Adam Misa

Jak chronić bazy kontaktowe?

15 lipca 2011

6 minut czytania

Artykuł

Trudno znaleźć marketera, który w swojej codziennej pracy nie korzystałby z baz kontaktowych. Adresy email, adresy pocztowe, numery telefonów... do dziennikarzy, drukarni, grafików, naszych klientów... Zwykle dane te zapisujemy w pliku tekstowym lub arkuszu kalkulacyjnym, a następnie przechowujemy w pamięci komputera lub specjalnych systemach informatycznych, na przykład CRM. Ale czy jest to bezpieczne?

Z tego artykułu dowiesz się:

  • jakie dane gromadzone w bazach kontaktowych należy szczególnie chronić,
  • jakie są sposoby bezpiecznego przechowywania baz kontaktowych,
  • na czym polega hosting danych osobowych,
  • czym się kierować przy wyborze dostawcy hostingu w zakresie danych osobowych.

Właściwa ochrona baz kontaktowych ważna jest nie tylko ze względu na ujawnienie tajemnicy biznesowej, ale przede wszystkim na ochronę prywatności naszych kontrahentów. Każdy z nich, powierzając nam swoje dane, zaufał nam i naszej firmie, że będą one prawidłowo chronione. Chyba nie trzeba nikogo przekonywać, że utrata zaufania klienta jest o wiele bardziej dotkliwa niż jakiekolwiek sankcje karne. W tym miejscu jednak warto przypomnieć, że za niewłaściwe przetwarzanie danych osobowych grozi w Polsce kara grzywny lub pozbawienia wolności nawet do 3 lat.

Dmuchać na zimne

Szczególnie powinniśmy chronić te bazy, które zawierają dane osobowe. Zgodnie z przepisami obowiązującej w Polsce ustawy o ochronie danych osobowych daną osobową jest nie tylko imię i nazwisko czy adres zamieszkania, ale również adres e-mail, na podstawie którego jesteśmy w stanie zidentyfikować osobę. Klasycznym przykładem jest tu adres zawierający w swojej nazwie np. nazwisko. Warto też zwrócić uwagę, że pojedyncze dane z bazy kontaktowej, które dopiero po zestawieniu razem pozwolą nam zidentyfikować osobę, to także według wspomnianej ustawy dane osobowe.

Słuchaj „Marketer+” Podcast

Polskie przepisy prawa w zakresie danych osobowych zawierają wiele luk. Trudno więc poszukiwać jednoznacznej odpowiedzi na pytanie, które dane w bazach są rzeczywiście danymi osobowymi. Sprawdza się więc idealnie powiedzenie, iż „lepiej dmuchać na zimne” i wszystkie bazy kontaktowe traktować jako te zawierające dane osobowe. Takie dane, jak już wspomniałem, należy chronić szczególnie.

Hasła zaszyfrowane

Przede wszystkim nie każdy pracownik firmy powinien mieć dostęp do baz kontaktowych. Jeśli dane przechowujemy w pamięci komputera, warto zadbać o jego właściwe zabezpieczenie. Programy antywirusowe i hasło dostępu do komputera – to podstawowa ochrona, która daje nam jednak znikome poczucie bezpieczeństwa. Dodatkowym zabezpieczeniem może być hasłowanie samych plików z bazami kontaktowymi, a nawet całych dysków komputera. Najlepszym rozwiązaniem będą hasła zaszyfrowane.

Przechowywanie baz kontaktowych w pamięci komputera jest jednak najmniej bezpieczne. Złamanie hasła lub jego kradzież to dziś żadne wyzwanie dla informatycznych przestępców. Duże zagrożenie z ich strony grozi nam oczywiście poprzez Internet. O ile połączenia internetowe z wewnętrznych sieci (np. firmowych czy domowych) są zazwyczaj zabezpieczone przed atakami zewnętrznymi, o tyle problem pojawia się, gdy korzystamy z tzw. dostępów szerokopasmowych (czyli popularnego WiFi). Tutaj zagrożenie atakiem jest bardzo prawdopodobne.

Globalny komputer

Wydaje się więc, że nasze kontakty będą bezpieczniejsze w bazach przechowywanych w coraz bardziej popularnych aplikacjach online’owych, jak na przykład CRM czy znanych w działach marketingu systemach do wysyłki mailingów. Dane gromadzone są w jednym miejscu, a dostęp do nich jest możliwy zwykle dopiero po zalogowaniu się do systemu. Trzeba jednak pamiętać, że taki online’owy system i przetwarzane w nim dane także są „gdzieś” przechowywane. Tym miejscem jest serwer, który – jeśli ująć to w sposób prosty i obrazowy – jest „globalnym komputerem”, z którym poprzez sieć internetową łączą się inne komputery.

