www.tres.pl - Baza wiedzy Trawers ERP - Spis treści

Bezpieczeństwo. Mechanizmy

 1. Opis ogólny

 2. Ochrona przed nieuprawnionym dostępem

     Dostęp do komputera i katalogów
     Hasła logowania 
     Hasła autoryzowania transakcji 
     Adresy IP logowania 
     System uprawnień: role i operatorzy 
     Uprawnienia do funkcji
     Uprawnienia do obiektów (filtry)
     Uprawnienia do plików grup załączników
     Blokowanie i deaktywowanie
     Monitorowanie czynności
     Zarządzanie sesjami
     Rozdzielenie uprawnień
     Defraudacje, malwersacje
     Kontrola upustów
     Cyfry i sumy kontrolne
     RefNo. Identyfikacja dokumentów transakcyjnych

 3. Rejestrowanie zmian w danych

     Kto i kiedy dopisał, kto i kiedy zmienił
     Znaczące daty
     Kronika (log) zmian w danych

 4. Diagnozowanie systemu

 5. Transakcyjność i restart

 6. Przywracanie systemu

 7. Odbudowa spójności bazy danych

 8. Obsługa błędów i pomyłek

 9. Podział zadań w procesach

     Opis ogólny
     Akceptowanie zamówień zakupu
     Akceptowanie zamówień sprzedaży
     Autoryzowanie operacji

 10. Trawers a kontrola wewnętrzna
 11. Bezpieczeństwo techniczne

 12. Ochrona danych osobowych (RODO) a Trawers
 13. Normy i standardy bezpieczeństwa informacji

      ISO 27001. System zarządzania bezpieczeństwem informacji
      CIA Triad. Confidentiality Integrity Availability

 14. Tematy powiązane

1. Opis ogólny 

 Cele metod i technik zapewniających bezpieczeństwo w programie Trawers:

  * Ochrona przed bezprawną ingerencją i przed przypadkowym lub celowym
    zniszczeniem lub zniekształceniem danych 

  * Ochrona przed nieuprawnionym dostępem, szczególnie do wrażliwych danych

  * Identyfikowanie czasu i osób wykonujących czynności (funkcje) w programie

  * Identyfikowanie czasu i osób dokonujących zmian w gromadzonych danych

  * Diagnozowanie systemu, w tym: kontrolę spójności (integralności) bazy danych
  * Odbudowa spójności bazy danych 

  * Obsługa błędów operacji wykonywanych przez operatorów i przez program 


2. Ochrona przed nieuprawnionym dostępem i bezprawną ingerencją

 2.1 Cele i metody ochrony

 Metody ochrony:

  * Przed niewłaściwym użyciem systemu komputerowego
  * Przed dostępem osób nieuprawniowych (en: Intrusion Detection)

  * Ustalenie, kto bez uprawnień używa lub próbuje używać systemu komputerowego
  * Ustalenie, kto nadużywa lub próbuje nadużywać uprawnień. Tj. ma pewne prawa
    ale próbuje je nieuprawnienie poszerzyć

 Dostęp do komputera i katalogów

    Mechanizmy systemu operacyjnego: ograniczenie dostępu do katalogów,
    prawa tylko do odczytu, kontrola dostępu z sieci, sieć VPN, itp. 

    Te zadania zwykle należą do administratora IT. Powinien mieć 
    kompetencje, wiedzę i doświadczenie w tej dziedzinie. 
    Utrzymanie instalacji IT

 2.2 Hasła

 Hasła logowania

    Hasła logowania operatorów (użytkowników) zabezpieczające przed 
    nieautoryzowanym dostępem.

    Pierwsze hasło operatora wpisuje administrator podczas dopisywania
    operatora do tabeli operatorów (użytkowników).
    Tabela operatorów

    Hasło można zmienić w funkcji: Zmiana hasła.
    Operator sam może zmienić swoje hasło, ale musi podać poprzednie.
    Administrator może zmienić hasło operatora bez podawania poprzedniego.

    W programie jest:
       [0] Prosta kontrola haseł
       [1] Rozbudowana kontrola haseł 
    Opis w mechanizmu jest w sekcji: Polityka kontroli haseł, w parametrach AD
    Parametry systemu AD

    Hasło obowiązuje przez podaną liczbę dni, np. 365
    Później operator musi zmienić hasło. 

