Notice: The insert tag "env::page_name" is deprecated. Please use "page::title" instead. in …/system/libraries/Controller.php on line 2134 
#0 [internal function]: __error(1024, 'The insert tag ...', '/home/ds2018/do...', 2134, Array)
#1 …/system/libraries/Controller.php(2134): trigger_error('The insert tag ...', 1024)
#2 …/system/modules/frontend/FrontendTemplate.php(193): Controller->replaceInsertTags('output()
#4 …/index.php(266): PageRegular->generate(Object(DB_Mysqli_Result))
#5 …/index.php(401): Index->run()
#6 {main}
Polityka bezpieczeństwa i ochrona danych osobowych - Zajęcia dla dzieci, hip-hop ortografia, mnożenie, łatwa nauka

Polityka bezpieczeństwa i ochrona danych osobowych

Dane osobowe przekazywane nam przez Ciebie są przetwarzane przez dobrestopnie.pl

Powierzone nam dane osobowe, w szczególności imię, nazwisko, adres zamieszkania, adres poczty elektronicznej, numer telefonu przetwarzane będą:
- w celu założenia konta i realizacji usługi
- jeżeli wyrazisz na to zgodę w celu przekazywania drogą elektroniczną ofert marketingowych oraz informacji handlowych przez dobrestopnie.pl

Dostęp, prawa dostępu do danych:

Bez wyjątku każdy klient ma prawo dostępu do swoich danych oraz ich poprawiania. Klient po rejestracji ma wgląd do swoich danych oraz może je zmieniać oraz wyrazić życzenie usunięcia. Powierzone nam przez Ciebie dane osobowe są przechowywane i zabezpieczone zgodnie z zasadami określonymi w obowiązujących przepisach prawa:

  • Ustawie z dnia 29.08.1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. Nr 101 z 2002 r. poz. 926, z późn. zm.)
  • Ustawie z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z poźn. zm.)
  • rozporządzeniu z dnia 29.0.04 r. Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024).

Gwarancja bezpieczeństwa

Wykorzystujemy bezpieczne mechanizmy ochrony przekazywania danych (danych osobowych i danych o karcie kredytowej). Stosowanym przez nas protokołem transmisji, zapewniającym bezpieczeństwo przesyłania danych w internecie, jest protokół SSL (Secure Socket Layer). Jest to rodzaj zabezpieczenia, polegający na kodowaniu danych przed ich wysłaniem z przeglądarki klienta i dekodowaniu po bezpiecznym dotarciu na serwer sklepu. Informacja wysyłana z serwera do klienta jest również kodowana, a po dotarciu do celu dekodowana.

SSL szyfruje, uwierzytelnia i zapewnia integralność wiadomości. W chwili nawiązania połączenia z bezpieczną (stosującą protokół SSL) stroną WWW ustalane są zestawy/klucze szyfrujące, stosowane następnie przy przekazywaniu danych między przeglądarką na komputerze klienta a serwerem sklepu. Zarówno uzgadnianie kluczy, jak i sama transmisja są trudne do złamania. Po połączeniu się z bezpieczną stroną WWW użytkownik jest o tym informowany. Z chwilą realizacji zamówienia, logowania, finalizowania transakcji kartowej - w każdym takim przypadku sklep automatycznie uruchamia zabezpieczenie SSL. Jak poznać, że jesteś w trybie połączenia bezpiecznego?

  • Internet Explorer: w prawej części paska stanu jest wyświetlana kłódka. Klikając na nią zobaczymy certyfikat autentyczności (podpis cyfrowy) strony
  • W przeglądarkach Firefox i Opera kłódka pokazuje się na pasku nawigacji. Klikając na nią możemy obejrzeć certyfikat autentyczności danej strony.
  • przeglądarka Safari, zależnie od wersji symbol kłódki lub sam adres sklepu zmieniający się na https://sklep.dobrestopnie.pl

W SSL stosuje się certyfikaty tożsamości, by sprawdzić uprawnienia serwerów i użytkowników. Certyfikaty te są wydane i podpisane cyfrowo przez jednego z wydawców certyfikatów - Certification Authorities (CA). Certyfikat RAPID SSL, kórym szyfrujemy dane klientów jest ogólnie znanym światowym standardem. Klucz jest 256-bitowy.

