Pre všetkých užívateľov našej aplikácie, ale aj pre návštevníkov nášho webu, (z ktorých veríme, že sa stanú naši užívatelia 🙂 ) prinášame prehľad o krokoch, ktoré podnikol DOCKitIN nie len v súvislosti s GDPR, ale už pri vzniku služby reflektujúc na zákon NR SR č. 122/2013 Z. z. o ochrane osobných údajov.

 

GDPR rozdúchalo obrovský, či už chcený, alebo nechcený záujem o ochranu osobných údajov. Donedávna sa väčšina ľudí asi ani nepozastavila nad okienkom „súhlasím so spracúvaním osobných údajov“, ktoré môžeme stretnúť prakticky všade – v rôznych obchodoch, keď si registrujeme vernostnú kartu, v zmluvách akéhokoľvek typu (aj v tých, kde by to byť nemuselo), v online svete pri takmer každej registrácii do blogu, e-shopu, služby, …

S príchodom GDPR sa však pozornosť ľudí zostrila. Aj nás sa pýtate, ako na tom v súvislosti s GDPR sme, preto sme pripravili tento článok, kde popíšeme kroky, ktoré sme smerom k bezpečnosti Vašich (nie len) osobných údajov podnikli:

 

ZABEZPEČENIE PRIESTOROV, POČITAČOV, SERVEROV

Prvým krokom bolo správne úvodné nastavenie bezpečnosti – hľadali sme vhodné priestory na backoffice kanceláriu, archív a serverovňu. Zabezpečiť kanceláriu bolo asi to najjednoduchšie – budova je alarmovaná, monitorovaná, kancelária je samostatná, uzamykaná bezpečnostnými prvkami. Samozrejme, v kancelárii pracujú naši backoffice špecialisti, ktorí sú preškolení na prácu s citlivými údajmi odborníkom na ochranu osobných údajov a sú viazaní internými normami (na tie sa pozrieme neskôr). Všetko IT vybavenie, s ktorým pracujú, je viacstupňovo heslované. Náročnejšie bolo zabezpečiť archív. Je to priestor, kde sa uchovávajú všetky papierové dokumenty klientov. Inštalovali sme profesionálne bezpečnostné dvere, ochranné mreže a množstvo senzorov. Hľadali (a našli) sme najlepšieho partnera na nepretržité monitorovanie a ochranu. To všetko je však prechádzka ružovou záhradou oproti zabezpečeniu serverov. Sme presvedčení, že je to mimoriadne dôležitá súčasť našej služby a bezpečnosti, preto sme sa do nej nepúšťali sami, ale prenechali sme to na špičkových odborníkov na Slovensku – spoločnosť Vnet. Veď posúďte sami, ako na tom sú 🙂

 

ZABEZPEČENIE APLIKÁCIE

Súbežne s prvými krokmi náš tím vývojárov intenzívne riešil zabezpečenie aplikácie. Úzko spolupracovali so zástupcami z Vnetu, aby aplikácia bola maximálne bezpečná a stabilná. Údaje sú ukladané na dvoch od seba nezávislých lokalitách. Dostupnosť dát je garantovaná na 99,99%. Samotná aplikácia funguje na princípe autentifikácie a autorizácie pomocou štandardných pravidiel a postupov metodiky OWASP. Komunikácia s aplikáciou je zabezpečená asymetrickými šiframi najnovších štandardov, ktoré využíva aj internetbanking. Najvyšší štandard zabezpečenia je zaistený pomocou desiatok bezpečnostných pravidiel ako napr. dáta sa nikdy nesmú ukladať na SD kartu mobilu, sú kryptované a obfuskované, všetky činnosti v aplikácií sú zaznamenávané (tzv. logy), a mnoho ďalších…

 