    Błędne hasło podane 3-krotnie powoduje wylogowanie i oznaczenie,
    że operator jest [#] Nieaktywny. Konieczna jest ingerencja administratora.
    Administrator może powtórnie aktywować [ ] nieaktywnego operatora.

    Wyłączenie operatora po 3-krotnym podaniu błędnego hasła zapobiega
    uzyskaniu nieuprawnionego dostępu poprzez kolejne próby zgadywania hasła.

    Informacje o błednych hasłach zapisywane są w logu.
    Kronika operacji (log)

 Hasła autoryzowania operacji

    Autoryzacja to jest potwierdzenie, że dany operator jest uprawniony
    do wykonania operacji lub funkcji w programie.

    Operator potwierdza swoje uprawnienie przy pomocy hasła.
    Wykonane autoryzacje zapisywane są do logu (kroniki zdarzeń)
    Autoryzowanie operacji

 Hasła dostępu do skrzynki e-mail

    Login i hasło służą do weryfikacji użytkownika na serwerze poczty
    przychodzącej i wychodzącej.
    Wbudowana poczta TrEmail

 Adresy IP logowania

    Można sprawdzać prawo do logowania się z konkretnego komputera. Podaje się adresy IP,
    z których operator może się logować. Można zabronić logowania z innych adresów
    niż firmowe, np. z domu lub z kafejki internetowej. 
    Parametry pracy operatorów

 Automatyczne logowanie

    Do programu można zalogować się bez podawania danych startowych: symbol firmy,
    symbol operatora, hasło, data.

    Dane to można pobrać ze zmiennych środowiskowych:

      Nazwy zmiennych  Zawartość
      ---------------  ---------
      TR_FIRMA         - symbol firmy
      TR_OPERATOR      - symbol operatora
      TR_HASLO         - hasło operatora
      TR_DATA          - data przetwarzania
    Zmienne środowiskowe

 2.3 System uprawnień: role i operatorzy

 Role i operatorzy

    Prawa wykonywania (wywołania) funkcji użytkowej lub prawo dostępu
    do informacji zgromadzonych w bazie danych ustala się dla roli (ról)
    i operatora (operatorów).

    Role można przypisać operatorom. Jedną rolę można przypisać wielu
    operatorom. Po przypisaniu, operator uzyskuje (dziedziczy) uprawnienia
    przydzielone roli. Nie trzeba oddzielnie ustalać uprawnień operatora.

    Reguły zależności podano w opisie: Parametry roli a parametry operatora.
    Uprawnienia operatorów

    Można rozszerzyć uprawnienia operatora. Tj. do uprawnień dziedziczonych
    na podstawie roli, można dodać operatorowi uprawnienia indywidualne.

    Tabela uprawnień dla roli usprawnia administratorom proces nadawania uprawnień.
    Gdy wielu operatorów ma te same uprawnienia, to wystarczy powiązać
    ich z rolą. Także, po dodaniu nowego operatora wystarczy wskazać jego rolę.
    Nie trzeba oddzielnie nadawać uprawnień.

 Uprawnienia do funkcji

    System uprawnień użytkowników do wykonywania funkcji (procesów) w systemach:

       * funkcje wywoływane bezpośrednio z menu
       * funkcje wywoływane w zakładkach kartotek i dokumentów (F2 Menu w zakładkach)
       * funkcje wywoływane w F12 Menu wewnętrzne
       * funkcje wybierane przyciskami i klawiszami

    Podstawowe uprawnienia operatorom nadaje się do funkcji (procesów) w menu systemów.
    Oddzielnie nadaje się prawa do funkcji: Dopisywanie, Korekta, Usuwanie, Przeglądanie, Wydruk.
    Uprawnienia operatorów

    Funkcje w F12 Menu wewnętrzne i F2 Menu w zakładkach wykorzystują
    (dziedziczą) nadane uprawnienia do funkcji w systemach.
    F12 Menu wewnętrzne (kontekstowe)

    P. Czy trzeba nadawać dodatkowo uprawnienia do funkcji w zakładkach ?
    O. Nie trzeba. Operator ma uprawnienie funkcji w zakładce, gdy ma uprawienie
       do odpowiadającej jej funkcji w menu systemu.

