Każdego dnia przez Twoją firmę przepływają tysiące informacji o klientach, pracownikach i kontrahentach. Imiona, numery PESEL, dane o zdrowiu oraz finansach… Warto mieć świadomość, jak dużą odpowiedzialnością jest ich przetwarzanie. Jeden nieopatrznie kliknięty link, źle skonfigurowana poczta lub korzystanie z hostingu bez odpowiednich zabezpieczeń – tak dochodzi do wycieku. Konsekwencje? Surowe kary finansowe, utrata zaufania, a w skrajnych przypadkach nawet koniec biznesu. Jak tego uniknąć? Zobacz, co mówią przepisy oraz praktyka!
Ochrona danych osobowych – dane wrażliwe: co mówią przepisy prawa?
Podstawowym aktem prawnym, który reguluje obszar związany z danymi wrażliwymi, jest RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych). Obowiązuje od maja 2018 roku i dotyczy każdej firmy, która gromadzi oraz przetwarza informacje o osobach fizycznych. Uzupełnia je polska Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych – dane wrażliwe są w obu tych dokumentach traktowane ze szczególną ostrożnością.
Czym są dane wrażliwe?
Dane wrażliwe to szczególna kategoria informacji, które mogą zostać wykorzystane do dyskryminacji lub wyrządzenia poważnej szkody. Mowa o informacjach dotyczących zdrowia, pochodzenia etnicznego, poglądów politycznych, orientacji seksualnej, przynależności związkowej czy przekonań religijnych. Ich przetwarzanie wymaga spełnienia dodatkowych warunków – samej zgody użytkownika często jest za mało.
Sęk w tym, że większość przedsiębiorców w ogóle nie zdaje sobie sprawy, że takie dane przepływają przez ich firmę. Tymczasem wystarczy zwolnienie lekarskie pracownika na firmowej skrzynce, informacja o diecie klienta restauracji czy adres zameldowania w dokumentach księgowych, aby pojawił się obowiązek szczególnej ochrony. Należy na niego zwrócić uwagę przy konfiguracji hostingu oraz poczty firmowej.
Ochrona danych wrażliwych – wymagania wobec hostingu
Firma hostingowa, która przechowuje dane ze strony internetowej, staje się podmiotem przetwarzającym w rozumieniu art. 28 RODO. Jednak to właściciel strony pozostaje ich administratorem i jego obowiązkiem jest podpisanie umowy powierzenia danych osobowych z dostawcą. Bez tego dokumentu cała operacja jest z punktu widzenia prawa nielegalna. Istotne są też:
- lokalizacja serwerów (najlepiej w Unii Europejskiej);
- techniczne zabezpieczenia przed włamaniami – powinny być jak najwyższe;
- czas reakcji na incydenty – im krótszy, tym lepiej.
Ochrona danych wrażliwych – wymagania wobec poczty firmowej
Skrzynka mailowa to miejsce, gdzie ochrona danych osobowych – danych wrażliwych nabiera szczególnego znaczenia. Te informacje mogą dotyczyć zarówno klientów, jak i pracowników.
Przepisy wymagają wdrożenia mechanizmów, które zapewniają poufność, integralność i dostępność korespondencji. W praktyce oznacza to konieczność szyfrowania połączeń, kontroli dostępu oraz stworzenia szczegółowych procedur na wypadek naruszenia.
Ochrona danych wrażliwych w poczcie firmowej – jak się zabezpieczyć?
Firmowa skrzynka mailowa to często najsłabsze ogniwo w całym łańcuchu bezpieczeństwa. Wystarczy udany atak phishingowy na jednego pracownika, aby cyberprzestępcy zyskali dostęp do miesięcy korespondencji – z fakturami, danymi klientów, a nierzadko również z informacjami wrażliwymi.
Co zatem powinna zapewniać bezpieczna poczta firmowa?
- Przede wszystkim protokoły uwierzytelniające SPF, DKIM i DMARC, które chronią przed podszywaniem się pod domenę. Bez nich ktokolwiek może wysłać maila „w imieniu firmy” i wyłudzić dane od klientów.
- Drugim fundamentem jest konfigurowalny firewall pocztowy – pozwala on ograniczyć dostęp do skrzynki np. według lokalizacji geograficznej, konkretnych adresów IP czy reguł zdefiniowanych przez administratora.
Do tego dochodzi uwierzytelnianie dwuskładnikowe, które sprawia, że nawet wyciek hasła nie oznacza automatycznie włamania. Nie można zapomnieć o zaawansowanych filtrach antyspamowych i antyspoofingowych, które przechwytują podejrzane wiadomości, zanim trafią do odbiorcy. Regularne kopie zapasowe – przechowywane przez co najmniej kilka miesięcy – to natomiast polisa na wypadek ataku ransomware lub przypadkowego usunięcia danych.
Czy wiesz, że... Bezpieczna Poczta Biznesowa od NQ.pl w standardzie zapewnia zaawansowane zabezpieczenia przed phishingiem i próbami włamania?
Ochrona danych osobowych a hosting – jak zabezpieczyć wrażliwe informacje?
Hosting powinien zapewniać szeroki zakres zabezpieczeń chroniących dane osobowe przechowywane na serwerach. W kontekście ustawy o ochronie danych osobowych dane wrażliwe wymagają jeszcze większej staranności niż „zwykłe” informacje osobowe.
Na co zwrócić uwagę, wybierając dostawcę hostingu? Istotne będą:
lokalizacja serwerów – najlepiej w Polsce lub innym kraju UE; to gwarantuje, że dane podlegają europejskim standardom ochrony i nie trafiają poza zasięg działania RODO;
możliwość zawarcia umowy powierzenia – bez tego dokumentu nie masz prawa przekazać dostawcy danych swoich klientów;
certyfikat SSL – szyfruje transmisję między przeglądarką użytkownika a serwerem, co jest podstawą ochrony danych wrażliwych przesyłanych przez formularze w serwisie;
Web Application Firewall (WAF) – chroni przed atakami typu SQL Injection czy XSS, które celują bezpośrednio w bazę danych;
aktualne wersje PHP – starsze generacje to „gotowe zaproszenie” dla cyberprzestępców;
kopie zapasowe – regularne, automatyczne i odpowiednio długo przechowywane;
uwierzytelnianie dwuskładnikowe przy logowaniu do panelu administracyjnego.
Nie bez znaczenia jest też sposób, w jaki dostawca reaguje na incydenty. RODO wymaga zgłoszenia naruszenia w ciągu 72 godzin.
Co zatem powinna zapewniać bezpieczna poczta firmowa?
Czy wiesz, że... wszystkie serwery NQ.pl znajdują się w Polsce, a każdy pakiet hostingowy zapewnia dostęp do zaawansowanych zabezpieczeń, w tym rozbudowane zabezpieczenia przed włamaniem i cyberatakami, np. WAF, GeoIP czy uwierzytelniane dwuskładnikowe? Zapewniamy też 3 miesiące backupów w standardzie i pomoc techniczną premium bez dodatkowych opłat.
Skontaktuj się z nami – doradzimy, jak zabezpieczyć pocztę i stronę firmową zgodnie z wymogami prawnymi. Migrację przeprowadzimy bezpłatnie.
