Bezpieczeństwo danych w biurze rachunkowym wg RODO

RODO przedstawia przykładowy katalog czynności jakie mogą pomóc w ochronie danych osobowych. Należy pamiętać, że nie każde z tych czynności będą miały zastosowania w biurze rachunkowym. Konieczne jest bowiem dopasowanie takich zabezpieczeń, które faktycznie w danym miejscu będą spełniały swoją rolę. RODO wskazuje więc kierunki natomiast nie mówi dokładnie jaki ostatecznie wybrać zabezpieczenie. Jak powinno wyglądać bezpieczeństwo danych w biurze rachunkowym?

Bezpieczeństwo danych w biurze rachunkowym - pseudonimizacja lub anonimizacja i szyfrowanie danych osobowych

Pseudonimizacja

Pseudonimizacja to proces odwracalny w skutkach polegający na zamianie listy danych osobowych na np. numerki czyli pseudonimy, dzięki czemu można byłoby w łatwy sposób rozszyfrować kogo dane dotyczą. Stosowana jest np. na uczelniach - student Jan Kowalski na listach wyników widnieje zamiast pod imieniem i nazwiskiem to pod numerem indeksu - w ten sposób tylko znający numery indeksów są w stanie przypisać konkretny wynik do danej osoby fizycznej. Pseudonimizację wykorzystuje się często przy udostępnianiu danych dla celów tworzenia statystyk. W praktyce więc dotyczy głównie sytuacji udostępniania danych na zewnątrz i to w określonych celach, co nie dotyczy systemu księgowego.

Anonimizacja

Anonimizacja to proces nieodwracalny mający na celu uniemożliwienie wykorzystania danych osobowych. W systemie księgowym gdzie dane wykorzystywane są dla konkretnych celów księgowych czyli czynności związanych z prawem, anonimizacja nie ma zastosowania z uwagi na prawny wymóg archiwizacji do czasu przedawnienia obowiązku podatkowego i/ lub roszczeń umownych.

Szyfrowanie danych

Szyfrowanie danych osobowych to zabezpieczenie wykorzystywane szczególnie przy czynności przesyłu danych. Poprzez szyfrowanie wszystkich danych wychodzących i wchodzących z/do aplikacji transmisja staje się bezpieczna. Protokół używany przez wfirma.pl SSL-EV jest takim wysokim zabezpieczeniem jakiego używają banki.  

Zobacz czym jest bezpieczna transmisja danych używana w systemie wfirma.pl.

Innym sposobem szyfrowania danych osobowych jest zabezpieczenie przesyłanych między firmami plików hasłem - jak bezpiecznie przesłać plik z danymi?

Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Osiąga się to dzięki:

  • szyfrowanym kanałom przepływu danych ssl ev

  • uwierzytelnieniu użytkownika - możliwość włączenia dwuetapowego logowania

  • automatycznym procedurą wylogowania - na wypadek utraty zasilania

  • zarządzaniu upoważnieniami dostępu do danych np. pomoc ekspertów serwisu wfirma.pl - eksperci nie mają dostępu do danych przechowywanych przez użytkowników serwisu, a ponadto w procesie relacji ekspert wfirma - użytkownik (przedsiębiorca) używana jest pseudoanonimizacja danych - ekspert widzi jedynie imię i numer ID (do listy ID przypisanych do konkretnych danych osobowych użytkowników upoważnienie mają jedynie pracownicy serwisu wfirma.pl, którym jest to niezbędne do realizacji zadań pracowniczych)

  • stosowaniu wysokiej klasy zabezpieczeniom infrastruktury technicznej

  • procedury związane z bezpieczeństwem serwisu wfirma.pl są monitorowane na bieżąco (system alertów), sprawdzane-testowane (w zależności od zakresu raz na kwartał lub raz na rok) i aktualizowane - dostosowywane do aktualnych wymogów prawa.   

Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Dotyczy przede wszystkim tworzenia kopii zapasowych. Przy tworzeniu kopii zapasowych zwraca się szczególną uwagę na to by miejsce przechowywania kopii zapasowych było w odmiennej lokalizacji niż serwer główny oraz na to by wprowadzone zostały procedury i czynności dotyczące sprawdzania poprawności tworzenia backupów czyli tzw. okresowe testowanie odtwarzania kopii.

Zasady tworzenia kopii zapasowych w systemie mojebiuro24.pl.

Dodatkowo wysokim standardem zabezpieczeń jest wprowadzona np. w systemie mojebiuro24.pl replikacja danych czyli proces powielania informacji pomiędzy różnymi serwerami baz danych w czasie prawie rzeczywistym (czyli minimalne opóźnienia). W razie awarii pozwala to na szybsze przełączenie i zachowanie ciągłości działania i dostępu do danych.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Zarówno serwis wfirma.pl jak i infrastruktura techniczna poddawana jest ciągłemu testowaniu i odtwarzaniu a prowadzona regularnie ocena ryzyka pozwala na ocenę skuteczności stosowanych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych.

Zobacz przykładowe środki ochrony danych osobowych w biurze rachunkowym.