 Uprawnienia do obiektów (filtry)

    System uprawnień do dostępu do obiektów systemowych, np. magazynów, kas,
    symboli dekretacji, do kartotek, np. tylko kontrahenci swojego oddziału
    Warunki (filtry) operatorów

    W programie Trawers obowiązuje reguła, że zwykły użytkownik
    (nie administrator) po zarejestrowaniu go w systemie, nie ma żadnych uprawnień.
    Uprawnienia trzeba nadać (en: Pessimistic security model).

 Uprawnienia w firmie wielo-oddziałowej

    Zwykle ogranicza się dostęp operatorów:
     * do informacji o dostawcach i odbiorcach innych oddziałów
     * do przeglądania cen zakupów
     * do wybranych funkcji
     * do kas i rachunków bankowych
    Bezpieczeństwo. Wielo-oddziałowość

 Uprawnienia do plików grup załączników

    W programie można nadać uprawnienia do grup załączników.
    Operator może wstawić, wyświetlić i pobrać plik załącznika tylko jeżeli ma prawa
    do grupy, do której należy załącznik.
    Dokumenty powiązane (załączniki)

 Rozdzielenie uprawnień

    Rozdzielenie funkcji wprowadzania, korekty, usuwania i zatwierdzania.
    Jeden użytkownik (operator) wykonuje jedną funkcję, np. rejestruje dokument
    a inny zatwierdza (zasada czworga oczu).
    Przetwarzanie dokumentów

 Prawo do własnych dokumentów

    Poszczególnym operatorom można dać prawo do przeglądania i korygowania
    tylko tych dokumentów sprzedaży i zakupu, które sami zarejestrowali.


                NA   ZO
               ---- ----  
    Patrz też: 0617/0510 (przegląda i poprawia własne)
               0605/0905 (zatwierdza własne)

               0619/0511 (przegląda i poprawia własnego oddziału)
               0712/0906 (zatwierdza własnego oddziału)

    Parametry operatorów 05xx 06xx 07xx ...

    Patrz też: 
    Dokumenty sprzedaży NA
    Dokumenty zakupu ZO


    NOTE: Rozliczenie własnych dokumentów operator może oglądać
    w zakładce dokumentu: F2-cd. 

 2.4 Blokowanie i deaktywowanie obiektów

 Blokowanie

    Dostęp do obiektów systemowych, np. kart magazynowych lub kontrahentów
    można ograniczyć mechanizmem uprawnień.

    Dodatkowo, poszczególne zapisy (rekordy) można blokować: Blokada [T/N]
    oraz deaktywować: Aktywny [T/N]. Np. Gdy kontrahent jest zablokowany,
    to nie można rejestrować transakcji sprzedaży i zakupu. Nie można też
    rejestrować wypłat środków pieniężnych.
    Zarządzanie bazą odbiorców

    Można też wykorzystać wskaźnik: Status w kartotece rozrachunków i zabronić
    płacenia dostawcy gdy wskaźnik jest np. [W] Wstrzymana płatność
    Rozrachunki z kontrahentami

 Obiekty prywatne

    Wielu obiektom można nadać status: Publiczne lub Prywatne

    Publiczne: dostęp mają wszyscy operatorzy
    Prywatne:  dostęp ma tylko autor (właściciel)

    Status: Publiczne lub Prywatne można nadać:

       * Notatki CRM                   Prywatna ? T/N
       * Zapytania Query               Zablokowne [*]
       * E-maile w prywatnych skrzynkach
       * RaportyPM                     Wskaźnik w param PM

 Blokowanie dostępu

    Kończenie nieaktywnych sesji (wylogowanie operatora) po okresie bezczynności.
    Blokowanie nieaktywnych sesji. Komunikat: [Blokada dostępu].
    Aby wznowić pracę (sesję), operator musi podać hasło.
    Zarządzanie sesjami

 Data transakcji zgodna z datą systemową

    Daty dokumentów (transakcji) wyznaczają okres obliczeniowy, do którego 
    należy dokument. Daty dokumentów to zwykle są daty systemowe (czasy systemowe).

