systemu oraz identyfikator osoby je wprowadzającej w momencie zatwierdzania przez użytkownika operacji bazodanowej.

  • Ewidencjonować źródła pochodzenia danych osobowych jeśli nie pochodzą one bezpośrednio od osoby, której one dotyczą. W systemach ERP może to np. dotyczyć obciążeń komorniczych.

  • Umożliwiać ewidencję odbiorców, którym dane osobowe zostały udostępnione, dat i zakresów tego udostępnienia.

  • Umożliwiać odnotowanie sprzeciwu dot. przetwarzania danych w celach marketingowych lub udostępniania danych na zewnątrz.

  • Posiadać wbudowane mechanizmy kontroli dostępu do danych.

  • Umożliwiać zarejestrowanie dla każdego użytkownika osobnego identyfikatora.

  • Zapewniać dostęp do danych wyłącznie po wprowadzeniu identyfikatora i poprawnego hasła (chyba że zastosowano inną metodę identyfikacji).

  • Być zabezpieczone przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

  • Umożliwiać nałożenie na użytkowników wymogów zmiany hasła co określoną ilość dni oraz dot. minimalnej długości i złożoności hasła. (Administrator powinien tak sparametryzować system, by użytkownicy zmieniali hasła nie rzadziej, niż co 30 dni oraz by każde hasło musiało składać się ono co najmniej z 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne.)

  • Umożliwiać przygotowanie kopii bazy danych.

  • Odpowiednio zabezpieczać dane, które są przesyłane w sieci publicznej.

SPEŁNIAJĄC WYMOGI ROZPORZĄDZENIA OSIĄGNIEMY PODWÓJNĄ KORZYŚĆ: NIE TYLKO BĘDZIEMY W ZGODZIE Z PRAWEM, ALE WSZYSTKIE DANE NASZEGO SYSTEMU (NIE TYLKO OSOBOWE) BĘDĄ DUŻO BEZPIECZNIEJSZE. WYMOGI WEWNĘTRZNE

Niezależnie od powyższych punktów, aby w pełni spełnić wymogi rozporządzenia administrator we własnym zakresie powinien opracować odpowiednią dokumentację, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Będą one zawierać m.in. wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe, procedury tworzenia kopii zapasowych, sposób przechowywania kopii zapasowych itp.

Dodatkowo jeśli system ERP „niedomaga” administrator powinien podjąć działania mające na celu spełnienie wymogów rozporządzenia. Przykładowo: jeśli system nie umożliwia ewidencji odbiorców, którym dane osobowe zostały udostępnione, to należy stworzyć taką ewidencję poza nim.

LUKI W SYSTEMACH

Ustawodawca poprzez szczegółowe wymogi starał się wysoko umieścić poprzeczkę dla systemów informatycznych. Jednak nie wszystko można przewidzieć, a pomysłowość złodziei danych jest duża. Faktycznie nawet spełniając skrupulatnie wymogi rozporządzenia nadal może pozostać wiele obszarów niezabezpieczonych lub słabych zabezpieczeń, które doświadczony hacker mógłby pokonać. Postarajmy się przyjrzeć kilu możliwym lukom:

  • Dostęp z poziomu konsoli programu może inaczej wyglądać, niż „od spodu”. Zwykle nowoczesne systemy umożliwiają wieloraki dostęp do danych poprzez liczne interfejsy, np. ODBC, Web Services. Warto sprawdzić, czy uprawnienia dot. ograniczenia dostępu dla do części danych z poziomu tych interfejsów są takie same, jak z poziomu konsoli programu.

  • Dane mogą być zapisywane na bazie lub lokalnie tymczasowo przechowywane w cache w postaci niezaszyfrowanej lub słabo zaszyfrowanej umożliwiającej złamanie szyfru.

  • Hasło dostępu dla użytkownika może być lokalnie zapisywane w postaci niezaszyfrowanej.

  • Użytkownik, który ma ograniczony dostęp do danych może dotrzeć do nich w inny sposób: np. nie widzi kartoteki kontrahentów, ale może dotrzeć do informacji o nich na podstawie faktur.

  • Użytkownik ma ograniczony przez administratora dostęp do pewnych danych poprzez nie udostępnienie dla niego części formularzy, ale może dotrzeć do danych „od spodu” lub poprzez takie miejsca w programie, gdzie może elastycznie definiować nowe pola, formularze lub wydruki.

LUKI W PROCEDURACH

A oto przykładowe luki, jakie mogą się pojawić w wewnętrznych procedurach w firmie:

  • Niewłaściwe postępowanie z wydrukami zawierającymi istotne dane. Mogą być one np. rozprowadzane wśród pracowników w sposób niekontrolowany lub – gdy przestaną być potrzebne – być wyrzucane zamiast niszczenia.