Ten „globalny komputer” musi być również odpowiednio zabezpieczony, ale należy też zapewnić mu odpowiednie środowisko pracy. Dość częstym rozwiązaniem jest zakup niewielkiego serwera, który wstawiany jest w jednym z pomieszczeń firmy. Jego administracją zajmuje się zazwyczaj firmowy informatyk. Wydaje się, że jest bezpiecznie, bo przecież bazy znajdują się na jednym „globalnym komputerze”, którego jesteśmy właścicielami i o którego ochronę dba nasz zaufany człowiek!

Jeśli zależy nam na dobrej ochronie serwera i przechowywanych na nim zasobów, musimy liczyć się ze stałymi kosztami utrzymania takiej infrastruktury informatycznej. Energia elektryczna, łącza internetowe (najlepiej kilka awaryjnych), zabezpieczenie pomieszczenia z serwerem, wynagrodzenie i szkolenia informatyka opiekującego się zasobami serwera – to wydatki rzędu kilku tysięcy złotych miesięcznie! Poza tym pożar w firmie, przegrzanie się serwera – to tylko niektóre możliwezagrożenia, wskutek których bezpowrotnie możemy utracić między innymi cenne bazy kontaktowe.

Taniej i skuteczniej

Relatywnie tańszym i skuteczniejszym rozwiązaniem problemu bezpiecznego przechowywania baz kontaktowych na „globalnym komputerze” może być outsourcing. Zarówno przechowywanie zasobów naszej firmowej strony internetowej, jak i baz kontaktowych możemy powierzyć firmie hostingowej. W Polsce istnieje jeszcze dużo obaw przed outsourcowaniem tego typu danych. W obawie przed wyciekiem informacji stanowiących tajemnicę biznesową nie chcemy, aby „ktoś z zewnątrz” miał wgląd do naszych baz.

Ale to jedynie bariera mentalna. Nasze dane mogą być bezpieczne pod opieką dostawcy hostingowego, ale musi to być wiarygodny partner biznesowy, z odpowiednim doświadczeniem.

Po pierwsze, sprawdźmy, w jakich warunkach pracują serwery, na których mają być przechowywane nasze bazy. Bezpieczna serwerownia to taka, która ma zabezpieczenia fizyczne i logiczne. Są to między innymi systemy monitoringu, przeciwpożarowe, klimatyzacji, łącza internetowe przekierowane do kilku operatorów (na wypadek awarii któregoś z nich), alternatywne źródło zasilania w energię elektryczną, a także UPS, firewall i IDS.

Poznajmy partnera

Ważne jest również doświadczenie i osiągnięcia w zakresie hostingu danych osobowych. Poprośmy o portfolio, listy referencyjne czy case studies, których analiza powinna dać nam obraz firmy hostingowej. Zwróćmy szczególną uwagę na współpracę tej firmy z instytucjami finansowymi i publicznymi, w których wysoki poziom bezpieczeństwa danych jest szczególnie wymagany. Ponieważ odpowiednia ochrona naszych informacji zależy w dużej części od czynnika ludzkiego, zapytajmy też o doświadczenie administratorów. Specjaliści ochrony danych osobowych mają stosowne certyfikaty potwierdzające ich kompetencje, na przykład CISSP. Kiedy już dokonamy wstępnej oceny dostawcy hostingu dla baz kontaktowych i jesteśmy przekonani, że to wiarygodny i bezpieczny partner biznesowy, przeanalizujmy rozwiązania hostingowe. Hosting danych osobowych polega na wydzieleniu na serwerze odrębnej instancji (czyli mówiąc prościej: podziale dysku „globalnego komputera” na mniejsze), na której przechowywane są bazy danych osobowych. Instancja baz danych osobowych znajduje się pod szczególną ochroną. Zabezpieczona jest dodatkowymi systemami monitorowania ataków, a dostęp do niej możliwy jest z poziomu przeglądarki internetowej po wcześniejszym bezpiecznym zalogowaniu się za pomocą zaszyfrowanego kanału komunikacji (na przykład za pomocą certyfikatów SSL).