    Uprawniony operator (param: 0718) może zmienić datę systemową na inną
    podczas logowania się do programu (data transakcji).
    Tzn. może wskazać inny dzień niż bieżący dzień kalendarzowy.
    Okresy obliczeniowe

 2.5 Kolejne mechanizmy ochrony

 Monitorowanie czynności

    Kronika (log) operacji wykonywanych przez użytkowników 
    Monitorowanie nieuprawnionych działań (en: Intrusion Detection)
    Kronika operacji (log)

 Zarządzanie bazą danych

    W programie są funkcje i procesy zapewniające integralność i spójność bazy danych.
    Zarządzanie bazą danych

 Ograniczenie Shadow IT

    Shadow IT (IT w cieniu), to sytuacja, gdy pracownicy firmy korzystają z dodatkowych
    programów, które nie są pod bezpośrednim nadzorem administratorów IT.
    Takie programy mogą być zródłem wycieku wrażliwych danych oraz włamań.

    Dodatkowym zagrożeniem dla pracy firmy jest sytuacja, gdy najbardziej aktualne
    dane znajdują się w zbiorach dodatkowych programów a nie w centralnej bazie danych. 
    Decyzje podejmowane przez innych użytkowników na podstawie nieaktualnych danych
    mogą być błędne.

 Maskowanie, zaciemianie

    (en: Obfuscation, de: Obfuskation, Vernebeln, Unklar machen)
    Spowodowanie, że osobom nieuprawnionym zapisy w bazie danych będą niewidoczne 
    lub trudne do zrozumienia.
    Typowe zastosowania mechanizmu: zaciemnienie danych osobowych (en: Personal Data),
    zaciemnianie istotnych danych finansowych, danych konstrukcyjnych, patentów.

    W programie Trawers:
      * Param operatora 0611 [1] Nie zobaczy cen zakupu
      * Param operatora 0635 [1] Nie zobaczy dostawcy towaru

 Defraudacje, malwersacje

    Ochrona przez przywłaszczaniem powierzonych pieniędzy lub majątku.

    Faktury sprzedaży można wydrukować tylko po zatwierdzeniu.
    Eliminuje możliwość zmiany faktury już po wydrukowaniu.
    Np. operator wystawia fakturę, drukuje, pobiera pieniądze lub towar
    i usuwa fakturę lub zmienia (zmniejsza) kwoty na fakturze.

    Oznaczyć parametry:
    0231 [1] Operatorzy (wszyscy) wydrukują tylko zatwierdzone
    0507 [1] Wskazany operator wydrukuje tylko zatwierdzone
    Trawers. Parametry

 Kontrola upustów

  * Tabele sterujące, kontrolujące poziom udzielanych upustów
    Upusty od cen sprzedaży

 Cyfry i sumy kontrolne

  * System cyfr kontrolnych zapewniający integralność najważniejszych
    obiektów systemowych, np. EAN13, NIP, VIN.

  * Sumy kontrolne, np. JPK: SumaKwotOperacji, Polecenia księgowania: Sumy Wn i Ma.

 RefNo. Identyfikacja dokumentów transakcyjnych

  * Numery referencyjne RefNo, to są numery jednoznacznie identyfikujące
    dokumenty w bazie danych programu Trawers ERP.

    Po zapisaniu dokumentu, numery RefNo nie mogą być edytowane (zmieniane).
    Program zapewnia integralność danych i możliwość śledzenia transakcji.
    RefNo. Numery referencyjne dokumentów

3. Rejestrowanie zmian w danych

  (en: Audit ChangeLog, AuditTrail)

   * Rejestrowanie: kto i kiedy dopisał, kto i kiedy zmienił

     AddProc AddDate AddDatD AddTime AddUser AddSyst ModTime <-- dopisanie

     ChgProc ChgDate ChgDatD ChgTime ChgUser ChgSyst ModTime <-- zmiany 

   * ModTime

   * Znaczące daty

   * Kronika (log) zmian w danych

   * Statystyki baz danych

 Patrz szczegóły:
 ChangeLog. Kronika zmian w danych

 Patrz też:
 Formaty, daty, czasu, liczb

4. Diagnozowanie systemu

  * Kontrola spójności (integralności) bazy danych w funkcji weryfikacji
    Diagnozowanie i usuwanie problemów

  * Kontrola spójności danych transakcyjnych. Np. zgodności nagłówków
    i pozycji w funkcji: Tworzenie próbne poleceń księgowania

