Bezpieczeństwo danych osobowych w aplikacjach internetowych

Rozwój technologii sprawia, że coraz więcej danych jest przechowywanych na serwerach zewnętrznych (w tak zwanych Data Center). Część tych danych obejmuje tak zwane dane wrażliwe klientów lub pracowników. Ich przetwarzanie jest w Polsce obwarowane przepisami prawa (w tym ustawą ustawa z dnia 29 sierpnia 1997 r. O ochronie danych osobowych oraz ustawą O świadczeniu usług drogą elektroniczną z 18 lipca 2002 r). Najbardziej oczywistym przykładem są serwisy społecznościowe, które przechowują olbrzymie zbiory danych osobowych. W ich przypadku mają zastosowanie dwa ważne wyłączenia odpowiedzialności:

• w wypadku osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
• dostawca usługi nie ponosi odpowiedzialności jeśli nie wie nie wie o bezprawnym charakterze danych lub związanej z nimi działalności.

Czyli w praktyce wystarczy zapewnić zabezpieczenie przed włamaniami i zobowiązać użytkowników do dbania o bezpieczeństwo poprzez stosowne regulaminy. Takie stanowisko zajął GIODO w swej decyzji z 27 maja 2008 roku. GIODO (Główny Inspektorat Ochrony Danych Osobowych) w sprawie danych umieszczanych w serwisie Nasza-Klasa.

Zupełnie inaczej przedstawia się sytuacja w przypadku aplikacji internetowych (RIA), w których przechowuje się dane osób fizycznych (na przykład sklepy internetowe). Tu bez wątpienia właściciel systemu jest administratorem danych osobowych, a co za tym idzie - ma obowiązek zgłoszenia zbioru do GIODO, pozyskania zgody klienta na przetwarzanie danych osobowych i zapewnienia odpowiedniego poziomu ochrony (zob [2]).

Szczególny problem powstaje, gdy bazy systemu są przechowywane na serwerach wynajmowanych w hostingu. Dostawcy takich usług rzadko troszczą się o dostateczną ochronę danych, przyjmując milcząco, że na przykład robienie kopii bezpieczeństwa jest uprawnionym przetwarzaniem danych z upoważnienia administratora danych osobowych.

Wymóg odpowiedniego zabezpieczenia zbiorów zawierających dane osobowe można spełnić, korzystając z usług firm hostingowych i administratorów serwerów, które spełniają standardy ochrony danych. W takim przypadku umowa świadczenia usług hostingowych powinna zostać zawarta na piśmie oraz musi zawierać zapis o powierzeniu przetwarzania danych w określonym celu i zakresie. Poniższe dane pochodzą z przykładowej oferty obejmującej hosting danych osobowych na serwerach VPS [3].  Firma świadczy usługi hostingowe na serwerach kolokowanych w Polsce w Centrum Danych ATM - lidera na rynku rozwiązań telekomunikacyjnych. ATM otrzymał certyfikat wydany przez BSI (British Standards Institution), poświadczający, że usługi kolokacyjne świadczone w głównej siedzibie są zgodne z Deklaracją Stosowania SoA, wydanie 3, zaś firma działa w oparciu o System Zarządzania Bezpieczeństwem Informacji zgodny z wymaganiami ISO/IEC 27001:2005.

Zabezpieczenia Centrum Danych jakie są oferowane w ramach takiej usługi:

• Dostęp do pomieszczeń w których umieszczone są serwery objęty jest systemem kontroli dostępu na karty zbliżeniowe
• Pomieszczenia z serwerami są całodobowo nadzorowane przez system kamer przemysłowych
• Centrum danych całodobowo nadzoruje służba ochrony, która ma 24-godzinne wsparcie mobilnych uzbrojonych patroli interwencyjnych w przypadku wszelkich alarmów napadowych
• Pomieszczenia wyposażone są w drzwi o odporności ogniowej 60 minut
• Pomieszczenia wyposażone są w system sygnalizacji pożaru oraz gaśnice z CO2
• Okna zabezpieczone są roletami antywłamaniowymi i znajdują się pod stałym nadzorem magnetycznych czujek otwarcia oraz telewizji przemysłowej. Sygnały przesyłane są bezpośrednio służbie ochrony.
• Pomieszczenie chronione jest systemem antywłamaniowym.
• Serwery chronione są przed skutkami awarii zasilania poprzez zdublowane łącza energetyczne i agregat prądotwórczy.

Oczywiście taka usługa kosztuje nieco drożej niż zwykły hosting. Warto jednak wziąć pod uwagę fakt, że dzięki temu nie tylko zapewniamy zgodność naszych działań z przepisami prawa, ale podnosimy poziom oferowanych usług i ich bezpieczeństwo.

Literatura:

1. http://www.e-ochronadanych.pl/index.php?art=1347
2. http://www.prekursor.com.pl/Sklep-internetowy-a-rejestracja-w-GIODO.pdf
3. http://www.megiteam.pl/hosting-danych-osobowych