Prevent Magazine nr 2 by Sebastian Kalmus

www.prevent-magazine.pl WRZESIEŃ 2012 (nr 2)

SMS

Kampanie mobilne zgodne z prawem

DANE OSOBOWE W GRUPIE KAPITAŁOWEJ Pozycjonowanie strony www Bez ryzyka!

Newslettery reklamowe Bezpieczny e-mail marketing od A do Z Podpis elektroniczny: • Czy jest bezpieczny • Jakie korzyści daje

KONKURS Jesteś aktywnym subskrybentem Prevent Magazine?

Masz ciekawe poglądy i spostrzeżenia na temat zabezpieczania danych w Internecie i chcesz o tym napisać? Przed Tobą niepowtarzalna okazja, ponieważ Prevent Magazine zorganizował konkurs, w którym oprócz zaistnienia na łamach kolejnego wydania magazynu, możesz wygrać wartościowe nagrody. Wystarczy, że do dnia 20 listopada 2012 r. prześlesz na adres: redakcja@prevent-magazine.pl swój własny autorski artykuł (do 4 tys. znaków) na temat: „Bezpieczeństwo danych osobowych w Internecie – formy stosowanych zabezpieczeń”.

Jest o co walczyć! Miejsce 1

- Publikacja artykułu w 3. wydaniu Prevent Magazine - Serwer wirtualny w pakiecie Start L: (50 GB, transfer 5000 GB, 50 baz MySQL) od IQ.pl - Pakiet Antywirusowy Kaspersky Internet Security 2012 od Kaspersky Lab - Jednodniowy Kurs Administratora Bezpieczeństwa Informacji w 2013 roku od iSecure

Miejsce 2

- Serwer wirtualny w pakiecie Start L: (50 GB, transfer 5000 GB, 50 baz MySQL) od IQ.pl - Pakiet Antywirusowy Kaspersky Internet Security 2012 od Kaspersky Lab

Miejsce 3

- Pakiet Antywirusowy Kaspersky Internet Security 2012 od Kaspersky Lab

§2 Zasady uczestnictwa w Konkursie: 1. Uczestnikami Konkursu mogą być osoby posiadające aktywną subskrypcję „Prevent Magazine”. 2. Uczestnikami Konkursu nie mogą być pracownicy i przedstawiciele Organizatora (ani członkowie ich rodzin) oraz innych podmiotów biorących bezpośredni udział w przygotowaniu i przeprowadzeniu Konkursu na zlecenie Organizatora. 3. Uczestnik może wziąć udział w Konkursie, korzystając tylko z jednego konta internetowego, do którego przypisana jest subskrypcja „Prevent Magazine”, niezależnie od tego, ile kont e-mail z przypisaną subskrypcją posiada.

4. Zadaniem każdego Uczestnika Konkursu jest napisanie artykułu, liczącego maksymalnie 4 tysiące znaków, na temat „Bezpieczeństwo danych osobowych w Internecie – formy stosowanych zabezpieczeń”. Artykuł należy przesłać na adres redakcja@prevent-magazine.pl. 5. Nadesłane artykuły zostaną poddane ocenie Komisji złożonej z przedstawicieli Organizatora, która wyłoni 3 najlepsze. Ich autorzy zostaną Zwycięzcami Konkursu. Dodatkowo najlepszy artykuł zostanie opublikowany w 3 numerze „Prevent Magazine”. 6. Uczestnik Konkursu wysyłając zgłoszenie oświadcza, że jego artykuł nie był nigdzie wcześniej publikowany oraz że jest on jedynym właścicielem praw autorskich do niego. 7. Uczestnik wyraża zgodę na publikację artykułu w numerze 3 „Prevent Magazine” wraz ze swoim imieniem i nazwiskiem. 8. Zwycięzcy konkursu zostaną poinformowani o wygranej poprzez e-mail. Zwycięzca zobowiązany jest przesłać, w ciągu 7 dni od otrzymania informacji o wygranej, swoje dane adresowe, umożliwiające przekazanie nagrody. W przypadku braku odpowiedzi w ciągu 7 dni od poinformowania o wygranej, Zwycięzca traci prawo do nagrody. 9. Nagrody zostaną przesłane Zwycięzcy pocztą. Zwycięzca, aby mógł otrzymać nagrodę musi podać następujące dane: imię, nazwisko, adres zamieszkania z kodem pocztowym. 10. Zwycięzcy nie mają możliwości wymienienia nagrody na ekwiwalent pieniężny.

WRZESIEŃ 2012 www.prevent-magazine.pl

bezpieczny biznes S

tare przysłowie ludowe mówi, że na marketingu zna się każdy. Ale czy każdy wie, że czasami marketing może być niebezpieczny dla tego, kto korzysta z różnych form dotarcia do potencjalnego klienta? Żeby nie szukać daleko – wysyłanie e-maili zawierających reklamy do odbiorców, którzy nigdy nie wyrażali na to zgody, może skutkować sankcjami karnymi, doprowadzić do zablokowania adresu nadawcy (blacklist), a także do konieczności ratowania wizerunku przedsiębiorstwa działaniami PR. A przecież to wszystko kosztuje. Zagrożeń czyhających na marketerów jest dużo więcej. W bieżącym numerze „Prevent Magazine” postanowiliśmy prześwietlić dokładniej ten temat i spojrzeć na marketing właśnie przez pryzmat bezpieczeństwa. Nie ma sensu, żebym w tym miejscu polecał jakiś konkretny artykuł – myślę, że każdy znajdzie coś interesującego dla siebie. Wiedza, którą Państwu dajemy, jest do wykorzystania zarówno w małej firmie, jak i w dużej korporacji. Przecież błędy związane z marketingiem może popełnić każdy. Cały czas czekamy też na Państwa opinie na temat magazynu. Nie ma nic bardziej motywującego do jeszcze bardziej wytężonej pracy jak rzetelny, merytoryczny feedback. A zatem – tak jak poprzednio – bądźmy w kontakcie.

Sponsorzy nagród głównych:

REGULAMIN KONKURSU §1 Postanowienia ogólne: 1. Organizatorem konkursu jest wydawca „Prevent Magazine” firma iSecure Sp. z o.o. z siedzibą przy ul. E. Jelinka 32, 01-646 Warszawa, zwana dalej „Organizatorem”. 2. Konkurs organizowany jest w dniach od 04.09.2012 do 20.11.2012. 3. Miejscem konkursu jest terytorium Rzeczpospolitej Polskiej. 4. Nagrodami w Konkursie są: 3 (trzy) pakiet oprogramowania antywirusowego Kaspersky Lab, 2 (dwa) hostingi 50GB od IQ.pl, szkolenie ABI na rok 2013 od iSecure.

Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure, redaktor naczelny „Prevent Magazine”

§3 Dane osobowe: 1. Administratorem danych osobowych jest iSecure Sp. z o.o. z siedzibą przy ul. E. Jelinka 32, 01-646 Warszawa. Dane osobowe zbierane są w następujących celach: a) realizacji konkursu, b) doręczenia nagród, c) zamieszczenia danych jako danych Zwycięzcy Konkursu w 3 numerze „Prevent Magazine”. 2. Każdy Uczestnik ma prawo wglądu i aktualizacji danych dotyczących jego osoby. Podanie danych ma charakter dobrowolny, choć jest to niezbędne, by mogły zostać zrealizowane cele wskazane powyżej. Oświadczenia do konkursu: - Oświadczam, że artykuł nie był nigdzie wcześniej publikowany i jestem jedynym właścicielem praw autorskich do niego. - Wyrażam zgodę na publikację artykułu, wraz z moim imieniem i nazwiskiem, w 3 numerze „Prevent Magazine”. - Wyrażam zgodę na przetwarzanie moich danych osobowych przez iSecure Sp. z o.o. z siedzibą przy ul. E. Jelinka 32, 01-646 Warszawa w celu przeprowadzenia konkursu.

