Witam.
Prowadzę serwis komputerowy. Mam zarejestrowaną DG. Mam kilkudziesięciu
stałych klientów dla których świadczę usługi. Na komputerach przechowywane
są bardzo różne dane - od danych osobowych ze zbiorami kilkudziesięciu
tysięcy ludzi do spraw finansowych i rozliczeń z kontrahentami których
obroty w ciągu roku sięgają czasem milionów.
Ja i moi klienci te dane uważamy za ważne i poufne. Klienci mi na tyle
ufają, że mam wejścia do firm i mogę brać komputery do firmy (razem z
dyskami).
Teraz chciałbym jakoś to ucywilizować. Powiedzmy, że nie wystarcza już
zaufanie. Klienci chcą mieć pewność, że dane nie będą przeze mnie
wykorzystane, a ja chcę żeby klienci byli w dalszym ciągu tego pewni.
Czy są jakieś przepisy, które regulują jakie uprawnienia ma posiadać taki
serwis? Czy są jakieś instytucje, które mogą zbadać moją wiarygodność?
Chciałbym się za to zabrać, ale nie mam pojęcia od czego zacząć? A może
niepotrzebnie się martwię?

--
PawełJ

do góry

PawełJ wrote:

> Witam.
> Prowadzę serwis komputerowy. Mam zarejestrowaną DG. Mam kilkudziesięciu
> stałych klientów dla których świadczę usługi. Na komputerach przechowywane
> są bardzo różne dane - od danych osobowych ze zbiorami kilkudziesięciu
> tysięcy ludzi do spraw finansowych i rozliczeń z kontrahentami których
> obroty w ciągu roku sięgają czasem milionów.
> Ja i moi klienci te dane uważamy za ważne i poufne. Klienci mi na tyle
> ufają, że mam wejścia do firm i mogę brać komputery do firmy (razem z
> dyskami).
> Teraz chciałbym jakoś to ucywilizować. Powiedzmy, że nie wystarcza już
> zaufanie. Klienci chcą mieć pewność, że dane nie będą przeze mnie
> wykorzystane, a ja chcę żeby klienci byli w dalszym ciągu tego pewni.
> Czy są jakieś przepisy, które regulują jakie uprawnienia ma posiadać taki
> serwis? Czy są jakieś instytucje, które mogą zbadać moją wiarygodność?
> Chciałbym się za to zabrać, ale nie mam pojęcia od czego zacząć? A może
> niepotrzebnie się martwię?
>

W przypadku danych osobowych. Upoważnienie od kierownika jednostki do
dostępu do danych. Najlepiej bardzo sprecyzowane, w jakim zakresie, w
jakich sytuacjach, w czyjej obecności itd.
W przypadku gdy serwisujesz dysk z danymi jako taki, np. naprawiasz bazę
danych z tymi danymi, robisz odzysk usuniętych zbiorów itp. podpisuj
umowę wg. której dane zostały ci powierzone do przetworzenia (nie
przekazanie zbioru !)
Ustawa o ochronie danych osobowych, oraz rozporządzenie o szczegółowych
warunkatch technicznych ... itd. reguluje kwestie dostępu do danych.

Dane finansowe - nie wiem czy jakieś przepisy to regulują. Chyba
wystarczy umowa pomiędzy Tobą a klientem, w której zobowiążesz się do
zachowania tajemnicy. Chyba. Niech mnie ktoś naprostuje.

Dane niejawne - oczywiście musisz mieć poświadczenie bezpieczeństwa z
dopuszczeniem do odpowiedniej klauzuli. Wtedy decyzją kierownika
jednostki (i nie tylko) możesz zostać upoważniony do dostępu do
konkretnych dokumentów, o tej samej lub niższej klauzuli.

Jeśli komputery z takimi danymi naprawiasz i przechowujesz u siebie,
zadbaj też o odpowiednie zabezpiecznie pomieszczeń.


--
Krzysztof 'Asmodeusz' Wachnik
GG: 2418919
JID: asmodeusz(na)jabber.org

do góry

> Ustawa o ochronie danych osobowych, oraz rozporządzenie o szczegółowych
> warunkatch technicznych ... itd. reguluje kwestie dostępu do danych.
Zaraz będę szukał.
przynajmniej wiem od czego zaczynać

> Dane niejawne - oczywiście musisz mieć poświadczenie bezpieczeństwa z
> dopuszczeniem do odpowiedniej klauzuli. Wtedy decyzją kierownika jednostki
> (i nie tylko) możesz zostać upoważniony do dostępu do konkretnych
> dokumentów, o tej samej lub niższej klauzuli.
Ja mam dostęp do wszystkich danych w firmach i instytucjach, które
obsługuje.
I siadając do pracy raczej nie zawsze wiem czy akurat będę robił coś przy
danych osobowych czy też przy finansowych.
Pasowałoby więc spisać jakieś upoważnienie z klientami, że mam dostęp do
tych danych a z mojej strony nic im nie grozi.
>
> Jeśli komputery z takimi danymi naprawiasz i przechowujesz u siebie,
> zadbaj też o odpowiednie zabezpiecznie pomieszczeń.
To już jest załatwione.

Cały temat zaczął się od tego, że jeden z klientów sobie wymyślił że
powinienem posiadać jakieś "certyfikaty wirygodności" (jego słowa). On sam
to słyszał od kogoś tam więc to ma znamiona plotki, ale mówił coś że
starając się o taki certyfikat jednym z kontrolujących moją firmę i mnie
będzie ABW. Podobno jakaś instytucja w kraju zajmuje się takim
certyfikowaniem (ma się zajmować?). To jest informacja usłyszana na zasadzie
"jedna pani drugiej pani..." ale chciałbym wiedzieć czy takie coś istnieje
wogóle.