  * Kontrola zgodności zapisów w księgach pomocniczych i księdze głównej
    Księga główna i księgi pomocnicze

  * Zestawienia kontrolne, np. porównanie cen w cennikach sprzedaży, 
    zestawienie: polityka marż i upustów 
    Zestawienia kontrolne

  * Audyt spójności systemu uprawnień tj. czy nie ma luk, nieoczekiwanych 
    uprawnień dla osób o roli, która normalnie nie powinna dawać takich praw
    Diagnozowanie i usuwanie problemów

  * Diagnozowanie bezpieczeństwa (en: Security Auditing)

    Na podstawie zapisów w kronice operacji (logu) można ustalić:

    - Które wydanie programu zostało uruchomione (DataExe)
    - Kto logował się do programu: logowania udane, logowania nieudane
    - Kto wylogowywał się z programu: w normalnym trybie, automatyczne zamykanie sesji
    - Które funkcje wykonywali operatorzy
    - Które dane zmieniano w kartotekach
    - Kto zmieniał hasła
    - Kto usuwał rekordy z kartotek
    - Kto aktualizował zbiory danych
    Kronika operacji (log)

5. Transakcyjność i restart

 Spójność bazy danych

 Program zapewnia zachowanie spójności bazy danych (en: Data integrity).
 poprzez mechanizm transakcyjności. W skrócie, polega on na zapewnieniu,
 że proces sekwencyjnej aktualizacji wielu zbiorów danych (tabel) zostanie
 poprawnie zakończony.

 Restart i dokończenie transakcji

 Jeżeli, z jakichś powodów, proces zostanie przerwany i transakcja nie zostanie
 dokończona, to procedura restartu zapewni dokończenie transakcji.

 Patrz szczegóły:
 Baza danych. Transakcyjność i restart

6. Przywracanie systemu

 Przywracanie systemu (en: System restore, de: Systemwiederherstellung)
 to funkcja programu (stosowana m.in. w systemach operacyjnych Windows),
 która pozwala przywrócić system (zbiory danych i pliki pomocnicze)
 do stanu jaki był w konkretnym momencie w przeszłości, w tzw. punkcie przywracania.

 W programie Trawers są funkcje:

   * Tworzenie punktu przywracania (snapshot)

   * Odtwarzanie do stanu z punktu przywracania (odtwarzanie z snapshot)
 Zarządzanie bazą danych

7. Odbudowa spójności bazy danych 

 Kontrole spójności bazy danych, tzn. zgodności zapisów w zbiorach powiązanych
 odbywają się w funkcji: Weryfikacja.

 Weryfikacja może przebiegać w dwóch trybach: 

  Diagnozowanie

     Weryfikacja globalna (diagnozuje wszystkie systemy) znajduje się
     w AD > Trawers > Globalna gospodarka zbiorami [AD_PGZ87]
     Zarządzanie bazą danych

     Dodatkowo, funkcje weryfikacji znajdują się w poszczególnych systemach
     Weryfikacja spójności danych

  Diagnozowanie i poprawianie

     Weryfikacje z automatycznym poprawieniem znajdują się w poszczególnych
     systemach. Weryfikacja globalna tylko diagnozuje. Nie poprawia danych.

     Poprawienie polega na doprowadzaniu do zgodności zapisów w kartotekach
     na podstawie zapisów w zbiorach danych transakcyjnych.
     Np. powtórne obliczenie kwot w kartotece rozrachunków wg faktur.

     Reguła: jako prawidłowe program przyjmuje zapisy w dokumentach.
     Zapisy w kartotekach przyjmuje się jako wtórne i trzeba je doprowadzić
     do zgodności z dokumentami.
     Diagnozowanie i usuwanie problemów

8. Obsługa błędów i pomyłek

  * Błędy operacji wykonywanych przez operatorów: kontrole wartości, 
    słowniki i tabele ograniczające dowolność rejestrowanych danych, 
    kontrola kolejności zamykania okresów, itp. 