Michał Sztąberek

Złośliwe

SPIS TREŚCI

oprogramowanie

05 Złośliwe oprogramowanie w kontekście platform mobilnych – cz. 1 system iOS, AUTOR: Szymon Retecki, www.pcdoc.pl 09 BHP w e-mail marketingu, AUTOR: Paweł Sala, www.freshmail.pl

w kontekście platform mobilnych

12 Rola social media w zarządzaniu kryzysowym,

– cz. 2, system iOS

20 Gdzie jest nick?, AUTOR: Maciek Gołębiowski, www.juice.pl 22 Skuteczność i bezpieczeństwo komunikacji SMS, AUTORZY: Andrzej Ogonowski i Anna Isakow, www.smsapi.pl

28 Jak skutecznie tworzyć kopie zapasowe w firmie, AUTOR: Dariusz Jarecki, www.acronis.pl

30 Podpis elektroniczny – pierwsze wtajemniczenie, AUTOR: Piotr Salata, www.pentacomp.pl

34 Informacje pod ochroną, AUTOR: Mateusz Sell, www.filemedic.com 36 Bezpieczeństwo hostingu a realia rynku, AUTOR: Michał Kulling, www.iq.pl 40 Dane osobowe w grupie kapitałowej w zarządzaniu kryzysowym, AUTOR: Leszek Kępa, ekspert ds. ochrony danych osobowych

46 Bezpieczeństwo sieci firmowej, AUTOR: Maciej Ziarek, www.kaspersky.pl 48 Nieetyczne pozycjonowanie, AUTOR: Paweł Sikora, www.semtec.pl 50 Jak realizować marketing SMS, AUTOR: Daniel Zawiliński, www.serwersms.pl 52 DLACZEGO WARTO MIEĆ PODPIS ELEKTRONICZNY, AUTOR: Dariusz Łydziński, www.unizeto.pl

Redakcja: Wydawca: iSecure Sp. z o.o., ul. E. Jelinka 32, 01-646 Warszawa, www.prevent-magazine.pl Redaktor Naczelny: Michał Sztąberek, Współpraca redakcyjna: redakcja@prevent-magazine.pl, Reklama: reklama@prevent-magazine.pl, tel. 601 509 242; Patronaty medialne: patronat@prevent-magazine.pl, Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl. Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.

WRZESIEŃ 2012 www.prevent-magazine.pl

Zdjęcie na okładce: Fotolia

AUTOR: Marcin Marczewski, www.resilia.pl

Pierwszy artykuł z serii o złośliwym oprogramowaniu dotyczył systemu Android. Dla przypomnienia – dzięki dość dużej otwartości tego systemu, lawinowego wzrostu jego popularności, a przede wszystkim niefrasobliwości użytkowników, produkt firmy Google znalazł się na celowniku przestępców. W chwili obecnej to właśnie z myślą o Androidzie tworzonych jest najwięcej różnego rodzaju wirusów. Drugim najpopularniejszym mobilnym systemem operacyjnym jest iOS, któremu poświęcimy tę część serii.

ystem iOS (wcześniej iPhone OS) zadebiutował wraz z pierwszym telefonem iPhone , czyli w 2007 r. Został zbudowany na bazie Mac OS X, więc jest systemem unixopodobnym. Udział w rynku smartphonów z iOS to ok. 20% (410 mln aktywowanych urządzeń – stan na połowę 2012 roku). Z systemem firmy Apple ściśle związany jest sklep AppStore, w którym znajduje się na chwilę obecną ponad 650 tysięcy aplikacji, pobranych przez użytkowników już ponad 30 miliardów razy. W przeciwieństwie do Androida kod źródłowy systemu iOS nie jest udostępniany.

gólnych modeli iPhonów jest stosunkowo długi. Apple pilnuje kompatybilności wstecznej i dostęp do najnowszej obecnie wersji systemu, czyli 5.1.1, mają nawet dość leciwe iPhony 3GS. W przeciwieństwie do systemu Android ponad 90% działających telefonów Apple ma zainstalowany najnowszy iOS. Jest to olbrzymi plus, ponieważ wszystkie odkryte luki bezpieczeństwa są na bieżąco łatane.

Sam system działa wyłącznie na urządzeniach produkowanych przez firmę Apple i nie jest odsprzedawany innym producentom. Dzięki takiemu podejściu czas wsparcia poszcze-

Pierwszym z nich jest obecny, tak jak w systemie firmy Google, Sandbox. Każda z aplikacji jest uruchamiana w izolowanym od systemu i innych aplikacji środowisku,

Model zabezpieczeń Tak jak w Androidzie Model zabezpieczeń w iOS opiera się na kilku filarach:

uniemożliwiając w ten sposób korzystanie i modyfikowanie zasobów jednych aplikacji przez inne. Jest to o tyle Firma Apple prowadzi politykę aktualizacji, pilnując jednocześnie kompatybilności wstecznej i dostępu do najnowszej wersji systemu. Dla użytkownika systemu Android nowa wersja systemu operacyjnego dla posiadanego urządzenia pozostaje zazwyczaj w sferze marzeń. Najnowsze wersje iOS dla starszych iPhonów nie są natomiast niczym niezwykłym.

istotne, że nawet jeśli przestępcy uda się złamać zabezpieczenia jednego programu, to z jego poziomu nie może przeprowadzić ataku na inne aplikacje lub na sam system operacyjny. Urządzenia z iOS mają zaszyfrowaną pamięć. Zgubiony telefon można również zdalnie wyczyścić ze wszystkich

System operacyjny

ną barierę dla ataków, które są największą bolączką Androida. Programy przeznaczone dla systemu firmy Google są niejednokrotnie „uzupełniane” o złośliwy kod, następnie na nowo podpisywane wygenerowanym przez przestępcę certyfikatem i rozpowszechniane przez niezależne sklepy z aplikacjami.

W mobilnym systemie firmy Apple funkcjonuje również – znane z Androida – nadawanie uprawnień dla poszczególnych aplikacji. Nie jest ono jednak aż tak rozbudowane.

o możliwość wycieku istotnych informacji nie bezpośrednio z telefonu, ale z firm tworzących oprogramowanie na iOS.

Aplikacje muszą prosić o dostęp do: • GPS,

Model zabezpieczeń systemu iOS jak do tej pory dobrze radzi sobie z zagrożeniami związanymi ze złośliwym oprogramowaniem. Nie było na niego tak spektakularnych ataków, jak na jego największego konkurenta, czyli Android. Jest to przede wszystkim zasługa odmiennego podejścia do metodyki zabezpieczeń. O ile w Androidzie większość odpowiedzialności za bezpieczeństwo spoczywa na użytkowniku, o tyle w iOS ciąży ono w większym stopniu na firmie Apple. Niestety, kosztem tego podejścia jest kompletnie zamknięty system.

obecnych na nim danych. Obie te funkcjonalności są szczególnie przydatne w firmach, ponieważ mogą zapobiec wyciekowi wrażliwych informacji. Kolejnym filarem zabezpieczeń jest cyfrowe podpisywanie aplikacji. Inaczej niż w systemie Android certyfikatu

do podpisywania nie można sobie wygenerować samemu. Trzeba zwrócić się bezpośrednio do firmy Apple i po przejściu procedury weryfikacji certyfikat jest przyznawany (bądź nie). Nieco skróconą ścieżkę przechodzą firmy, które nie chcą rozpowszechniać aplikacji przez AppStore, a jedynie wykorzystywać je do własnych

WRZESIEŃ 2012 www.prevent-magazine.pl

celów w przedsiębiorstwie. W przypadku wykrycia próby sprzedaży aplikacji podpisanej tego typu certyfikatem jest on automatycznie anulowany, a firma, która się tego dopuściła, wykluczana z programu certyfikacyjnego. W połączeniu z blokadą możliwości instalowania aplikacji spoza AppStore rozwiązanie to stanowi skutecz-

Zdjęcia: Fotolia

Dzięki modelowi sprzedaży oprogramowania (m.in. certyfikat do podpisywania aplikacji musi być zweryfikowany i zaakceptowany przez Apple, nie jest generowany automatycznie) oraz systemowi blokady możliwości instalowania aplikacji spoza AppStore – iOS jak dotąd skutecznie chroni się przed atakami z zewnątrz. Podejście firmy Apple do sprzedaży oprogramowania ma jednak jeden minus. Użytkownicy telefonów iPhone dość często decydują się na jailbrake, czyli celowe złamanie zabezpieczeń systemu, tak aby uzyskać w nim prawa administratora. Urządzenia zmodyfikowane w ten sposób mogą po pierwsze korzystać z aplikacji i modyfikacji iOS, które nie są dostępne w AppStore, a po drugie mogą być wykorzystywane w sieciach komórkowych, które nie sprzedają smartphonów firmy Apple. Oczywiście postępowanie takie niesie ze sobą spore ryzyko. Jak dotąd, wszystkie wirusy nękające system iOS roznosiły się właśnie między urządzeniami z jailbreak.