Wchodząc na serwer, legitymujący się certyfikatem jednego ze znanych CA, mamy pewność, że serwer rzeczywiście jest tym, za który się podaje - tożsamość serwera jest automatycznie sprawdzana i potwierdzana przy połączeniu.
Kolejnym elementem, zapewniającym bezpieczeństwo przekazanych nam informacji, jest organizacja przechowywania przez nas danych osobowych i danych o kartach kredytowych. Są one zapisane na serwerze, do którego nie można dostać się z internetu - na wydzielonym koncie, z kontrolowanym dostępem dla ograniczonej liczby osób.

Pamiętaj, aby po sesji wylogować się ze strony! W tym celu kliknij link "Wyloguj się" widoczny w prawym górnym rogu. Samo wyłączenie okna przeglądarki nie jest równoznaczne z zakończeniem dokonanej operacji.

 

 

Polityka bezpieczeństwa stosowana w dobrestopnie.pl

Dokument precyzuje zasady polityki  bezpieczeństwa w firmie dobrestopnie.pl


Definicja bezpieczeństwa.
Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie:

  • Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim).
  • Integralności informacji  (uniknięcie nieautoryzowanych zmian w danych).
  • Dostępności informacji (zapewnienie dostępu do danych, w każdym momencie żądanym przez użytkownika) 
  • Rozliczalności operacji wykonywanych na informacjach (zapewnienie przechowywania pełnej historii dostępu do danych, wraz z informacją kto taki dostęp uzyskał).

Zarząd Firmy stosuje adekwatne do sytuacji środki aby zapewnić bezpieczeństwo informacji w Firmie.
Oznaczanie danych i ADO. Administratorem Danych Osobowych w firmie jest Igor Dercz.
Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się:

  • informacje  o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne),
  • informacje finansowe Firmy,
  • informacje organizacyjne,
  • dane dostępowe do systemów IT,
  • dane osobowe, w tym dane w bazie Klienci
  • informacje stanowiące o przewadze konkurencyjnej Firmy,
  • inne informacje oznaczone jako „informacji poufne” lub „dane poufne”.

Zasada minimalnych uprawnień
W ramach nadawania uprawnień do danych przetwarzanych w systemach IT Firmy należy stosować zasadę „minimalnych uprawnień”, to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku.


Przykładowo:  pracując na komputerze PC każdy pracownik powinien posiadać tylko takie uprawnienia jakie są wymagane do realizacji swoich obowiązków (a nie na przykład uprawnienia administracyjne).
Zasada wielowarstwowych zabezpieczeń

System IT Firmy powinien być chroniony równolegle na wielu poziomach.  Zapewnia to pełniejszą oraz skuteczniejszą ochronę danych. Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. 

Zasada ograniczania dostępu
Domyślnymi uprawnieniami w systemach IT jest brak dostępu. Dopiero w przypadku zaistnienia odpowiedniej potrzeby, administrator IT przyznaje stosowne uprawnienia.  Przykładowo: domyślnie dostęp do bazy przechowującej dane klientów jest zabroniony. Stosowny dostęp zostaje przyznany osobie, której zajmowane stanowisko wiąże się z koniecznością pracy w tego typu systemie.
Dostęp do danych poufnych na stacjach roboczych. 

  • Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach.
  • Dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Lista systemów objętych tego typu działaniami dostępna jest w osobnym dokumencie.
  • Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego - FDE).
  • Dostęp do danych poufnych z zewnątrz firmy powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany).
  • Dostęp do danych poufnych poprzez firmową sieć WiFi powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN).

Zabezpieczenie stacji roboczych
Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich.
Minimalne środki ochrony to:zainstalowane na stacjach systemy typu: firewall oraz antywirus,
wdrożony system aktualizacji systemu operacyjnego oraz jego składników,
wymaganie podania hasła przed uzyskaniem dostępu do stacji,
niepozostawianie niezablokowanych stacji PC bez nadzoru,
bieżąca praca z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
Szczegółowe informacje dotyczące korzystania ze stacji roboczych można znaleźć w stosownym dokumencie.
Wykorzystanie haseł
Hasła powinny być okresowo zmieniane.
Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej).
Hasła nie powinny być łatwe do odgadnięcia, to znaczy:powinny składać się z minimum 9 znaków, w tym jeden znak specjalny
Hasła nie mogą przybierać prostych form, np. 123456789, stanislaw, dom99, haslo, Magda8, itp. 
Hasła mogą być tworzone według łączenia "losowych" (tj nie istniejących w popularnych słownikach) sylab/słów, np,: mal-tra-laza-#topa. W ten sposób można uzyskać długie hasło stosunkowo proste do zapamiętania.
Odpowiedzialność pracowników za dane poufne
Każdy pracownik odpowiada za utrzymanie w tajemnicy danych poufnych, do których dostęp został mu powierzony.