  * Błędy w kodzie programu: samo-detekcja, np. dzielenie przez zero,
    plik: trerror.log zawierający szczegóły techniczne problemu   
    i informacje o środowisku, w którym wystąpił 
    Trawers. Zgłoszenie problemu

  * Raportowanie problemów w kronice operacji, tj. w pliku log
    np. znaki [err:] poprzedzają komunikaty o wykrytych problemach
    Kronika operacji (log)

9. Podział zadań w procesach

 Opis ogólny

 Podział zadań polega na rozdzieleniu, na kilka osób, kolejnych czynności
 wykonywanych w realizowanym procesie.
 (en: SOD Segregation of duties, de: Funktionstrennung)

 Jeden użytkownik (operator) wykonuje jedną funkcję, np. rejestruje dokument
 a inny zatwierdza (zasada czworga oczu).
 Przykładem spoza informatyki jest parafka prawnika na umowach z kontrahentami. 

 Akceptowanie zamówień zakupu

 Akceptowanie zamówienia zakupu, tj. wyrażenie zgody przez upoważnioną osobę
 na wysłanie zamówienia do dostawcy.

 Typowe sytuacje:
 * Zamówienie zakupu na kwotę poniżej 5 tyś, może akceptować referent działu zaopatrzenia
 * Zamówienie na kwotę powyżej 5 tyś, musi akceptować kierownik działu.
   Cykl przetwarzania zamówień zakupu

 Akceptowanie zamówień sprzedaży

 Akceptowanie zamówienia sprzedaży to jest proces uzgodniania możliwości
 realizacji zamówienia wewnątrz firmy.
 Można sprawdzać:
   * czy transakcja zapewnia oczekiwaną marże
   * czy w magazynie jest wystarczająca ilość asortymentu
   * czy odbiorca nie przekroczy limitu kredytowego
   Cykl przetwarzania zamówień sprzedaży

 Autoryzowanie operacji

 Autoryzacja to jest potwierdzenie, że dany operator jest uprawniony
 do wykonania operacji lub funkcji w programie.

 Np. autoryzacja jest wymagana, aby zakończyć rejestrację paragonu bez zapłaty.
 Operator potwierdza swoje uprawnienie przy pomocy hasła.

 Patrz szczegóły:
 Autoryzowanie operacji

10. Trawers a kontrola wewnętrzna

 Kontrola wewnętrzna

 Kontrola wewnętrzna spełnia ważną rolę w zapobieganiu i wykrywaniu nadużyć
 oraz w ochronie zasobów materialnych i niematerialnych przedsiębiorstwa.
 Program Trawers wspomaga kontrolę wewnętrzną.

  * W obszarze bezpieczeństwa danych, poprzez mechanizmy bezpieczeństwa

  * W obszarze prowidłowości wprowadzanych danych, poprzez rozdzielenie
    funkcji wprowadzania, korekty, usuwania i zatwierdzania

  * W obszarze zgodności zapisów zródłowych i zapisów w księgach, 
    poprzez właściwą organizację ksiąg rachunkowych

  * W obszarze nadzoru nad spójnością danych, poprzez logi, raporty,
    zestawienia kontrolne, alarmy, powiadomienia

  * W obszarze nadzoru nad prawidłowością procesów, poprzez kontrolę
    stanów alarmowych i wartości krytycznych, np. limitów kredytowych
    i minimalnych marży

  * W obszarze wczesnego ostrzegania poprzez ustanawianie tzw. czerwonych
    flag (en: Red Flag Rule). Czerwona flaga, to jest wskaźnik,
    że zaobserwowano niepokojące zjawiska. Pojawienie się wskaźnika
    nie dowodzi nieprawidłowości, np. oszustwa lub nieuprawnionych działań
    w programie. Jest jednak sygnałem aby przyjrzeć się operacjom.

 KPI. Miary, wskaźniki efektywności

 Funkcje (zadania) kontrolne mają także wskaźniki KPI.

 KPI Kluczowe wskaźniki efektywności
 (en: Key Performance Indicators, de: Leistungskennzahl)

 Finansowe i niefinansowe mierzalne wskaźniki, które pozwalają ocenić
 w jakim stopniu przedsiębiorstwo realizuje swoje zadania gospodarcze
 operacyjne i strategiczne. Mierniki oceny sukcesu organizacji.