•a utomatycznych powiadomień z Internetu, • i nicjowania połączeń wychodzących, •w ysyłania wiadomości SMS i e-maili. Z drugiej jednak strony każdy zainstalowany program może bez pytania używać: •k alendarza, listy kontaktów, zdjęć, muzyki, •n umeru telefonu i ID urządzenia, •a paratu i kamery, •h istorii przeglądarki, Youtube i logów WIFI. Jak widać, każda aplikacja automatycznie uzyskuje dostęp do wielu wrażliwych danych. Pojawiają się obawy (nierzadko uzasadnione)

Plusy i minusy zabezpieczeń iOS

Na duży plus zasługuje natomiast polityka aktualizacji. Dla użytkownika systemu Android nowa wersja systemu operacyjnego dla posiadanego urządzenia pozostaje zazwyczaj w sferze marzeń. Najnowsze wersje iOS dla starszych iPhonów nie są natomiast niczym niezwykłym.

AUTOR: Szymon Retecki, Chief Executive Officer, www.pcdoc.pl

Ochrona danych mailingowych

BHP

http://www.senderscore.org). Czy system dostępny jest po protokole https oraz czy wymaga odpowiednio silnego hasła. Jeszcze lepiej, jeżeli system wymagałby mocnego hasła oraz wymuszał jego zmianę co 90 dni, a kolejne hasło nie byłoby jak 15 poprzednich ;). Nie możesz także zapomnieć o tym, aby do jednego konta w systemie możliwe było przydzielenie wielu loginów. Każda osoba z Twojej firmy korzystająca z systemu powinna mieć własny login i hasło – dzięki temu jeżeli ktoś, powiedzmy, wyeksportuje dane, a nie powinien tego robić, od razu będziesz wiedział, kto to był. Jeszcze lepiej, gdy system ma rozbudowany model ACL i pozwala konkretnym loginom na nadanie odpowiednich uprawnień odnośnie tego, co mogą robić, korzystając z danego konta.

w e-mail marketingu

Obecnie e-mail marketing to najbardziej efektywny sposób na realizację działań marketingowych. Jak wynika z badań Direct Marketing Associacion, jedna złotówka zainwestowana w ten sposób komunikacji statystycznie generuje 40 zł sprzedaży.

A więc co robić?

Wybór dobrego systemu Korzystaj z profesjonalnych systemów do e-mail marketingu dostępnych w modelu ASP. Mówiąc „profesjonalnych”, mam na myśli „płatnych”! W ramach opłaty – poza tym, że masz supersystem – jego właściciel bierze na siebie gro obowiązków wynikających z fizycznego zabezpieczenia Twojej bazy. Oczywiście, aby tak było, koniecznie powinieneś podpisać umowę na powierzenie przetwarzania danych z danym podmiotem. Osobiście także odradzałbym powierzanie takich danych podmiotom powiązanym z rynkiem amerykańskim. Niestety prawo amerykańskie daje bardzo duży wgląd w tego typu dane, jeżeli nie dotyczą one obywateli USA

WRZESIEŃ 2012 www.prevent-magazine.pl

- a w Twoim wypadku na pewno nie będą dotyczyć. Jeżeli już powierzasz komuś swoje dane, upewnij się, czy posiada on dobrze przygotowaną politykę bezpieczeństwa informacji, czy robi audyty bezpieczeństwa itp. oraz czy masz do swojego podwykonawcy numer telefonu - tak aby w razie problemu zadzwonić, a nie czekać na odpowiedź na e-maila. W przypadku bezpieczeństwa – szybka reakcja to podstawa.

Oczywiście sam system nie wystarczy, jeżeli osoby, które będą z niego korzystać, nie będą odpowiednio przeszkolone z zakresu bezpieczeństwa dlatego zadbaj dokładnie o to, aby nie zapisywały hasła w przeglądarce lub na karteczce przy komputerze. A także aby nie przenosiły baz odbiorców na pendrive lub, co gorsza, przesyłały niezabezpieczonym e-mailem.

Co jest szczególnie ważne? Wybierając system, warto zwrócić uwagę na kilka faktów. Jak długo dany podmiot działa na danym rynku, czy jego IP są whitlelist’owane i mają dobrą reputację (można to łatwo sprawdzić np. w serwisie

Permission Marketing

Zdjęcie: Fotolia

laczego tak się dzieje? Otóż najważniejszym powodem jest fakt, iż jest to bezpośrednia komunikacja – one-to-one – z odbiorcą. Bazujemy w niej na kanale e-mail, który wiele osób postrzega bardzo osobiście i broni jego bezpieczeństwa jak oka w głowie. Co więcej, zdaniem Generalnego Inspektora Ochrony Danych osobowych, dane wykorzystywane w komunikacji e-mail marketingowej – np. newslettery – należy traktować jak dane osobowe i odpowiednio je chronić. Poniższy tekst będzie o tym, co jako marketer powinieneś robić, aby chronić dane odbiorców Twojego newslettera.

Oczywiście poza logistyką związaną z e-mail marketingiem warto także zwrócić uwagę na fakt, iż e-mail marketing bazuje na koncepcji Perission

Marketing - czyli marketingu za pozwoleniem. Jeżeli mamy mówić o bezpieczeństwie, to warto na ten fakt zwrócić szczególną uwagę - zwłaszcza Wybierając system do e-mail marketingu, zwróć uwagę, jak długo dany podmiot działa na danym rynku, czy jego IP są whitlelist’owane i mają dobrą reputację, czy system dostępny jest po protokole https oraz czy wymaga odpowiednio silnego hasła.

jeżeli chodzi o Twoje bezpieczeństwo prawne w posługiwaniu się tym kanałem komunikacji, o czym zawsze powinieneś pamiętać. Zbieranie zapisów w modelu double opt-in oznacza, że po zapisie do newslettera na dany adres e-mail zostaje wysłana wiadomość z prośbą o potwierdzenie rejestracji. Dopiero po kliknięciu w odpowiedni link

dany adres zostaje dodany do naszej listy. Dzięki zbieraniu danych w modelu double opt-in jesteś pewien, że dany adres naprawdę istnieje. W ten sposób, masz mniej odbić twardych (oznaczają one, że dana wiadomość nie będzie mogła być dostarczona na podany adres także w przyszłości, może to wynikać np. z faktu, że dana skrzynka została skasowana) i nie wpadniesz automatycznie na spamlistę. Ponadto, w razie zastrzeżeń od kogoś, kto otrzymał przesłane przez Ciebie informacje drogą elektroniczną, masz podkładkę o takiej treści: „konkretnego dnia, o konkretnej godzinie, z takiego numeru IP osoba potwierdziła chęć zapisania się na newsletter, po uprzednim zalogowaniu się na swoją skrzynkę pocztową.” Jest to niepodważalny dowód na to, że ktoś zapisał się na Twój newsletter.

Ochrona danych mailingowych Zgody - treść Zbierając zapisy do newslettera, musisz pamiętać, aby zebrać „zgodę na przesyłanie informacji handlowych drogą elektroniczną”. Niezależnie od tego, czy uważasz swój newsletter za coś, co jest informacją handlową, czy nie - warto taką zgodę pozyskać. Pamiętaj, że informacją handlową może być choćby prezentowanie logotypu Twojej firmy.

wych do celów marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.” oraz: „Wyrażam zgodę na przekazywanie mi informacji handlowych środkami komunikacji elektronicznej przez… (tutaj dane naszej firmy).” Bardzo ważne jest, żebyś miał te zgody zebrane łącznie.

Korzystaj z profesjonalnych systemów do e-mail marketingu dostępnych w modelu ASP. „Profesjonalne” oznacza „płatne”! W ramach opłaty – poza tym, że masz dobrze działający system – jego właściciel bierze na siebie wiele obowiązków wynikających z fizycznego zabezpieczenia Twojej bazy. Ponadto, mimo że „e-mail” nie jest wprost daną osobową zgodnie z Ustawą o Ochronie Danych Osobowych, powinieneś pamiętać, że w niektórych przypadkach może się nią stać. Dlatego też powinieneś zbierać odpowiednie zgody dotyczące przetwarzania danych osobowych oraz odpowiednio chronić te dane zgodnie z ustawą. Osoba zapisująca się na Twój newsletter powinna wyrazić dwie poniższe zgody: „Wyrażam zgodę na przetwarzanie swoich danych osoboAUTOR: Paweł Sala, Dyrektor zarządzający FreshMail, www.freshmail.pl, autor książki „Świeże podejście do e-mail marketingu”

