GDPR - Alfeus Billing

Hľadaj
Prejsť na obsah

Hlavná ponuka:

GDPR

GDPR a systémy Alfeus.

Blíži sa termín účinnosti novej legislatívy v oblasti ochrany osobných údajov a preto  Vám určite pomôže aj  informácie o tom, ako riešiť opatrenia vyplývajúce z GDPR na strane informačných systémov od spoločnosti Alfeus. Tento informačný materiál popisuje len všeobecné opatrenia, ktoré odporúčame realizovať. Ide  o základné opatrenia, ktoré by mali byť doplnené o špecifické opatrenia vyplývajúce z analýzy rizík na strane každého poskytovateľa.

S realizáciou opatrení, ktoré budete musieť realizovať Vám radi pomôžeme.

Ako začať?
Vo vzťahu k systémom Alfeus sa dajú všeobecné opatrenia rozdeliť na tri základné oblasti.

  • Technické zabezpečenie údajov a ich prenosu v sieti

  • Zabezpečenie  prístupov k dátam vo vzťahu k pracovnej náplni užívateľov

  • Zabezpečenie údajov pri manipulácií s údajmi, výkone servisných činností, monitoringu a pod.

Každá z týchto oblastí má svoje riešenie, ktoré sa do určitej úrovne dá zovšeobecniť vzhľadom na to, že architektúra systému Alfeus je vo veľkej miere totožná  u každého poskytovateľa. Avšak aj tu je potrebné zohľadniť špecifickú situácia každého poskytovateľa.

Ako zabezpečiť údaje na serveroch so systémom Alfeus?

Koncepcia systému Alfeus je postavené na jednom centrálnom úložisku dát, na ktoré sa využíva technológia SQL servera od spoločnosti Microsoft. Vo všeobecnosti platí, že v prípade využitia možností tohto prostredia sa dá dosiahnúť vysoká miera zabezpečenia údajov.
Systém Alfeus pristupuje k údajom pod jediným užívateľským účtom grantora, ktorý pozná väčšinou len správca Vášho systému. Užívateľské kontá, vytvorené pre Vašich užívateľom, nemajú možnosť pristupovať k dátam osobitne mimo štandardné klientské prostredie systému Komplex.
Preto sa v prvom rade treba zamerať na fyzickú a systémovú ochranu úložiska, kde sa nachádza SQL databáza. Minimálne odporúčané opatrenia na tento účel sú nasledovné:

  • Dostatočná fyzická ochrana servera.

  • Aktivované šifrovanie údajov na diskoch servera.

  • Dostatočne silná politika pre používanie prístupových hesiel.

  • Ochrana prístupu k archívnym súborom.

  • Ochrana prístupu k zdieľaným priečinkom file servera

  • Ochrana prístupu ku konfiguračným súborom a dokumentom  systému.

  • Aktivovaná firewallová ochrana.


Ako zabezpečiť bezpečný prenos údajov v sieti ?

Kritickým a veľmi podceňovaným prvkom pri zabezpečení je komunikačná sieť v prípade, že sa používa nezabezpečené sieťová komunikácia. Pri jednoduchých inštaláciach systému Komplex, ktoré nepoužívajú funkcie webových a mobilných aplikácií alebo komunikácie na systémy tretích strán,  postačuje aktivácia zabezpečenia komunikácie medzi klientskou stanicou a SQL serverom. Túto komunikáciu odporúčame zašifrovať minimálne pomocou vlastného (self signed) certifikátu. Pri väčších  inštaláciach a v prípade, že údaje sú prenášané aj cez časti siete mimo LAN poskytovateľa, odporúčame použitie niektorého so štandardných ssl certifikátov.
Ďalšou časťou komunikácie je prenos dát medzi jednotlivými komponentami systému Alfeus, ak sú tieto umiestnené na viacerých serveroch. Ide hlavne o použitie pri inštalácií komponentov Alfeus Services, webových aplikácií a mobilných aplikácií.
Tu dôrazne odporúčame, aby bola použitá výlučne zabezpečená sieťová komunikácia  prostredníctvom https protokolu. V prípade zákazníckeho  prístupu k údajom (zákaznícka alebo partnerská zóna) len s použitím štandardného SSL certifikátu. Self signed certifikát odporúčame použiť len pre vnútornú infraštruktúru, napr. pre Apache Tomcat, ktorý je využívaný pre účely SOAP web services.
Veľmi často sa plnohodnotne pristupuje  k dátam zo strany užívateľa aj prostredníctvom WAN. Takýto prístup dôrazne odporúčame realizovať len cez pripojenie zabezpečené virtuálnou privátnou sieťou (VPN) a to aj vrátane mobilných zariadení, ktoré dnes tento spôsob pripojenia bez problémov podporujú. Tento typ pripojenia sa využíva hlavne pre mobilnú aplikáciu Servisman na zariadeniach s OS Android, ktoré pristupujú priamo na webovú službu systému Alfeus.