Monitoring bezpieczeństwa
W celu zapewnienia ochrony informacji Zarząd może stosować monitoring wykorzystania firmowej infrastruktury informatycznej, w szczególności obejmujący następujące elementy:

  • analiza oprogramowania wykorzystanego na stacjach roboczych,
  • analiza stacji roboczych pod względem wykorzystania nielegalnego oprogramowania / plików multimedialnych oraz innych elementów naruszających Prawo Autorskie,
  • analiza odwiedzanych stron WWW,
  • analiza godzin pracy na stanowiskach komputerowych,
  • analiza wszelakich dostępów (autoryzowanych oraz nieautoryzowanych) do systemów IT będących w posiadaniu Firmy,
  • Analiza ruchu sieciowego pod względem komunikacji, szkodliwej dla bezpieczeństwa danych Firmy.

Monitoring bezpieczeństwa musi odbywać się z zachowaniem obowiązującego prawa.
Edukacja pracowników w zakresie bezpieczeństwa
Firma dba o cykliczną edukację pracowników w zakresie bezpieczeństwa informacji. Pracownicy w zależności od zajmowanego stanowiska mogą uczestniczyć w szkoleniach z zakresu:

  • ochrony Danych Osobowych,
  • świadomości istnienia problemów bezpieczeństwa,
  • szczegółowych aspektów bezpieczeństwa.

Odpowiedzialność pracowników za dane dostępowe do systemów
Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak:

  • hasła dostępowe,
  • klucze softwareowe (pliki umożliwiające dostęp – np. certyfikaty do VPN) oraz sprzętowe,
  • inne mechanizmy umożliwiające dostęp do systemów IT.

Przykłady ochrony danych dostępowych:

  • nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim),
  •  nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach),
  • Ochrona danych dostępowych przed kradzieżą przez osoby trzecie.

Transport danych poufnych przez pracowników
Zabrania się przenoszenia niezabezpieczonych danych poufnych poza teren Firmy. W szczególności zabrania się przenoszenia danych poufnych na nośnikach elektronicznych (np.: pendrive, nośniki CD) poza teren Firmy.
Korzystanie z firmowej infrastruktury IT w celach prywatnych
Zabrania się korzystania firmowej infrastruktury IT w celach prywatnych.
Sieć lokalna (LAN).

  1. Sieć lokalna musi być odpowiednio chroniona przed nieuprawnionym dostępem, przykładowo:
  • istotne serwery muszą być odseparowowane od sieci klienckich,
  • gniazdka sieciowe dostępne publiczne muszą być nieaktywne,
  • goście nie mogą uzyskiwać dostępu do sieci LAN.

Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.
Systemy IT / serwery

  • Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone.
  • W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach.
  • Szczegółowe informacje dotyczące przyjętych metod ochrony zostały zawarte w osobnej procedurze.

  Dokumentowanie bezpieczeństwa
Firma prowadzi dokumentacje w zakresie:

  • obecnie wykorzystywanych metod zabezpieczeń systemów IT,
  • budowy sieci IT,
  • ewentualnych naruszeń bezpieczeństwa systemów IT,
  • dostępów do zbiorów danych / systemów udzielonych pracownikom.

Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.
Dane osobowe
Szczegółowe wytyczne dotyczące przetwarzania danych osobowych zawarte są w osobnym dokumencie.
Publiczne udostępnianie infrastruktury IT
Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona. Przykładowe środki bezpieczeństwa:

  • Separacja od sieci LAN (np. z wykorzystaniem strefy DMZ)
  • Wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system)
  • Wewnętrzna lub zewnętrzna weryfikacja bezpieczeństwa systemu (np. poprzez realizację testów penetracyjnych)

Kopie zapasowe.

  • Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT.
  • Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. 
  • Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych.

Dostęp do systemów IT po rozwiązaniu umowy o pracę
W przypadku rozwiązania umowy o pracę z pracownikiem, dezaktywowane są wszelakie jego dostępy w systemach IT.
Naruszenie bezpieczeństwa
Wszelakie podejrzenia naruszenia bezpieczeństwa danych w Firmie należy zgłaszać  w formie ustnej lub za pośrednictwem poczty elektronicznej do Zarządu Spółki. Każdy incydent jest odnotowywany w stosownej bazie danych, a Zarząd Firmy podejmuje stosowne kroki zaradcze.

Weryfikacja przestrzegania polityki bezpieczeństwa.
Zarząd okresowo wykonuje wewnętrzny lub zewnętrzny audyt bezpieczeństwa mający na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.