Pamiętaj, że posiadając tylko jedną z nich, nie będziesz mógł prowadzić działań e-mail marketingowych, bo albo nie będziesz mógł przechowywać danej bazy, albo do niej wysyłać wiadomości. Pozostaje jeszcze kwestia tego, jak takie długie zgody umieścić na stronie, na której zbieramy zapis do newslettera. Niestety, nie ma prostego rozwiązania. Najlepszym będzie umieszczenie obydwu regułek w treści e-maila potwierdzającego zapis do newslettera. W ten sposób upieczesz dwie pieczenie na jednym ogniu: po pierwsze zbierzesz zgody, a po drugie zrobisz to metodą double opt-in. Pamiętaj, ta metoda działa przy zapisie do newslettera, a niekoniecznie

Dzięki zbieraniu danych w modelu double opt-in jesteś pewien, że dany adres naprawdę istnieje. W ten sposób, masz mniej odbić twardych i nie wpadniesz automatycznie na spamlistę, a w razie zastrzeżeń od kogoś, kto otrzymał przesłane przez Ciebie informacje drogą elektroniczną, masz dowód na to, że zapisał się on na Twój newsletter. Ważna jest też możliwość rezygnacji z subskrypcji!

już przy rejestracji w systemie. Zgłoszenie zbiorów Pamiętaj, że sama regułka odnośnie zbierania danych osobowych to tylko początek Twoich obowiązków. Zbiór należy zarejestrować w Generalnym Inspektoracie Ochrony Danych Osobowych. Dokładne informacje o obowiązujących kwestiach z tym związanych znajdziesz w ustawach: o ochronie danych osobowych oraz rozporządzeniach, a także ustawie o świadczeniu usług drogą elektroniczną. Zapobieganie Mówiąc o permission marketingu, należy także pamiętać o daniu możliwości rezygnacji odbiorcy z naszego newslettera. Dlatego w każdym e-mailu umieszczaj odpowiedni link do rezygnacji z subskrybcji i szanuj wolę swoich odbiorców. W przeciwnym wypadku zaczną zgłaszać Cię jako „spamera”, a wtedy nawet najlepsze działania e-mail marketingowe spalą na panewce - gdyż Twoje e-maile będą leciały do folderów na spam :( Udanych wysyłek!

Wyzwania

Rola

SOCIAL MEDIA

w zarządzaniu kryzysowym

Wszyscy wiemy, jakie znaczenie w dzisiejszych czasach mają media elektroniczne. Dzięki portalom informacyjnym dziennikarze mają możliwość docierania do odbiorców z newsami jeszcze szybciej. Oznacza to konieczność szybkiej reakcji na sytuacje kryzysowe. przez czas dłuższy niż kilka chwil. Użytkownicy portali społecznościowych i blogerzy stali się nie tylko autorami i pośrednikami w przekazywaniu newsów (w postaci tekstowej, zdjęć i filmów wideo), ale źródłem ich aktualizacji, grupą opiniotwórczą, recenzującą postępowanie tych, którzy są podmiotem wiadomości. W związku z tym, że na co dzień doradzamy, jak skutecznie zarządzać sytuacjami kryzysowymi, a do tego prywatnie jesteśmy zwolennikami wykorzystywania w biznesie nowych

Upowszechnienie się mediów społecznościowych zmieniło wcześniejsze metody działań w zakresie komunikacji kryzysowej. Ten kanał komunikacji jest w niej priorytetem! wejścia w kolejny wymiar komunikacji. W chwili obecnej wszelkie wiadomości uzyskują rozgłos dosłownie w mgnieniu oka, bez względu na porę dnia, szerokości geograficzną i źródło. Żadne interesujące czy sensacyjne zdarzenie nie pozostaje nie zauważone i nie skomentowane w mediach społecznościowych

technologii, postanowiliśmy przyjrzeć się, czy firmy działające na całym świecie skutecznie wykorzystują media społecznościowe w komunikacji kryzysowej. Nie bez znaczenia pozostają też badania, które ukazują, jak ważną dziedziną jest zarządzanie kryzysowe. Jednym z przykładów są badania wykonane na Oxford

WRZESIEŃ 2012 www.prevent-magazine.pl

University, na podstawie których udowodniono 5% wzrost wartości akcji firm, które były dobrze przygotowane do zarządzania zdarzeniami kryzysowymi, w porównaniu z 15% spadkiem wartości akcji tych firm, które nie były przygotowane albo źle odpowiedziały na tego typu zdarzenia.

komunikacją po wystąpieniu sytuacji kryzysowych były dużo łatwiejsze. Ze względu na stosunkowo niewielką ilość rodzajów mediów i kanałów komunikacji, działy PR mogły łatwo same monitorować reakcje mediów na zdarzenia w ich firmie. W ostateczności niektóre firmy zlecały te działania zewnętrznym, wyspecjalizowanym agencjom, które odpowiadały zarówno za monitoring jak i przygotowanie odpowiedzi

i skalowalnych mobilnych technologii internetowych.

i komunikatów. Dobrze zarządzane firmy miały zawczasu przygotowane plany lub co najmniej wytyczne dotyczące komunikacji korporacyjnej, opisujące sposób i zasady działania, zakresy odpowiedzialności i wytyczne odnośnie

Definicje Jakie są różnice pomiędzy definicją zarządzania kryzysowego w skali całej firmy a komunikacją kryzysową? Zarządzanie kryzysem to całość działań mających na celu ochronę ogółu społeczeństwa, pracowników, kluczowych zasobów, procesów i usług, interesów zewnętrznych udziałowców, a także wizerunku organizacji. Jest procesem, w ramach którego organizacja po wystąpieniu nagłego i zaskakującego zdarzenia jest zmuszona do zmiany sposobu zarządzania oraz szybszego niż zazwyczaj podejmowania decyzji. Natomiast komunikacja kryzysowa jest jedną z bardziej istotnych część procesu zarządzania kryzysem. Są to działa-

Nowa rzeczywistość Zdjęcia: Fotolia

edia tradycyjne (radio, telewizja, a już na pewno prasa) powoli odchodzą do lamusa i zaczynają stanowić tylko dodatkowy (uzupełniający) kanał informacyjny dla tradycjonalistów. Kilka lat temu wyglądało to dokładnie odwrotnie. Internet był traktowany jako ciekawostka i coś, co każda redakcja newsowa powinna wykorzystywać, ale w umiarkowanym zakresie. Pojawienie się i upowszechnienie mediów społecznościowych, a także szybki wzrost zainteresowania nimi, dały możliwość

nia PR, których celem jest ochrona reputacji lub marki osób, firm lub innych organizacji, polegające zwykle na reaktywnej (ale zaplanowanej wcześniej) odpowiedzi na różne zdarzenia mogące negatywnie wpłynąć na wizerunek organizacji. Media społecznościowe są jednym z kluczowych kanałów komunikacji, umożliwiającym interakcję pomiędzy użytkownikami, dzięki wykorzystaniu dostępnych

Przed upowszechnieniem się mediów społecznościowych koordynacja i zarządzanie

działania w przypadku kryzysów komunikacyjnych. Załącznikami do takich planów były gotowe wzory komunikatów dla mediów i klientów, które po wystąpieniu zdarzenia były uzupełniane jedynie o informacje dot. przyczyn kryzysu. Kierownictwo firmy mogło z góry wybrać preferowane i bezpieczne kanały komunikacji z mediami i klientami, takie jak konferencje prasowe, przygotowane oświadczenia zarządu czy rzecznika prasowego, notatki prasowe lub też komunikaty na stronie www. Sytuacja była zdecydowanie wygodniejsza, ponieważ firmy mogły się „okopać” na z góry upatrzonych pozycjach, czekać na ewentualne ataki z zewnątrz. Miały tym samym czas na przygotowanie strategii komunikacji w przypadku konkretnego zdarzenia i odpowiedzi na ewentualne zaskakujące pytania lub zarzuty. Pojawienie się i upowszechnienie mediów społecznościowych mocno skomplikowało przedsiębiorcom życie i wydaje się wręcz, że wywróciło do góry nogami wykorzystywane wcześniej metody działań w zakresie komunikacji kryzysowej. Kolejne pojawiające się codziennie zdarzenia i sytuacje kryzysowe uzmysławiają nam, że ten kanał komunikacji staje się priorytetowym w kontekście komunikacji kryzysowej. Głównymi cechami determinującymi krytyczność mediów społecznościowych są: szybkość rozprzestrzeniania się informacji, olbrzymia i stale

