Jakie są wymagania przechowywania danych klientów
Czy są jakieś wymagania w jaki sposób dane Klientów muszą być przechowywane, czyli jak często trzeba zmieniać hasło, jakich zabezpieczeń użyć itp. ?
Rozporządzanie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 roku określa poziomy bezpieczeństwa infrastruktury informatycznej, jakie należy stosować w zależności od pewnych elementów jej architektury oraz w zależności od tego jakie dane osobowe są przetwarzane w systemach.
Wymagania zabezpieczeń zbioru danych osobowych – poziom wysoki
Autorzy regulacji jako warunek przyjęli podłączenie systemu informatycznego do sieci publicznej – Internet, które co powoduje, że w praktyce każdy z Administratorów danych osobowych jest zobowiązany do stosowania „wysokiego poziomu bezpieczeństwa”.
Zabronione jest aby kolejni następujący po sobie edministratorzy systemów mieli ten sam identy
fikator, np. „Admin”. Dostęp do systemu informatycznego, w którym będzie istniała możliwości przetwarzania danych osobowych, musi być zabezpieczony procesem uwierzytelnienia użytkownika, tj. potwierdzeniem tożsamości wskazanej w indywidualnym „identyfikatorze”.
Polityka haseł
Najpopularniejszą metodą weryfikacji praw dostępu do systemu informatycznego jest użycie „hasła”, tj. unikalnego i poufnego ciągu znaków literowych, cyfrowych lub innych (§2 pkt 3).
Siła „hasła” wykorzystywanego do uwierzytelnianie użytkowników w systemie informatycznym jest jedynym szczegółowo określonym wymogiem zabezpieczeń:
-
długość: co najmniej 8 znaków
-
małe i wielkie litery oraz cyfry lub znaki specjalne
-
ważność: maksymalnie 30 dni
Nie ma obowiązku, żeby system informatyczny automatycznie wymuszał na użytkownikach te wymagania, jednak taka funkcjonalność pozwala na skuteczne zarządzanie ich realizacją, uniemożliwiając jawne lub przypadkowe łamanie tego nakazu.
O poufności hasła nie decyduje wyłącznie jego nieudostępnianie innym osobom, ale również jego treść. Stąd też użytkownik systemu informatycznego ma obowiązek stosować hasła trudne do
odgadnięcia. W szczególności nie mogą nimi być
• nazwisko, imię, adres, numer rejestracyjny prywatnego samochodu, PESEL, NIP, numer telefonu, itp;
• słowo w żadnym popularnym języku;
• nazwa geograficzna, termin techniczny lub określenie potoczne;
• sekwencja kolejnych znaków na klawiaturze;
a także dowolny spośród wymienionych uzupełnionym na początku lub końcu cyfrą lub znakiem specjalnym.
Podsumowanie
Wymagania bezpieczeństwa dotyczące ochrony danych osobowych, odnoszą się do właściwego sklepu internetowego, nie zaś użytkownika mającego dostęp jedynie do własnych danych, a więc klienta w e-sklepie. To Administrator Danych Osobowych (sklep) w swoich systemach informatycznych – na których pracują pracownicy e-sklepu przetwarzający dane osobowe w związku z działalnością zarobkową – musi wprowadzić wymagania bezpieczeństwa określone w Ustawie o ochronie danych osobowych i Rozporządzeniu wykonawczym MSWiA do tej Ustawy z 2004 r.