PawełJ

do góry

I jeszcze tak mi się przypomniało:

Jeśli Twój klient przetwarza dane osobowe, ma zarejestrowane zbiory
danych osobowych w GIODO, to ma też administratora bezpieczeństwa
informacji.
Jeśli przetwarza dane niejawne, musi mieć pełnomocnika ds. ochrony
informacji niejawnych.

Oni muszą zadbać o formalną stronę Waszej współpracy. I powinni wiedzieć
jakie przepisy to regulują.

--
Krzysztof 'Asmodeusz' Wachnik
GG: 2418919
JID: asmodeusz(na)jabber.org

do góry

> Oni muszą zadbać o formalną stronę Waszej współpracy. I powinni wiedzieć
> jakie przepisy to regulują.
Ok.
Na razie czytam ustawe o ochronie danych

"Art. 37.

Do obsługi systemu informatycznego oraz urządzeń wchodzących w jego skład,
służących do przetwarzania danych, mogą być dopuszczone wyłącznie osoby
posiadające upoważnienie wydane przez administratora danych."

Czyli jeżeli chodzi o dane osobowe to faktycznie sprawę sobie dogram z
administratorami danych u klientów.

PawełJ

do góry

PawełJ wrote:
[ ... ]
> Czyli jeżeli chodzi o dane osobowe to faktycznie sprawę sobie dogram z
> administratorami danych u klientów.
>
Pamiętaj że administrator danych w rozumieniu tej ustawy, to zazwyczaj
kierownik jednostki.



--
Krzysztof 'Asmodeusz' Wachnik
GG: 2418919
JID: asmodeusz(na)jabber.org

do góry

PawełJ wrote:

[ ... ]
>
>>Jeśli komputery z takimi danymi naprawiasz i przechowujesz u siebie,
>>zadbaj też o odpowiednie zabezpiecznie pomieszczeń.
>
> To już jest załatwione.
>
> Cały temat zaczął się od tego, że jeden z klientów sobie wymyślił że
> powinienem posiadać jakieś "certyfikaty wirygodności" (jego słowa). On sam
> to słyszał od kogoś tam więc to ma znamiona plotki, ale mówił coś że
> starając się o taki certyfikat jednym z kontrolujących moją firmę i mnie
> będzie ABW. Podobno jakaś instytucja w kraju zajmuje się takim
> certyfikowaniem (ma się zajmować?). To jest informacja usłyszana na zasadzie
> "jedna pani drugiej pani..." ale chciałbym wiedzieć czy takie coś istnieje
> wogóle.
>
Jeśli posiadasz dostęp do danych tajnych/poufnych/zastrzeżonych w
rozumieniu ustawy o informacjach niejawnych to owszem, powinieneś.
Konkretnie to "poświadczenie bezpieczeństwa" a nie certyfikat
wiarygodności. Ale nie sądzę żeby twoja firma, jako serwis pod to
podpadała. Przede wszystkim komputery z takimi danymi raczej nie mają
prawa znaleźć się w twoim serwisie. A gdyby musiały, to nie sądzę żeby
ktoś był tak niekompetentny, żeby nie zadbać o "formalności".
Widziałeś kiedyś u klienta dokument z napisem w rodzaju "POUFNE Egz. nr
xx" w nagłówku ? Jak widziałeś to powinieneś mieć poświadczenie
bezpieczeństwa :)

--
Krzysztof 'Asmodeusz' Wachnik
GG: 2418919
JID: asmodeusz(na)jabber.org

do góry

> Jeśli posiadasz dostęp do danych tajnych/poufnych/zastrzeżonych w
> rozumieniu ustawy o informacjach niejawnych to owszem, powinieneś.
Mam dostęp do danych przetwarzanych komputerowo (księgowości, windykacja,
dane osobowe).
> Konkretnie to "poświadczenie bezpieczeństwa" a nie certyfikat
> wiarygodności. Ale nie sądzę żeby twoja firma, jako serwis pod to
> podpadała. Przede wszystkim komputery z takimi danymi raczej nie mają
> prawa znaleźć się w twoim serwisie. A gdyby musiały, to nie sądzę żeby
> ktoś był tak niekompetentny, żeby nie zadbać o "formalności".
Określę to w ten sposób: Ja jestem informatykiem i na przepisach się nie
znam. Moi klienci też niekoniecznie sobie zdają sprawę czy jakieś przepisy
to regulują. Bo gdyby się znali to nie było by to pytanie od jednego klienta
a wymóg od wszystkich. Ale nie chcę pewnego dnia usłyszeć od klienta, że nie
mogę pracować u niego bo nie jestem wirygodny.

> Widziałeś kiedyś u klienta dokument z napisem w rodzaju "POUFNE Egz. nr
> xx" w nagłówku ? Jak widziałeś to powinieneś mieć poświadczenie
> bezpieczeństwa :)

A sam nie wiem czy widziałem :). Poza tym ja w papiery nie patrzę z reguły,
chyba że jest taka potrzeba a czasem jest. Natomiast serwisowanie komputera
a bardziej programu (bazy) wymaga ode mnie znajomości samego programu, bazy
no a to wymaga częstego przeglądania danych pod różnymi kątami. Więc w
programie przede mną nikt nic nie ma jak utajnić.

Dzięki za pomoc. Teraz przynajmniej wiem co szukać.
pozdrawiam
PawełJ

do góry