Wyzwania

rosnąca ilość użytkowników, którzy często równolegle używają wielu różnych serwisów społecznościowych czy innych narzędzi dostępnych w Internecie. Nie bez znaczenia są także możliwość śledzenia ważnych wydarzeń 24h na dobę (bez względu na strefy czasowe), coraz bardziej nowoczesne urządzenia mobilne wykorzystywane do używania mediów społecznościowych, które często ustawione są w taki sposób, aby same komunikowały nam fakt nadejścia nowych informacji. Ilość serwisów i możliwości zamieszczania w nich informacji w różnych formatach (jak choćby tekst, zdjęcia, filmy) nastręcza firmom wielu problemów z monitorowaniem komentarzy pojawiających się Dobry przykład zarządzania kryzysem w social media: Po awarii samolotu Air Asia na pasie startowym w najbardziej popularnych portalach społecznościowych od razu pojawiły się komentarze i spekulacje na temat liczby ofiar i poszkodowanych. Przedstawiciele firmy monitorowali je i byli w stanie szybko przedstawić informacje korygujące. Cała komunikacja była prowadzona z konta należącego do prezesa firmy, co poprawiało jej wizerunek.

w sieci na ich temat. Do tego wielu przedsiębiorców przyznaje się, że nie prowadzi takiego monitoringu w ogóle. Czy jest to dobre podejście w dobie nowych technologii? Specjaliści ds. marketingu i PR twierdzą, że nie. Ich zdaniem, jeśli przed-

siębiorcy nie ma w Internecie, to można praktycznie uznać, że nie istnieje zwłaszcza w obliczu zdarzeń kryzysowych, które bezpośrednio dotykają zarówno jego firmę, jak i klientów. Poniżej przedstawiamy wybrane przykłady dobrych praktyk oraz kierunków rozwoju metod wykorzystania mediów społecznościowych. Znalazły się tam również informacje, które mogą pomóc w ocenie zagrożeń i szans dotyczących wykorzystania ich w ramach komunikacji kryzysowej. Dobre praktyki Szybkość reakcji Wspomnieliśmy już, że jednym z zagrożeń najczęściej przywoływanych w kontekście mediów społecznościowych jest szybkość rozprzestrzeniania się informacji. Czy powinniśmy patrzeć na tą cechę tylko przez pryzmat ryzyka? Oczywistym jest fakt, że może być ona także atutem, jeśli w szybki sposób podejmiemy przemyślaną reakcję. Jednym z przykładów szybko podjętych działań jest zdarzenie, które dotknęło linie lotnicze Air Asia. Po awarii samolotu na pasie startowym w najbardziej popularnych portalach społecznościowych od razu pojawiły się komentarze i spekulacje na temat liczby ofiar i osób poszkodowanych. Przedstawiciele firmy monitorowali wszelkie komentarze na temat tego zdarzenia i byli w stanie szybko przedstawić informacje korygujące. Cała

WRZESIEŃ 2012 www.prevent-magazine.pl

komunikacja była prowadzona z konta należącego do prezesa firmy, co w znaczny sposób poprawiało jej wizerunek. Działania podjęte w wyniku tego zdarzenia zostały dobrze ocenione przez ekspertów zajmujących się komunikacją kryzysową. Dodatkowym dowodem na skuteczności reakcji na zdarzenie była stosunkowo mała ilość negatywnych komentarzy w mediach. Zaangażowanie Skuteczność zarządzania kryzysowego z wykorzystaniem mediów społecznościowych wymaga zaangażowania – ale nie tylko ze strony społeczności. Organizacje zarządzające kryzysami (firmy prywatne, instytucje państwowe) powinny czynnie włączyć się w tworzenie treści i formowanie społeczności, zamiast tylko reagować na komentarze płynące z zewnątrz. W Stanach Zjednoczonych Federalna Agencja Zarządzania Kryzysowego (Federal Emergency Management Agency) od 2008 roku wykorzystuje najpopularniejsze serwisy social media. Konta na Twitterze (w sumie FEMA ma ich 16) utrzymują nie tylko wszystkie biura regionalne, ale również sam szef agencji. Poprzez serwisy społecznościowe FEMA komunikuje nie tylko swoje regularne inicjatywy (jak np. program Ready.gov), ale również bieżące wydarzenia (np. akcje ratownicze w trakcie ostatniego sezonu huraganów w USA). Nowojorskie Biuro Zarządzania

Kryzysowego (New York City Office of Emergency Management) działa jeszcze bardziej aktywnie. Uruchomiło ono program NotifyNYC, który poprzez wiadomości SMS, kanały RSS oraz Twittera dostarcza wiadomości na temat zagrożeń i zdarzeń utrudniających życie w mieście. W jednym miejscu gromadzone, a następnie rozpowszechniane są informacje o wypadkach, awariach, zamkniętych ulicach, a także aktywności straży, policji, wojska i innych służb.

mieszkańców małego miasteczka o zbliżającym się huraganie. W trakcie marcowego trzęsienia ziemi w Japonii przykład podobnego systemu pokazał, że nawet ostrzeżenia wysłane w ostatniej chwili mogą uratować ludzkie życie.

Lokalizacja Współczesne technologie informacyjne oferują jeszcze jedną funkcję, szczególnie cenną z punktu widzenia zarządzania kryzysowego – lokalizację użytkowników. Okazuje się ona kluczowa w sytuacjach zagrożenia (kiedy np. w krótkim czasie trzeba odnaleźć osoby zaginione), jest jednak równie przydatna, zanim wystąpi kryzys. FEMA wspólnie z Federalną Komisją Łączności (Federal Communications Commission) uruchomiła kilka miesięcy temu pilotażowy projekt o nazwie PLAN (skrót od: Personalized Localized Alerting Network, ang. Sieć Spersonalizowanych i Zlokalizowanych Powiadomień). O ile NotifyNYC informuje w przybliżeniu „wszystkich o wszystkim”, o tyle PLAN ma w założeniach wysyłać wiadomości o znaczeniu krytycznym dla grupy osób znajdujących się w ściśle określonym miejscu. Mogą to być np. ostrzeżenia dla

Jednym z zagrożeń zarządzania ryzykiem w mediach społecznościowych jest szybkość rozprzestrzeniania się informacji. Jest to też atut, jeśli szybko podejmiemy reakcję.

Inicjatywy rozwojowe Wykorzystanie mediów społecznych w zarządzaniu kryzysowym jest nowym pomysłem, dlatego istotne są wszelkie inicjatywy zmierzające w kierunku usystematyzowania

działań i eksploracji możliwości wykorzystania technologii. Koalicja SMEM (Social Media in Emergency Management) jest jednym z takich przedsięwzięć. W sposób nieformalny skupia ona praktyków zainteresowanych wymianą doświadczeń oraz wzrostem popularności rozwiązań wspierających zastosowanie serwisów społecznościowych w zarządzaniu kryzysowym.

W 2009 r. powódź w Australii uwięziła dwie nastolatki w odpływie burzowym. Zamiast zadzwonić pod numer telefonu alarmowego, wysłały one informację o swojej sytuacji na Facebooka. Udało się je uratować tylko dzięki szczęśliwemu zbiegowi okoliczności – ich kolega akurat przeglądał informacje przesłane przez znajomych i powiadomił odpowiednie służby. Jak twierdzą strażacy, którzy je uratowali – skoro mogły załadować stronę WWW, mogły też

zadzwonić na 000 (australijski numer alarmowy). Warto pamiętać, że social media są po prostu kolejnym narzędziem, które ma swoje mocne i słabe strony. Facebook, Twitter i inne podobne serwisy ułatwiają i przyspieszają kontakt, ale nie zastąpią wszystkich kanałów komunikacji. W sytuacjach kryzysowych (firmowych i społecznych) nie możemy zapominać o mediach tradycyjnych.

Zagrożenia 112 blindness Czasami nowe technologie powodują, że zachłyśnięci ich możliwościami zapominamy o starych, sprawdzonych, często nawet lepszych lub bardziej odpowiednich w danej sytuacji formach kontaktu.

