Na podstawie przepisów Ustawy z 1 sierpnia 1997 o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określa się niniejszą Politykę Bezpieczeństwa danych osobowych przetwarzanych w związku z prowadzeniem strony internetowej myfinance24.com.pl
Administratorem Bezpieczeństwa Informacji jest:
MF24 Sp. z o. o. Al. jerozolimskich 89/43, 02-001 Warszawa KRS: 0000692744.
Wykaz lokalizacji w których przetwarzane są dane osobowe oraz zastosowane zabezpieczenia
-
Dane osobowe przetwarzane są za pośrednictwem systemu informatycznego w architekturze rozproszonej, przy użyciu serwera znajdującego się w siedzibie firmy zenbox sp. z o.o.ul. Dąbrowskiego 7, 42-200 Częstochowa KRS: 0000414281 oraz, na podstawie umowy, serwerów znajdujących się w profesjonalnym centrum przetwarzania danych należącym do zenbox sp. z o.o.ul. Dąbrowskiego 7, 42-200 Częstochowa KRS: 0000414281.
-
Zastosowano środki ochrony fizycznej danych osobowych wdrożone przez firmę zenbox.
-
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania.
- Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Fakt uzyskania dostępu do danych odkładany jest w logach systemowych
- Zastosowano systemowe środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
- Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
- Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity.
- Użyto system Firewall do ochrony dostępu do sieci komputerowej.
Struktura zbiorów danych osobowych
W ramach systemu informatycznego przetwarzane są dwa zbiory danych osobowych:
-
Zbiór podstawowy myfinance24.com.pl zawierający:
- Numer porządkowy
- Adres -email
- Imię i nazwisko
- Nr telefonu
- Datę rozpoczęcia przetwarzania danych
- Flagę wyrażenia zgody na przetwarzanie danych
- Flagę wyrażenia zgody na cele marketingowe
-
Dane obydwu zbiorów przechowywane są w tabelach bazy danych MySQL, zainstalowanej na zaszyfrowanej partycji serwera wirtualnego. Dostęp do zbioru danych ma wyłącznie administrator danych osobowych oraz osoby przez niego pisemnie upoważnione.
-
Kopia danych osobowych tworzona jest w postaci pliku arkusza kalkulacyjnego Excel (.xls lub .xlsx), a następnie drukowana. Po wydrukowaniu plik zawierający kopię danych osobowych zostaje trwale usunięty z nośnika elektronicznego.
- Umożliwienia świadczenia usługi drogą elektroniczną
- Realizacji umów zawartych w ramach umowy sprzedaży
- Obsługi zgłoszeń, które do nas kierujesz (np. przez formularz kontaktowy, newsletter, czat);
- Kontaktowania się z Tobą, w tym w celach związanych ze świadczeniem usług.
- Przepisy prawa wymagają od nas przetwarzania Twoich danych dla celów podatkowych i rachunkowych.
- Twoje dane osobowe mogą zostać przekazane firmie kurierskiej/spedycyjnej w minimalnej wymaganej ilości do celów realizacji zamówienia (Imię, Nazwisko, Nazwa firmy, ulica, numer porządkowy budynku, kod pocztowy, miasto, numer telefonu)
- Dane użytkownika są przetwarzane przez Administratora do 6 lat
- Użytkownik w dowolnej chwili może rezygnować z usług, do których wymagana jest jego zgoda, potwierdzana za pomocą tzw. check boxów (np. newsletter)
Zadania administratora bezpieczeństwa informacji
Administrator Bezpieczeństwa Informacji:
-
Prowadzi ewidencję osób upoważnionych do dostępu do zbioru danych osobowych
-
Kontroluje prawidłowość przetwarzania danych osobowych
-
Podejmuje odpowiednie działania w przypadku stwierdzenia naruszeń zabezpieczeń
-
Podejmuje odpowiednie kroki w celu zapewnienia ciągłości działania systemów zabezpieczających dane osobowe.
Procedura w przypadku podejrzenia naruszenia zabezpieczeń zbioru danych osobowych
-
Każdy, kto stwierdzi fakt nasuwający podejrzenie wystąpienia możliwości naruszenia bezpieczeństwa informacji zobowiązany jest do niezwłocznego powiadomienia Administratora Bezpieczeństwa Informacji
-
Do czasu przybycia Administratora Bezpieczeństwa Informacji należy:
- Niezwłocznie podjąć działanie w celu powstrzymania skutków naruszenia bezpieczeństwa
- Ustalić przyczynę naruszenia bezpieczeństwa
- Podjąć niezbędne działania w celu udokumentowania przypadku wystąpienia incydentu
- Nie opuszczać miejsca zdarzenia do czasu przybycia Administratora Bezpieczeństwa Informacji
- Wyjaśnienia incydentu
- Ograniczeniu negatywnych skutków incydentu
- Zapobieżenia pojawienia się podobnego incydentu w przyszłości
- Zgłoszenia wystąpienia incydentu do odpowiednich organów ochrony prawnej, w sytuacji, gdy jest to wymagane dla danego incydentu przez przepisy prawa.