Polityka bezpieczeństwa danych serwisu PL

Pierwszy cel polityki to zapewnienie poufności, integralności i dostępności danych użytkowników serwisu PL oraz pełna zgodność z RODO i przepisami krajowymi. Dokument określa obowiązki Administratora danych, zadania Inspektora Ochrony Danych oraz odpowiedzialność zespołów IT wobec wymogów prawnych i operacyjnych.

Zgodność z RODO i krajowymi regulacjami oraz role odpowiedzialne

RODO obowiązuje od 25 maja 2018 roku. W Polsce nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych. Maksymalne kary finansowe sięgają 20 milionów euro lub 4 procent rocznego obrotu globalnego. Administrator danych musi dokumentować podstawy przetwarzania, prowadzić rejestr czynności oraz przeprowadzać ocenę skutków dla ochrony danych osobowych tam, gdzie przepisy tego wymagają. Obowiązki personalne obejmują wyznaczenie Inspektora Ochrony Danych kiedy skala przetwarzania tego wymaga. Zespoły IT odpowiadają za wdrożenie technicznych środków ochrony oraz wsparcie procedur audytowych.

Klasyfikacja danych, zasady minimalizacji oraz retencja

Dane są klasyfikowane według poziomu wrażliwości i wpływu na prawa osób, co determinuje środki ochronne i okresy przetwarzania. Zasada minimalizacji oznacza ograniczanie zakresu i czasu przetwarzania do niezbędnego minimum oraz dokumentowanie podstaw prawnych zgody lub innej podstawy przetwarzania. Procedury usuwania obejmują bezpieczne kasowanie i rejestrowanie operacji.

Poziom	Przykłady danych	Okres przechowywania	Podstawa prawna
Wysoki	dane wrażliwe, numery PESEL, dane medyczne	6 miesięcy do 5 lat, wg przepisów	zgoda, art. 9 RODO, obowiązki ustawowe
Średni	dane identyfikacyjne, adresy, historia transakcji	2 do 5 lat w zależności od celu	umowa, prawnie uzasadniony interes
Niski	dane techniczne, logi anonimizowane	30 do 90 dni	cel administracyjny, minimalizacja

Powyższe poziomy są przykładowymi wytycznymi. Okresy przechowywania muszą być dostosowane do obowiązków prawnych takich jak przepisy podatkowe i archiwalne. Procesy retencji uwzględniają pseudonimizację i anonimizację przed dalszym przechowywaniem analitycznym.

Zarządzanie dostępem, uwierzytelnianie i autoryzacja

Uprawnienia przydzielane są według zasady najmniejszych uprawnień i separacji obowiązków. Role są dokumentowane i okresowo weryfikowane. Uwierzytelnianie bazuje na silnych hasłach, wieloskładnikowym uwierzytelnianiu MFA oraz polityce rotacji haseł. Logika sesji obejmuje wygasanie po określonym czasie i kontrolę równoczesnych logowań. Autoryzacja realizowana jest przez role i listy kontroli dostępu ACL z audytem modyfikacji uprawnień.

Szyfrowanie, zarządzanie kluczami i bezpieczeństwo aplikacji

Dane w tranzycie chronione są protokołami TLS 1.2 lub wyższymi. Dane w spoczynku szyfrowane są przy użyciu algorytmów zatwierdzonych przez branżę. Klucze kryptograficzne przechowywane są w modułach HSM lub w zarządzanych systemach KMS z rotacją i audytem dostępu. Ochrona aplikacji webowych opiera się na wytycznych OWASP, walidacji wejść, ograniczeniu powierzchni ataku oraz zabezpieczeniu przed injection i CSRF. Cykl życia oprogramowania integruje praktyki DevSecOps z testami statycznymi i dynamicznymi, integracją bezpieczeństwa już w fazie planowania.

Testy, aktualizacje i interfejsy zewnętrzne

Regularne testy penetracyjne i automatyczne skanowanie podatności odbywają się co najmniej raz na kwartał lub po dużych zmianach. Aktualizacje systemów i aplikacji podlegają procedurom zatwierdzania, testowania regresji i pilnego łatania krytycznych luk. Interfejsy API zabezpieczone są przez autoryzację tokenami, limitowanie liczby żądań i analiza parametrów wejściowych. Integracje zewnętrzne są weryfikowane pod kątem bezpieczeństwa, podpisywane umowami i monitorowane.

Ochrona sieci, monitoring i reagowanie na incydenty

Ochrona przed atakami sieciowymi i DDoS realizowana jest przez redundancję ruchu, rozwiązania anty DDoS i zapory aplikacyjne. Segmentacja sieci ogranicza ruch między strefami produkcyjnymi i testowymi. Monitoring działa w oparciu o systemy SIEM z korelacją zdarzeń, retencją logów i alertami krytycznymi. Procedury reagowania opisują ścieżki eskalacji, obowiązki notyfikacyjne i harmonogram działań. Zgodnie z RODO naruszenia danych wymagają zgłoszenia do organu nadzorczego w ciągu 72 godzin gdy istnieje ryzyko dla praw osób. Scenariusze naruszeń są odwzorowane w gotowych playbookach z krokami od izolacji do komunikacji z użytkownikami.

Kopie zapasowe, ciągłość działania i relacje z dostawcami

Strategia tworzenia kopii obejmuje wersjonowanie, szyfrowanie i regularne testy przywracania. Plan ciągłości działania obejmuje identyfikację krytycznych usług, RTO i RPO oraz ćwiczenia odtwarzania co najmniej raz w roku. Zarządzanie dostawcami wymusza audyty bezpieczeństwa, klauzule umowne o przetwarzaniu danych oraz stosowanie standardów takich jak standardowe klauzule ochrony danych przy transferach poza UE. Transfery międzynarodowe opierają się na decyzjach o adekwatności lub mechanizmach prawnych dostępnych w danym momencie.

Szkolenia, inspekcje i pomiar bezpieczeństwa

Program szkoleń obejmuje obowiązkowe szkolenia z ochrony danych dla wszystkich pracowników, specjalistyczne kursy dla zespołów technicznych oraz testy świadomości. Kontrole fizycznego dostępu do centrów danych i biur są prowadzone z rejestracją wejść i systemami kontroli. Monitorowanie wycieków danych odbywa się przez DLP i analizę anomalii ruchu. Metryki bezpieczeństwa i KPI obejmują czas wykrycia i reakcję na incydent, liczbę podatności krytycznych oraz wyniki audytów. Regularne audyty wewnętrzne i zewnętrzne potwierdzają zgodność z normami i ułatwiają planowanie budżetu oraz inwestycji w bezpieczeństwo.