Čo iné je ešte potrebné riešiť pre technické zabezpečenie?

Väčšina horeuvedených opatrení predstavuje naozaj len odporúčané minimum a u každého z poskytovateľov sa môže vyskytnúť špecifické nasadenie a používanie systému Komplex. Preto pre realizáciu ďalších opatrení analyzujte aj iné potencionálne riziká, ako sú napr.:

  • Server, sieť alebo niektoré iné komponenty prevádzkujeme s pomocou tretej strany.

  • Využívame hosting, ktorý je  fyzicky umiestený mimo našu firmu.

  • Komponenty systému sú zdieľané s inými systémami a pod.

Pre každé takto pomenované riziko potom musíte navrhnúť adekvátne technické opatrenie.

Ako zabezpečiť údaje vo vzťahu k užívateľom?

Väčšinu skutočných incidentov nezapríčiní prelomenie technických opatrení. Najslabším článkom pri vzniku incidentov je človek ako užívateľ systému. Ten nevenuje dostatočnú pozornosť zabezpečeniu alebo dôjde k incidentu zámerne, napríklad ako pomsta za zlý vzťah k zamestnávateľovi, prípade je to cielené zneužitie údajov za účelom ich iného využitia.
V tejto časti opatrení odporúčame dôkladne analyzovať rozsah údajov s ktorými môže užívateľ pracovať a adekvátne k tomu nastaviť oprávnenia cez systém Komplex. Okrem toho sa zamerajte aj na možnosti exportu údajov, ktoré sú na jednej strane užitočnou pomôckou, ale v prípade ich uloženia do XLS, csv alebo iného formátu nad týmito údajmi úplne strácate kontrolu a môžu firmu opustiť emailom, na usb klúči alebo iným spôsobom. Prehodnoťte preto, kto má takéto oprávnenia a či sú pre účely jeho pracovnej náplne zodpovedajúce.
Ani v tejto oblasti sa nedajú všetky opatrenia zovšeobecniť. Preto si položte pri analýze rizík ďalšie otázky. Napríklad:

  • Máme zabezpečené koncové pracovné stanice (uzamykanie kont...)?

  • Sú užívatelia v jasne definovanom pracovno-právnom vzťahu aj s príslušnou zodpovednosťou?

  • Nepoužívame zdieľané kontá pre viacerých užívateľov?

  • Máme potrebu logovať zmeny údajov pre identifikáciu operácií nad údajmi?

Pre každé takto pomenované riziko potom musíte navrhnúť adekvátne technické alebo organizačné opatrenie.

Bez servisu to nepôjde.

Jednou z častých otázok pri riešení ochrany osobných údajov je aj otázka čo v prípade, že je nutný servis alebo prístup k technickým prostriedkom  cudzím osobám. Pýtate sa prečo? Preto, lebo ani najdokonalejší server nedokáže garantovať, že sa Vám nepokazí pevný disk na ktorom sú osobné údaje  a vy budete musieť zavolať servisného technika, ktorý takúto opravu vykoná. Je to len jeden z príkladov, čo Vám môže život priniesť a vy nemôžete vopred vedieť, kto a za akým účelom s k Vašim údajom dostane.
Ak ale niektoré z týchto situácií viete vopred predpokladať a pomenovať,  riešte ich napríklad špeciálnou zmluvou s vaším dodávateľom, ktorým môže byť v tomto prípade aj spoločnosť Alfeus. Veľmi často totiž na základe Vašich objednávok  alebo predchádzajúcich zmlúv a dohôd vykonávame prístup k vašim dátam a môžeme vystupovať v úlohe spracovateľa údajov.
Pokiaľ takáto situácia nebude ošetrená, bude Alfeus z účinnosťou od 25.5.2018 pristupovať k údajom výlučne na základe písomnej žiadosti so súhlasom zadávateľom oprávnenej osoby.
Výnimku tvoria zákazníci spoločnosti Alfeus so zmluvou na službu Alfeus Billing. V týchto prípadoch je prístup k údajom ošetrený v zmluve o poskytovaní služby a v priebehu najbližších dní budú zákazníkom doručené dodatky k zmluve, ošetrujúce úlohu spoločnosti Alfeus v tomto zmluvnom vzťahu v súvislosti s nadobudnutím účinnosti GDPR.

 
Návrat na obsah | Návrat do hlavnej ponuky