Brak kontroli Przykładem sytuacji, w przypadku której znaczącą rolę odegrały brak kontroli opinii na temat firmy w mediach społecznościowych oraz opóźniona reakcja na zdarzenie, jest znana już wszystkim katastrofa na platformie

Wyzwania

Deepwater Horizon, należącej do koncernu BP (British Petroleum). Studium tego przypadku mogłoby zająć kilkanaście stron, ale w kontekście tego artykułu ważne są dwa kardynalne błędy. Pierwszym z nich jest czas - 7 dni od zdarzenia (w przypadku zarządzania kryzysowego to jak 7 lat), jakie zajęło tej firmie przeanalizowanie sytuacji i uruchomienie dialogu ze społeczeństwem poprzez media społecznościowe. Drugim jest brak oficjalnego stanowiska w sprawie fałszywego profilu firmy na jednym z większych portali społecznościowych. Publikowano tam prześmiewcze komentarze w imieniu i na temat firmy. Cała sytuacja doprowadziła do tego, że fałszywy profil był obserwowany przez 180 000 użytkowników, a ten właściwy, należący do firmy, tylko przez 19 000 użytkowników. Pomimo tego, że firma podjęła później szereg działań zmierzających do poprawy jej wizerunku (filmy, zdjęcia, wypowiedzi członków zarządu, płatne reklamy w wyszukiwarkach etc.) brak kontroli i szybkiej reakcji na zdarzenie miał olbrzymi wpływ na ocenę działań podejmowanych przez firmę w ramach komunikacji kryzysowej. Narzędzie lub źródło kryzysu Jak bardzo potężną siłę dają użytkownikom media społecznościowe, przekonały się władze Bank of America, którym udowodniono nadużycia podatkowe. W wyniku tego zdarzenia, za pośrednictwem

jednego z serwisów społecznościowych zorganizowano i omówiono ze szczegółami plan masowej akcji protestacyjnej, która doprowadziła do całkowitej blokady 50 placówek banku i konieczności ewakuacji części pracowników. W tym przypadku trudno mówić o tym, że można było temu zapobiec, ale podobne akcje organizowane są coraz częściej i stają się

wolonych klientów, co zaczęło przypominać zorganizowaną akcję przeciwko tej firmie. Całe zdarzenie zostało szybko podchwycone i skomentowane przez media tradycyjne i miało istotny wpływ na wizerunek tej firmy. Aby zapobiec dalszym stratom wizerunkowym, firma podjęła kroki naprawcze i uruchomiła dedykowany serwis internetowy w celu

Przygotowując się do wykorzystania mediów społecznościowych na potrzeby komunikacji kryzysowej, trzeba ustalić jej strategię i założenia. Ważne są szkolenia pracowników. istotnym narzędziem w rękach różnych grup nacisku.

usprawnienia obsługi klienta i utrzymania z nim dialogu.

Spóźniona reakcja Kolejny przykład nie dotyczy bezpośrednio zdarzenia, które wystąpiło w wyniku sytuacji kryzysowej, ale można powiedzieć, że w jakimś stopniu było jej przyczyną. Jest to równie dobrze zanany przykład, kiedy duży koncern zignorował akcję prowadzoną przez jednego z bardziej wpływowych blogerów. Do tego firma nie monitorowała opinii, które pojawiały się w mediach społecznościowych na jej temat i nie zareagowała na nie w odpowiednio krótkim czasie. Sytuacja została wykorzystana przez znanego dziennikarza, Jeffa Jarvisa, który na swoim blogu opisał negatywne opinie na temat posprzedażowej obsługi klientów i serwisu produktów firmy Dell. Do akcji przyłączyło się wielu niezado-

Brak zaangażowania Przykład NotifyNYC skłania do myślenia i zadawania pytań: dlaczego Warszawa/Kraków/ Poznań/inne miasta nie mogą mieć podobnej usługi? Okazuje się, że nawet w Stanach Zjednoczonych dostarczanie informacji kryzysowych przez media społecznościowe nie przychodzi łatwo. Przy obecnym nasyceniu społeczeństwa urządzeniami mobilnymi coraz mniejsze problemy sprawia pozyskiwanie informacji; wąskim gardłem okazuje się ich filtrowanie i dalsza dystrybucja. Ktoś musi przecież z tego zalewu informacji wyłowić to, co wartościowe i prawdziwe. To jest praca na pełny etat. Podobnie w firmach prywatnych – bez wyznaczenia osoby, która będzie odpowiadała za relacje z mediami społecznościowymi,

WRZESIEŃ 2012 www.prevent-magazine.pl

trudno wyobrazić sobie skuteczną komunikację. Brak zaangażowania w dialog ze społecznościami internetowymi to zagrożenie przejęcia tej relacji przez wrogo nastawioną organizację (np. konkurencyjną firmę, przeciwnika politycznego). Szanse Szybszy dostęp do informacji Bardzo często o ludzkim życiu decydują dosłownie chwile. Jak w czasie wspomnianego trzęsienia ziemi w Japonii – czasami kilkanaście sekund wystarczy, by opuścić zagrożony budynek. Tyle właśnie czasu potrzebuje krótka wiadomość tekstowa, by z systemu wczesnego ostrzegania o silnych wstrząsach dotrzeć do telefonu komórkowego każdego Japończyka. Kilkanaście sekund wystarczy, by wysłać status na Twittera, kiedy bateria naszego telefonu jest na wyczerpaniu, a po wybraniu numeru 112 słyszymy w słuchawce nagrany komunikat: „proszę czekać na zgłoszenie się operatora”. Odpowiednie wykorzystanie technologii mobilnych i serwisów społecznych przyczyni się w przyszłości do znacznego zwiększenia skuteczności różnego rodzaju akcji ratowniczych. Narzędzia korporacyjne Korzyści wynikające z użytkowania serwisów społecznościowych dostrzegają największe światowe korporacje i producenci oprogramowania. Wychodząc naprzeciw oczeki-

waniom klientów lub (jak kto woli) idąc z duchem czasu, stworzono już wiele takich narzędzi. Są to zamknięte serwisy społecznościowe, wykorzystywane do komunikacji z pracownikami, edukacji w zakresie bezpiecznego użytkowania tych Internetu, angażowania pracowników w życie firmy i wpływania na kluczowe decyzje kierownictwa, wspierania komunikacji kryzysowej wewnątrz firmy. Chodzi tu zarówno o zbieranie komentarzy pracowników, ich obserwacji i ważnych dla bezpieczeństwa firmy informacji, jak i przekazywanie im statusu zdarzeń lub ważnych komunikatów kryzysu w firmie. Przykładem takich rozwiązań są Yammer firmy Sunguard lub Beehive firmy IBM. Pierwszy z nich w 2010 roku osiągnął liczbę 1 miliona użytkowników w ponad 80 000 organizacji. Niezbędne działania organizacyjne Zgodnie z najlepszymi praktykami w zakresie zarządzania organizacją, a tym bardziej zarządzania sytuacjami kryzysowymi, przygotowując się do wykorzystania mediów społecznościowych na potrzeby komunikacji kryzysowej, należy podjąć przynajmniej minimum działań organizacyjnych. Przede wszystkim chodzi tu o ustalenie strategii oraz podstawowych założeń do takiej komunikacji. Należy opracować zakres i cele wykorzystania tego kanału komunikacji, określić

kryteria i zakres zaangażowania firmy z użytkownikami tych serwisów, wybrać pracowników odpowiedzialnych za monitoring mediów (w tym portali społecznościowych), mających odpowiednie uprawniania i mogących podjąć natychmiastowe działania na wypadek pojawienia się pejoratywnych, czy wręcz negatywnych lub opinii na temat firmy. Każdy z kluczowych pracowników tego zespołu powinien mieć swojego zastępcę – osobę o podobnych kompetencjach. Kolejnym krokiem jest opracowanie procedury eskalacji na wypadek zdarzeń, które wykraczają poza zakres kompetencji pracowników. Powinna to być krótka ścieżka komunikacji z osobami lub grupami decydentów, odpowiedzialnych za komunikację firmy na zewnątrz, którzy mogą podejmować kluczowe decyzje odnośnie niestandardowych zdarzeń. Kluczowym czynnikiem dla zapewnienia sukcesu w wykorzystania mediów społecznościowych są szkolenia pracowników. Chodzi tu zarówno o osoby odpowiedzialne za ten kanał komunikacji, jak i pozostałych pracowników. Takie szkolenia powinny obejmować tematykę dotyczącą najnowszych praktyk, metod i trendów, ale też skutków nieodpowiedzialnego użytkowania mediów społecznościowych (zwłaszcza w imieniu firmy). Zarówno w budowanie strategii komunikacji firmy poprzez media

Wyzwania społecznościowe, jak i w zarządzanie realną sytuacją kryzysową powinni być zaangażowani pracownicy z różnych działów firmy i pełniący funkcję na różnych szczeblach organizacji. Prawnicy, pomocni w ocenie skutków prawnych wypowiedzi zamieszczanych zarówno przez pracowników firmy, jak i innych użytkowników serwisów. Pracownicy działów zarządzania ryzykiem, którzy mogą ocenić zagrożenia wynikające z użytkowania tych kanałów komunikacji. Przedstawiciele działów zarządzania personelem, odpowiedzialni za organizację szkoleń. Wreszcie osoby zarządzające firmami, w imieniu których prowadzona jest komunikacja do klientów i innych użytkowników serwisów społecznościowych. Należy pamiętać, że niezwykle ważnym czynnikiem pozwalającym na osiągniecie założonych celów i sukcesu jest stałe monitorowanie opinii i komentarzy dotyczących naszej firmy. W tym celu można skorzystać z usług firm zewnętrznych. Można także kupić komercyjne lub skorzystać z darmowego oprogramowania, które (przy odpowiedniej konfiguracji) może automatycznie monitorować Internet pod kątem pojawiania się określonych haseł (np. nazwy naszej firmy lub oferowanych przez nią produktów, marek etc.). AUTOR: Marcin Marczewski, Wiceprezes Zarządu Resilia Sp. z o.o., konsultant i ekspert w dziedzinie bezpieczeństwa biznesu, www.resilia.pl