Ważna umowa

Wysoki poziom zabezpieczeń serwerowni oraz instancji baz danych osobowych deklaruje niemal każdy dostawca hostingu. Godne polecenia są jednak te firmy, z którymi możemy zawrzeć umowę powierzenia przetwarzania danych. Na jej mocy firma hostingowa współdzieli z nami odpowiedzialność za prawidłowe przetwarzanie danych osobowych. Zobowiązuje się do zachowania tajemnicy handlowej, a w przypadku „wycieku” naszych danych z serwera możemy dochodzić swoich praw na drodze postępowania sądowego.

Aby skorzystać z hostingu w zakresie danych osobowych, konieczne jest wynajęcie serwera przystosowanego do takiej usługi. Na polskim rynku hostingowym jest duża rozpiętość cenowa i ofertowa. Ceny kształtują się na poziomie od 100 do nawet 18 000 zł rocznie. Warto zwrócić uwagę na proponowane rozwiązania. Najtańsze są te standardowe, czyli niewielkie serwery wirtualne, a najdroższe – dedykowane.Choć firmy oferują usługi hostingu danych osobowych, to – jakjuż wspomniałem wcześniej – nie wszystkie współdzielą odpowiedzialność za przetwarzanie danych osobowych. Czyli nie podpiszą z nami umowy o powierzeniu przetwarzania danych osobowych.

Jeśli zdecydujemy się na hosting w zakresie danych osobowych, zastanówmy się, czy nie warto skorzystać z pełnego hostingu naszych informatycznych zasobów. Bazy kontaktowe, firmową stronę WWW, pocztę elektroniczną, serwisy internetowe dedykowane dla kampanii reklamowych itd. – wszystkie te zasoby możemy utrzymywać na jednym serwerze, u jednego dostawcy. Kompleksowy hosting pozwoli nam sprawniej zarządzać infrastrukturą IT i zoptymalizować koszty jej utrzymania (bo możemy liczyć na upusty cenowe).
[kreska]Słownik:
Dane osobowe – wszelkie informacje dotyczące konkretnej osoby, dzięki którym można w szybki i łatwy sposób zidentyfikować tę osobę mimo braku jednoznacznego źródła wyszukiwania. Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności (np. nazwa ulicy i numer domu, wysokość wynagrodzenia itp.), ale tego typu informacje będą uznane jako takie wówczas, gdy zostaną zestawione z dodatkowymi informacjami, które można połączyć z konkretną osobą.
CISSP (z ang. Certified Information Systems Security Professional) – certyfikat potwierdzający znajomość zaawansowanych rozwiązań związanych z bezpieczeństwem danych w systemach informatycznych, nadawany przez niezależną organizację (ISC)2 (International Information Systems Security Certification Consortium).
Hosting – usługa związana z udostępnianiem przez dostawcę usług internetowych zasobów serwerowni. Polega na oddaniu do dyspozycji serwera o określonych parametrach (między innymi objętości dysku twardego, maksymalnego obciążenia łącza internetowego serwerowni).
Przetwarzanie danych osobowych – wszelkie czynności dokonywane na danych osobowych, czyli między innymi ich udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie, a także przechowywanie danych.
Umowa powierzenie przetwarzania danych – umowa zawarta pomiędzy administratorem danych osobowych (właścicielem danych) a podmiotem zewnętrznym, który na jej mocy zobowiązuje się do zabezpieczenia powierzonych danych osobowych, w tym do wypełnienia wymagań określonych przepisami prawa.
Zaszyfrowane hasło – hasło (ale i inne dane przechowywane na dysku komputera) szyfrowane za pomocą specjalistycznego oprogramowania, na przykład Truecrypt.
[kreska]Warto doczytać:
1. „Ochrona danych osobowych. Poradnik dla przedsiębiorców” .
2. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (Dz. U. 2002, Nr 101, poz. 926 wraz z późn. zm.).
3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004, Nr 100, poz. 1024).
4. Strona internetowa Generalnego Inspektora Ochrony Danych Osobowych.

Czytaj więcej w tematach:

Prawo w marketingu
Agnieszka Grzesiek-Kasperczyk

Bądź mądrzejszy niż ChatGPT. Jak oznaczać reklamy w wideo zgodnie z prawem i dobrymi praktykami

8 minut czytania

Średniozaawansowany Artykuł
Agnieszka Grzesiek-Kasperczyk

Dlaczego Magmisie poprawiające koncentrację są sprzeczne z zasadami etyki, a Nagie Góralki nie

10 minut czytania

Średniozaawansowany Artykuł
Agnieszka Grzesiek-Kasperczyk

Digital Service Act – zakaz stosowania dark patterns. Część 3

6 minut czytania

Średniozaawansowany Artykuł