  • Niewłaściwe przechowywanie wydruków elektronicznych utworzonych w oparciu o dane z systemu a przechowywanych poza nim. Z sytuacją tą mamy do czynienia w firmach, w których wydruki elektroniczne (np. w formacie PDF lub RTF) są przechowywane w publicznie dostępnych lokalizacjach sieciowych.

  • Niewłaściwe przechowywanie kopii danych w sposób nie gwarantujący ich przetrwania w razie np. pożaru lub w sposób umożliwiający dostęp do nich osobom postronnym.

  • Zbyt wiele osób mających dostęp do systemu z uprawnieniami administratora danych. Może to dotyczyć np. firm wielodziałowych, gdzie w każdym oddziale tworzy się oddzielne stanowisko administratora. Należy pamiętać, że niezależnie od zastosowanych zabezpieczeń i ograniczeń dostępu do danych, administrator zawsze będzie mieć do nich pełny dostęp.

Literatura:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926).
  • Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 Poz. 1024)

Źródło: TETA SA
Autor: Zbigniew Lisowski - Analityk wiodący TETA SA

PRZECZYTAJ RÓWNIEŻ:

10 sygnałów świadczących o tym, że Twój obecny system ERP już nie wystarcza
ERP
13-03-24
logo proalpha 2018Często spotyka się zalecenie, aby nie dokonywać zmian w sprawdzonym systemie ERP. Niemniej, jeżeli obecne oprogramowanie ERP ogranicza możliwości rozwojowe przedsiębiorstwa, rozważenie jego aktualizacji staje się istotne. Istnieje szereg jednoznacznych sygnałów sugerujących, że może być to odpowiedni moment na rozważenie aktualizacji systemu ERP. Jakie to sygnały?

Czytaj więcej...
 
Jakie korzyści zapewnia w przedsiębiorstwie system ERP?
ERP
11-03-24
enova365Systemy ERP stanowią kluczowe rozwiązanie dla firm, usprawniając i integrując różnorodne procesy biznesowe, co znacząco ułatwia zarządzanie przedsiębiorstwem. Dzięki swojej uniwersalności i możliwościom skalowania, narzędzie to znajduje zastosowanie w różnych sektorach, niezależnie od specyfiki branży. Systemy te opierają się na modułowej strukturze, umożliwiając optymalizację i automatyzację działalności w poszczególnych obszarach, od finansów po logistykę.
Czytaj więcej...
 
Optymalizacja procesu kontroli jakości w produkcji
ERP
03-03-24
proalpha PolskaWdrożenie skutecznej kontroli jakości w procesie produkcyjnym stanowi kluczowy element sukcesu przedsiębiorstwa. Umożliwia to bowiem nie tylko zdobywanie lojalności klientów, lecz także zwiększanie poziomu sprzedaży oraz ulepszone zarządzanie wynikami finansowymi. Jak się okazuje, skrupulatna kontrola jakości w produkcji może stać się kluczowym elementem strategii biznesowej, prowadząc do osiągania wyższej satysfakcji klientów i optymalnych wyników finansowych. W niniejszym artykule przyjrzymy się, jak istotne jest wykorzystanie nowoczesnych narzędzi, takich jak zaawansowane oprogramowanie do planowania produkcji w celu optymalizacji procesu kontroli jakości, by uniknąć negatywnego oddziaływania na skalę produkcji czy inne kluczowe wskaźniki.

Czytaj więcej...
 
„Po co mi ten cały ERP?” Czyli o tym jak zapanować nad finansami w agencji marketingowej i nie oszaleć?
ERP
20-02-24
TODIS CONSULTINGWitajcie w krainie wyzwań biznesowych, gdzie firmy usługowe stają naprzeciw rynkowi i walczą o przetrwanie w gąszczu zadań, projektów, podwykonawców czy klientów. W świecie pełnym straconych notatek, czterech arkuszy excel opowiadających skrawek tego, czego chcemy się dowiedzieć i poszukiwań Świętego Gralla – optymalnego systemu ERP. Także należy zadać sobie pytanie - czy to odpowiedź na wszystkie problemy, czy po prostu narzędzie, które właściwie dostosowane faktycznie pomaga?
Czytaj więcej...
 