 Patrz szczegóły:
 KPI. Miary, wskaźniki efektywności

11. Bezpieczeństwo techniczne

 Za bezpieczeństwo techniczne odpowiada administrator IT
 Utrzymanie instalacji IT

 Kilka porad podanych jest w opisie wymagań technicznych, np. zapewnienie
 że użytkownik programu Trawers nie będzie miał bezpośredniego dostępu
 do plików zgromadzonych na serwerze: Automatyczne logowanie do Trawersa
 Linux i Windows Wymagania techniczne

12. Ochrona danych osobowych (RODO)

 Konieczność ochrony danych osobowych (en: Personally Identifiable Information PII)
 przed nieuprawnionym dostępem i kradzieżą rośnie w miarę rozwoju środków i metod
 masowego gromadzenia danych.

 Instytucje UE opracowały RODO Rozporządzenie o Ochronie Danych Osobowych.
 (en: GDPR General Data Protection Regulation) #RODO

 Dotyczy wszystkich firm, które gromadzą i wykorzystują dane dotyczące
 osób fizycznych, np. firmy ubezpieczeniowe i instytucje finansowe
 ale także sklepy internetowe i salony kosmetyczne.

 RODO nie zawiera żadnych konkretnych wytycznych i wskazówek jak zabezpieczać
 dane osobowe. Każdy przedsiębiorca powinien utworzyć własne rozwiązania
 przestrzegając zasad RODO. 

 Obowiązki ochrony danych a program Trawers

 Jakich zasad RODO powinien przestrzegać przedsiębiorca (Administrator Danych Osobowych)
 i jakie właściwości programu Trawers mogą mu w tym pomóc ?

 * Zasada rzetelności i prawidłowości
   Zapewnić, że zgromadzone dane osobowe są poprawne i aktualne i ich przetwarzanie
   przebiega bez zakłóceń. Tj. wdrożyć środki techniczne i organizacyjne,
   które umożliwiają korektę danych i usunięcie danych nieprawidłowych.
   --> Trawers: Możliwość dopisywania, korygowania i usuwania zapisów w kartotekach.

 * Zasady integralności i poufności 
   Zapewnienie, że dane nie zostały zmodyfikowane, usunięte, dodane lub zniszczone
   w sposób nieautoryzowany.
   --> Trawers: Ochrona przed nieuprawnionym dostępem i bezprawną ingerencją.

 * Zasada rozliczalności
   Administrator jest w stanie wykazać, ze metody sa zgodne z RODO i są skuteczne.
   --> Trawers: Diagnozowanie, rejestrowanie zmian w danych, odbudowa spójności bazy danych, logi.

 * Zasada: privacy by design i privacy by default
   Administrator uwzględnia wymagania RODO już podczas projektowania sposobu
   przetwarzania danych osobowych jak i w czasie samego przetwarzania.
   --> Trawers: Mechanizmy bezpieczeństwa zastosowane w programie i opisane w dokumentacji.

 * Uprawnienia osób fizycznych

   [ ] Prawo dostępu do danych i prawo do ich sprostowania i uzupełnienia.
       --> Trawers: Zestawienia, raporty - przeglądanie, drukowanie, wysyłanie e-mailem
                    Wyszukiwanie, czy i gdzie występują dane osobowe zainteresowanej osoby
   [ ] Prawo do informacji o zasadach i metodach przetwarzania danych osobowych
       ich dotyczących
       --> Trawers: Informacje o mechanizmach technicznych i technologicznych programu
   [ ] Prawo do przeniesienia danych do innego administratora
       --> Trawers: Możliwość wysyłania danych (exportu) w standardowych formatach
   [ ] Prawo do bycia zapomnianym, tj. prawo żądania usunięcia danych przez administratora
       --> Trawers: Wyszukiwanie, czy i gdzie występują dane osobowe zainteresowanej osoby
                    Możliwość usuwania zapisów i dokumentowanie wykonanych procesów

 Certyfikacja rozwiązań RODO

 W rozporządzeniu UE dot. RODO jest zachęta (wg preambuły):
   [do ustanowienia mechanizmów certyfikacji oraz do wprowadzenia znaków jakości
   i oznaczeń w dziedzinie ochrony danych, pozwalając w ten sposób osobom,
   których dane dotyczą, szybko ocenić stopień ochrony danych, której podlegają
   stosowne produkty i usługi.]