SÚLAD S LEGISLATÍVOU

Ďalším krokom bolo zdokumentovanie súladu s legislatívou. Do účinnosti GDPR sme sa riadili zákonom o ochrane osobných údajov, ktorý nám ukladal povinnosť zdokumentovať zrealizované bezpečnostné opatrenia do tzv. Bezpečnostného projektu informačného systému. Takýto projekt vymedzuje rozsah a spôsob bezpečnostných opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti. Pri príprave tohto projektu sme zrealizovali aj audit, kde sme si zodpovedali tieto dôležité otázky o ochrane osobných údajov:

  • kedy a na aký účel spracúvame osobné údaje?
  • akými prostriedkami spracúvame osobné údaje?
  • ako sú zabezpečené jednotlivé prostriedky na spracúvanie osobných údajov?
  • koho osobné údaje spracúvame?
  • aké osobné údaje spracúvame?
  • ako dlho osobné údaje uchovávame?
  • komu osobné údaje poskytujeme?
  • kto má prístup k osobným údajom?

Okrem bezpečnostného projektu sme vypracovali dokument Bezpečnostná smernica informačný systém Agenda klientov, kde sú definované opatrenia, ktoré musia dodržiavať pracovníci DOCKitIN vo vzťahu ku klientom a ich dokumentom a dátam. Obe normy sme vypracúvali v spolupráci so slovenskou špičkou v odbore. Pred spustením prevádzky sme v zmysle §34 predmetného zákona registrovali DOCKitIN ako spracovateľa osobných údajov na Úrade na ochranu osobných údajov.

 

BEZPEČNOSTNÝ AUDIT

Tortúra sa pomaly blížila k svojmu koncu a my sme sa pripravovali na spustenie ostrej prevádzky služby DOCKitIN. Pre uistenie sa o správnosti všetkých predošlých krokov sme si najali ďalšieho odborníka na vykonanie bezpečnostného auditu a penetračných testov na aplikáciu. Vo výsledku sme získali ďalší hodnotný dokument hodnotiaci náš systém a vyladili sme posledné nedostatky. Čas ísť na (s kožou) na trh.

 

GDPR

K 25.5.2018 DOCKitIN:

  • upraví svoj registračný formulár, ktorý bude obsahovať nový súhlas so spracovaním osobných údajov podľa požiadaviek GDPR:
    • súhlas so spracovaním osobných údajov na marketingové účely vyčleníme mimo Všeobecných obchodných podmienok a bude dobrovoľný,
    • poučíme o tom, čo vlastne zbierame, prečo a na ako dlho,
    • pridáme informácie o tom, aké práva má registrujúci, ktorý nám osobné údaje dáva.

Už v minulosti sme zmenili pre klientov síce pohodlný, ale nesprávny spôsob udelenia súhlasu, kedy bolo okienko vopred zaškrtnuté. Aktuálne je to aj podmienkou samotného GDPR. To, že návštevník odošle registráciu ešte nepotvrdzuje, že je aj majiteľom danej e-mailovej adresy, preto je naša registrácia dvojkroková a je nutné ju cez e-mail aktivačným linkom potvrdiť.

  • zmení „politiku“ newsletterov, kedy všetkým klientom budeme zasielať výlučne informatívne e-maily o nových funkcionalitách v aplikácii.

Ak máte záujem naďalej dostávať informácie zo zákulisia DOCKitIN, informácie o špeciálnych akciách, ako aj dôležité informácie pre podnikateľov, musíte sa prihlásiť na odber newslettra cez formulár na spodku nášho webu, alebo na našej facebook fanpage.

 

  • upraví informačný panel o zbere cookies.
  • aktualizuje všetky (už v článku spomínané) dokumentácie.
  • upraví a aktualizuje zmluvné vzťahy s partnermi (tzv. sprostredkovateľské zmluvy).

 

Veríme, že vás tento blog utvrdil v tom, že neberieme vaše dáta na ľahkú váhu a robíme naozaj maximum pre ich ochranu. Tiež sme radi, ak sme niekomu pomohli sa zorientovať v procese zabezpečenia práce s osobnými údajmi a priblížili opatrenia, ktoré treba vykonať s účinnosťou GDPR.