Jak maksymalizować wydajność i minimalizować przestoje?
ERP
11-02-24
proalphaW dzisiejszym dynamicznym środowisku biznesowym, skuteczne planowanie produkcji stanowi kluczowy element sukcesu przedsiębiorstwa. Procesy produkcyjne są nieustannie narażone na różnorodne wyzwania, takie jak zmienne zapotrzebowanie rynkowe, fluktuacje cen surowców czy nieprzewidywalne zakłócenia w łańcuchu dostaw. W tym kontekście, umiejętne zarządzanie planowaniem produkcji staje się nie tylko niezbędne, lecz wręcz nabiera wymiaru o charakterze strategicznym. Jak maksymalizować wydajność i minimalizować przestoje?

Czytaj więcej...
 
Quo vadis ERP – 5 najważniejszych trendów w zakresie ERP
ERP
05-02-24
proalpha PolskaPrzemysł musiał w ostatnich latach stawić czoła wielu wyzwaniom związanym m.in. z pandemią koronawirusa oraz wojną w Ukrainie, których skutkiem jest trwający kryzys surowcowy i energetyczny. Miało to ogromny wpływ na klasyczne obszary ERP, takich jak zaopatrzenie, gospodarkę materiałową, controlling i logistykę. W jaki sposób najlepiej zminimalizować ryzyko i na co przedsiębiorstwa muszą zwrócić uwagę, aby w przyszłości sprostać takim wyzwaniom? Przedstawiamy 5 trendów w zakresie ERP, które skupiają się w szczególności na średnich przedsiębiorstwach produkcyjnych.

Czytaj więcej...
 
7 kroków do efektywnego wdrożenia systemu ERP
ERP
30-01-24
proalphaAktualna sytuacja rynkowa stawia przed przedsiębiorstwami produkcyjnymi wiele trudności, wymagających od nich efektywnego podejścia i skupienia na wyznaczonych celach. To często wiąże się z koniecznością wyboru i zastosowania nowego systemu ERP, co jest zadaniem wymagającym, dodatkowo skomplikowanym przez oczekiwania klientów, złożone procesy dostawcze oraz dynamiczny charakter konkurencji na rynku. W obliczu tych wyzwań, kluczową kwestią dla każdego przedsiębiorstwa produkcyjnego jest odpowiednie przygotowanie do efektywnego wdrożenia systemu ERP.

Czytaj więcej...
 
Jak minimalizować ryzyko wystąpienia strat w biznesie?
ERP
30-01-24
ANEGISRyzyko jest integralną częścią każdego biznesu. Dlatego też niezmiernie ważne jest efektywne rozpoznawanie wyzwań, które często stają się przyczyną strat i finansowej niestabilności. Narzędziem zdolnym do diagnozowania ewentualnego ryzyka jest między innymi zaawansowany system ERP.

Czytaj więcej...
 
Mniej niż 50 proc. polskich managerów przyznaje, że ich firma jest gotowa na nagłe zakłócenia dostaw
ERP
23-01-24
SAPOstatnie lata udowodniły, że nieprzewidziane wydarzenia i zmiany trendów potrafią zachwiać pozycją pojedynczych przedsiębiorstw, ale i całych branż. Zwiększa się zatem nacisk na tworzenie nowego zaplecza technologicznego łańcuchów dostaw. Ma to umożliwiać organizacjom bardziej elastyczne funkcjonowanie i zwiększać ich odporność. Czy polskie firmy rzeczywiście są gotowe na radzenie sobie ze zmianami przy użyciu technologii? Na to pytanie odpowiadają dane zebrane przez SAP Polska.

Czytaj więcej...
 
Przemiana cyfrowa w sektorze produkcyjnym: Jak systemy ERP podnoszą standardy efektywności produkcyjnej
ERP
07-01-24
proalphaCyfrowa transformacja to nieunikniony proces, który zmienia oblicze wielu branż, w tym także przemysłu produkcyjnego. W miarę jak technologie informatyczne rozwijają się w zawrotnym tempie, firmy produkcyjne zaczynają dostrzegać potencjał wdrożenia systemów ERP (Enterprise Resource Planning) do zarządzania procesami produkcyjnymi. Dziś już bez wątpienia systemy ERP stanowią kluczowy element cyfrowej transformacji, pozwalając na zintegrowane zarządzanie danymi, procesami i operacjami w przedsiębiorstwach produkcyjnych. W tym artykule omówimy, jak systemy ERP przyczyniają się do cyfrowej transformacji w firmach produkcyjnych, jakie korzyści niesie ze sobą centralizacja danych, integracja procesów i automatyzacja operacji, a także wskażemy, w jaki sposób nowe technologie mogą być wykorzystywane w zarządzaniu produkcją.
Czytaj więcej...
 

Back to top