 Obecnie w Polsce nie ustalono reguł certyfikacji ani nie wskazano
 podmiotów akredytowanych do przeprowadzania procesów certyfikacji.
 Planuje się je wprowadzić w przyszłości.

 Art. 42 ust. 5 RODO stanowi, że certyfikacja odbywa się na podstawie
 kryteriów certyfikacji, które powinien zatwierdzić właściwy organ nadzorczy
 (w przypadku polskich podmiotów jest to Prezes Urzędu Ochrony Danych Osobowych (UODO)
 lub Europejska Rada Ochrony Danych (EROD).
    https://uodo.gov.pl/
    https://edpb.europa.eu/

 Tres jako Administrator Danych Osobowych


13. Normy i standardy bezpieczeństwa informacji

 ISO 27001

 * ISO/IEC 27001 Norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji

   Standard ISO 27001. System zarządzania bezpieczeństwem informacji, który obejmuje m.in.

   - procedury dotyczące zarządzania ciągłością działania systemów
   - zarządzanie incydentami związanymi z bezpieczeństwem informacji
   - zachowanie poufność informacji
   - zarządzanie zagrożeniami bezpieczeństwa danych zgodnie z wytycznymi
     polityki bezpieczeństwa informacji

 * PN-ISO/IEC 27001 System zarządzania bezpieczeństwem informacji
   W Polsce Urząd Dozoru Technicznego (UDT) opublikował:
      Program certyfikacji systemów zarządzania bezpieczeństwem informacji
      zgodnych z normą PN-ISO/IEC 27001

 * ISO 27001 opisuje bezpieczenstwo informacji w 11 obszarach: 

      Polityka bezpieczeństwa
      Organizacja bezpieczeństwa informacji
      Zarządzanie aktywami
      Bezpieczeństwo zasobów ludzkich
      Bezpieczeństwo fizyczne i środowiskowe
      Zarządzanie systemami i sieciami
      Kontrola dostępu
      Zarządzanie ciągłością działania
      Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
      Zarządzanie incydentami związanymi z bezpieczeństwem informacji
      Zgodność z wymaganiami prawnymi i własnymi standardami

 CIA Triad. Confidentiality Integrity Availability

 CIA Triad  (pl: Triada bezpieczeństwa informacji CIA)

 Kluczowe elementy bezpieczeństwa danych wg normy ISO 27001.
 Na bezpieczeństwo informacji składają się trzy elementy:

   * poufność     (en: Confidentiality)
   * integralność (en: Integrity) 
   * dostępność   (en: Availability)

 Confidentiality
 Confidentiality or privacy refers to measures taken to guarantee that data,
 particularly sensitive data, is protected from unauthorized access.
 Data encryption is another common method of ensuring confidentiality.
 User IDs and passwords constitute a standard procedure.

 Integrity
 Integrity pertains to safeguarding the accuracy of data as it moves
 through the workflows. Protection from unauthorized deletion or modification,
 but also should contain measures to quickly reverse the damage.

 Data might include checksums, even cryptographic checksums, for verification of integrity.
 Backups or redundancies must be available to restore the affected data to its correct state.

 Availability
 Availability means providing seamless, uninterrupted access to users
 Fast and adaptive disaster recovery (DR) is essential for the worst-case scenarios.

14. Tematy powiązane
  Bezpieczeństwo danych. Pytania
  Uprawnienia operatorów
  Zadania administratora (en: Key User)
  Utrzymanie instalacji IT

  Zarządzanie bazą danych
  Weryfikacja spójności danych
  Tabela operatorów

  Zestawienia kontrolne

  Tabela operatorów
  Preferencje operatorów

  Parametry pracy operatorów
  Param operat 05xx 06xx 07xx 11xx
  Trawers. System parametrów
  Parametry AD. Administracja

  Kronika operacji (log)
  Raporty i analizy

  Księga główna i księgi pomocnicze
  Tres jako Administrator Danych Osobowych
  Trawers. Zgłoszenie problemu

  Bezpieczeństwo. Wielo-oddziałowość
  Zmienne środowiskowe

 Słowa kluczowe
 #Admin-Bezpieczeństwo
 #Admin-Zadania
 #Admin-OpiekunTrawersERP
 #Raporty-ErrorLog



www.tres.pl - Baza wiedzy Trawers ERP - Spis treści

Polityka prywatności Ustawienia Cookies