Media społecznościowe w kryzysie Wygląda na to, że już wiele firm potrafi w sposób świadomy i efektywny zarządzać komunikacją kryzysową w mediach społecznościowych. Eksperci zwracają uwagę na rosnący zasięg tego kanału komunikacji i pojawianie się coraz nowszych technologii, takich jak blogi, nowe serwisy społecznościowe, kanały RSS (Really Simple Syndication), które mają większy niż kiedykolwiek wcześniej potencjał, docierając do większej liczby osób z coraz bardziej istotnymi wiadomościami. Wiadomo też, jakie zagrożenia i konsekwencje dla firm z różnych branż może przynieść nieumiejętne korzystanie z tych kanałów komunikacji lub brak monitorowania tego, co mówi się o firmie w sieci. Wynikiem dyskusji i wymiany doświadczeń między ekspertami z różnych branż są zalecenia dla przedsiębiorców zamieszczone w raporcie „Social Media and Risk Communications during Times of Crisis”. Dotyczą one konieczności poprawy i doskonalenia ich wiedzy na temat korzystania z mediów społecznościowych w celu doskonalenia strategii komunikacji kryzysowej. Najważniejsze wskazówki zamieszczone w raporcie: •W komunikacji kryzysowej w mediach społecznościowych należy głównie skupiać się na treści wiadomości, a nie na sposobie i kanale jej komunikowania, należy też zadbać o zbudowanie grupy osób pełniących funkcję ambasadorów naszej marki.

• Publikowane wiadomości powinny być zwięzłe i krótkie – ludzie nie lubią czytać długich opisów, zwykle tylko skanują tekst w poszukiwaniu interesujących informacji. • Należy zadbać, aby odbiorcy wiadomości mieli też swój wkład w wydarzenia dotyczące Twojej firmy. Prawidłowa komunikacja polega na dialogu, a nie wygłaszaniu exposé. • Nie należy tworzyć zupełnie nowych komunikatów. Wiadomości zamieszczane w mediach społecznościowych powinny mieć jednorodny charakter z informacjami publikowanymi w innych mediach. •Z godnie z zasadą „What if?”, znaną osobom zajmującym się zarządzaniem ryzykiem, należy przygotować się na zdarzenia nieoczekiwane (np. awaria sprzętu, brak dostępu do Internetu, brak kompetentnych pracowników). Należy opracować Plan B. • Najważniejszy jest człowiek. Działania dotyczące zarządzania komunikacją kryzysową należy zawsze opierać na ludziach. Ludzie wykonają swoje zadania nawet, gdy kluczowe zasoby będą niedostępne. • Należy unikać zajmowania stanowiska „wiemy lepiej, co mamy robić”. Słuchajmy komentarzy ludzi z zewnątrz, mogą nam się przydać. • Nie należy korzystać od razu ze zbyt wielu portali społecznościowych. Zacznijmy od jednego lub dwóch. Poznajmy dokładnie i wykorzystajmy ich pełną funkcjonalność i możliwości. Unikajmy nowych i niesprawdzonych rozwiązań.

Social Media

Gdzie jest Nick?

czuje się na Facebooku jak w domu, jest przecież wśród znajomych! Ta sytuacja powoduje, że jakakolwiek podejrzliwość czy nawet zwykła ostrożność zanika. Tu nie trzeba hakera, wystarczy zwykłe zagranie na emocjach. „Kliknij mnie, a będę Ci zawsze przypominał o urodzinach Twoich znajomych” – powiedział pod koniec zeszłego roku „Mój kalendarz”. Użytkownicy zgodnie zezwolili na pobranie długiej listy osobistych danych, łącznie z loginem do ich kont facebookowych, tylko po to, żeby

Czyli użytkownicy w sieci własnej głupoty Internet – jak cała dzisiejsza technologia – rozwija się z niezwykłą prędkością i mimo iż czasy 0-202122 wydają się prehistorią, to jednak wielu z nas pamięta jeszcze liczenie impulsów, swój e-mail na Polboxie czy hasło do konta na IRC-u. Zmiany, zmiany... Facebook podczas budowania swojej popularności szedł siłą wielkiego rozpędu, ucząc się na własnych błędach. Przez dosyć szybkie udostępnienie swojego API dla zewnętrznych deweloperów spowodował zawrotne namnażanie się aplikacji. Obok tych rozrywkowych czy konkursowych bez problemu pojawiały się te, które mogły nam solidnie zaszkodzić. Jeszcze 2 lata temu Facebook posiadał mnóstwo „backdoorów”, które sukcesywnie likwidowane „uszczelniają”

Rozwój Social Media jest zdecydowanie szybszy niż wzrost świadomości użytkowników, którzy mimo iż są w Internecie, od wielu lat nadal nie potrafią uczynić z sieci narzędzia nad którym w pełni panują. co chwilę ktoś chce się dobrać do naszych danych. Dane osobowe stały się towarem, posługiwanie się naszymi profilami w celach „marketingowych” jest nagminne, a mimo to statystyczny użytkownik tylko szuka jeszcze większej liczby rubryczek do wypełnienia, aby jeszcze dokładniej opisać się na swoim profilu serwisu internetowego, ostatnio głównie tego o nazwie Facebook.

system do zadowalającego poziomu. Dla użytkowników szczególne znaczenie ma tutaj zrezygnowanie z wyświetlania ramek IFRAME, które skutecznie umożliwiały aplikacjom np. przekazywanie pobranych informacji osobom trzecim wraz z loginem i hasłem do naszego profilu. Wykorzystanie IFRAME dawało też możliwość ukrycia wielu funkcji aplikacji, co umożliwiało chociażby zatwierdzenie

WRZESIEŃ 2012 www.prevent-magazine.pl

zezwoleń pobrania danych bez naszej wiedzy, przy wykonywaniu funkcji, które pozornie nie były związane z przekazywaniem aplikacji czegokolwiek. Obecnie funkcjonujący system – opierający aplikacje Facebooka na HTML-u, JavaScripcie i CSS – wyeliminował te niebezpieczeństwa, ale wciąż niektóre z Social Plugins, jak chociażby kochany przez wszystkich przycisk „Lubię to!”, mogą być ukryte tak, że nawet nie będziemy wiedzieć, iż je kliknęliśmy. Z tej „furtki” ostatnimi czasy często korzystały „farmy fanów”, czyli Fan Pages, nabijające „lajki” tylko po to, żeby potem wystawić się na sprzedaż z pokaźną liczbą fanów na liczniku.

Rozwój Social Media jest zdecydowanie szybszy niż wzrost świadomości użytkowników, którzy mimo iż są w Internecie,

od wielu lat nadal nie potrafią uczynić z sieci narzędzia nad którym w pełni panują. Charakter mediów społecznościowych sprzyja wykształceniu wśród użytkowników pozytywnego efektu „halo” i nie pozwala im obiektywnie spoglądać na sytuacje spotykane w sieci. O ile na rynku dóbr „namacalnych” konsument coraz częściej staje się prosumentem, tak w sieci o rozwój takiego podejścia trudno, co staje się podatnym gruntem dla wszelkiego rodzaju manipulacji, którym nawet najlepszy firewall nie da rady.

... i co z tego? Łatający dziury Facebook tak czy inaczej radzi sobie nieźle, aczkolwiek jeden ze słabych punktów może być wyjątkowo uciążliwy – jest nim standardowy użytkownik. Pomimo że serwis walczy z opinią podstępnego „wysysacza” danych, chociażby prezentując jak na dłoni to, czego chcą od nas aplikacje, to userzy i tak klikają rzeczy irracjonalne z perspektywy bezpieczeństwa w Internecie. Użytkownik Social Media

Zdjęcie: Fotolia

tedy każdy – przed zarejestrowaniem się w jakiejkolwiek usłudze – najpierw myślał o tym, jaki przydomek sobie wymyślić, jaki login wybrać, aby przypadkiem nie funkcjonować w sieci pod własnym nazwiskiem. Oczywiście można powiedzieć, że wynika to z mocno partyzanckich korzeni Internetu, ale przecież podczas jego popularyzacji w Polsce charakter sieci był już mocno komercyjny. Wtedy nie stało przed nami aż tyle zagrożeń, ale jednak woleliśmy być Mario18 niż Markiem Kowalskim z Oławy. Obecnie

dołączyć do aplikacji, która nie daje im nic nowego, bo przecież Facebook sam przypomina o urodzinach naszych profilowych przyjaciół. Podobne zabiegi pojawiają się do dziś, może nie na aż tak dużą skalę, ale osiągają zamierzony cel, rozprzestrzeniając wirusowe komunikaty reklamowe, pobierając dane, zdobywając tysiące „Lubię to!”.

AUTOR: Maciek Gołębiowski, Head of How-to-do w Juice-Social, www.juice.pl

Kampanie mobilne

Skuteczność i bezpieczeństwo komunikacji

SMS P

ierwsze kampanie mobilne z wykorzystaniem krótkich wiadomości tekstowych przeprowadzano już w latach 90. XX wieku, a sama technologia, która jest

wiadomości tekstowe z takiej perspektywy, można odnieść wrażenie, że przez ostatnie 20 lat o zastosowaniu SMS-ów w komunikacji informacyjno-marketingowej powiedziano

Mówienie językiem korzyści oraz uwzględnienie zainteresowań odbiorców, pozwala ograniczyć do minimum liczbę osób niezadowolonych z otrzymania reklamowego SMS-a. podstawą funkcjonowania usługi SMS, nie zmieniła się do dzisiaj. Patrząc na krótkie

już wszystko. Nie jest to jednak prawda, ponieważ dynamicznym przeobrażeniom podlega

WRZESIEŃ 2012 www.prevent-magazine.pl

całe otoczenie, w którym funkcjonują krótkie wiadomości tekstowe. Zmienia się zarówno obszar prawodawstwa, jak i preferencje odbiorców treści mobilnej, pojawiają się nowe możliwości komunikacji. W rezultacie dostawcy usług mobilnych wprowadzają do swojej oferty nowe, doskonalsze produkty i dodatkowe narzędzia wspomagające. Wszystko to sprawia, że kanał mobile stale ewoluuje, a twórcy kampanii SMS odczuwają konieczność ciągłego

Zdjęcie: SMSAPI

Kampanie mobilne z zastosowaniem krótkich wiadomości tekstowych znane są przedsiębiorcom i marketingowcom już od wielu lat, jednak to właśnie dzisiaj branża mobilna dysponuje wiedzą i rozwiązaniami, które mogą uczynić działania w tym kanale bezpieczniejszymi i jednocześnie efektywniejszymi niż jeszcze kilka lat temu.

Kampanie mobilne

pogłębiania wiedzy, uważnego przyglądania się tematyce bezpieczeństwa i dobrych praktyk, które wyznaczają standardy w dynamicznie rozwijającej się branży mobile.

nowoczesną i otwartą na dwukierunkowy dialog z klientem. Wszystkie te korzyści są możliwe do osiągnięcia, jednak tylko pod warunkiem przestrzegania pewnych reguł

Dobrym sposobem na tworzenie relacji z konsumentami są konkursy i gry SMS-owe związane z daną marką. To też dobry sposób na pozyskiwanie danych do własnych baz. Promowanie wymaga planowania Marketing mobilny ma w sobie potencjał, który pozwala na skuteczną komunikację z otoczeniem wewnętrznym i zewnętrznym firmy, pozwala docierać z indywidualnym przekazem do szerokiego grona konsumentów, Kiedy i ile SMS-ów wysyłać? Wiadomości SMS powinny być wysyłane w takich godzinach i w takiej ilości, aby nie były postrzegane przez odbiorców jako uciążliwe. Z pewnością wysłanie wiadomości reklamowej wcześnie rano lub późno wieczorem może zdenerwować odbiorcę, ponieważ naruszy jego osobistą przestrzeń. Z praktyki platformy SMSAPI wynika, że najlepszym rozwiązaniem jest wysyłanie komunikatów od poniedziałku do soboty, nie wcześniej niż o godz. 9.00 i nie później niż o 20.00.

budować długofalowe relacje z partnerami biznesowymi, wspierać sprzedaż również w innych kanałach, a także pozycjonować markę jako

i zasad obowiązujących w SMS-marketingu. Najlepszym drogowskazem dla twórców kampanii mobilnych są przepisy prawne (Ustawa o ochronie danych osobowych, Prawo Telekomunikacyjne) oraz kodeks dobrych praktyk opracowany przez polskich operatorów GSM we współpracy z IAB Polska, Agora, Interia, WP oraz Onet. Warto bliżej przyjrzeć się kilku zagadnieniom wynikającym z lektury tych materiałów, ponieważ realizacja działań mobilnych według pewnych wytycznych gwarantuje zarówno bezpieczeństwo, jak i efektywność kampanii marketingowych. Jako czynniki wpierające udaną akcję reklamową w kanale mobilnym na pewno warto wymienić: posiadanie własnej bazy danych stworzonej na indywidualne potrzeby marki, działanie w zgodzie z zasadami permission marketingu (za przyzwoleniem klienta), dostosowanie treści i formy komunikatu do grupy docelowej, zarządzanie czasem i ilością wysyłek.

WRZESIEŃ 2012 www.prevent-magazine.pl

Własna baza Punktem wyjścia do realizacji kampanii SMS jest zebranie wartościowych baz danych odbiorców. Potencjalnymi adresatami przekazu powinny być osoby bezpośrednio zainteresowane daną marką lub firmą. Zakupione od brokerów bazy danych nie spełniają tego warunku, ponieważ nie są precyzyjnie targetowane i dedykowane dla potrzeb jednej marki. Z doświadczenia klientów platformy usługi mobilnej SMSAPI wynika, że efektywność kampanii SMS realizowanych do zakupionych baz odbiorców waha się w granicach 0-2%, podczas gdy działania skierowane do własnych klientów i osób zainteresowanych marką cieszą się skutecznością na poziomie 20-30% (efektywność liczona jest jako odsetek osób, które skorzystały z danej oferty pod wpływem wiadomości SMS). Tworzenie własnych baz danych nie jest wytyczną wynikającą bezpośrednio z przepisów prawa, jednak znajduje poparcie w kodeksie dobrych praktyk: „Reklamy powinny być wysyłane wyłącznie do starannie dobranej grupy docelowej [...] Kampanie wysyłane do „wszystkich” w większym stopniu narażają reklamodawcę na negatywne skojarzenia i utratę dobrego wizerunku.” (Kodeks dobrych praktyk reklamy mobilnej, punkt 8a. Targetowanie).

Zbieranie własnych baz danych nie musi być przedsięwzięciem generującym wysokie koszty. Wręcz przeciwnie – w porównaniu do budżetu, jaki często jest przeznaczony na wynajem/ zakup baz od brokerów, może okazać się działaniem korzystnym również z perspektywy finansowej. Dodatkowo bazy własne można rozbudowywać i wykorzystywać wielokrotnie, baza wynajęta służy tylko do jednorazowej wysyłki. Pozostaje więc jeszcze pytanie: jakie działania podjąć przy konstruowaniu własnych baz danych? Na początek można skorzystać z kilku prostych, ale sprawdzonych pomysłów. 1. Numery dedykowane Jedną z możliwości pozyskiwania danych osobowych jest wykupienie numeru dedykowanego, na który zainteresowane marką osoby mogą wysyłać swoje zgłoszenie do udziału w kampaniach. Pozyskanie w niedługim czasie wartościowych rekordów jest możliwe dzięki zaoferowaniu konsumentom atrakcyjnego rabatu, prezentu lub innej wartości dodanej. Informowanie o możliwości zapisania się do bazy poprzez ulotki, plakaty, punkty sprzedaży, Internet (portale, strona firmowa, blogi) pomoże dotrzeć do szerokiego grona konsumentów. 2. Zapisanie się na stronie internetowej Pozyskiwanie rekordów może się też odbywać poprzez stronę internetową firmy. Udostępnia-

jąc możliwość dopisania się do newslettera z najnowszymi informacjami o wydarzeniach związanych z daną organizacją, można dodatkowo zapytać o zgodę na wysyłkę wiadomości marketingowych. Jeśli internauta zaakceptuje warunki, można dołączyć jego numer do bazy. 3. Konkursy SMS Dobrym sposobem na tworzenie relacji z konsumentami są konkursy i gry związane z daną marką. Uczestnicy, którzy wezmą udział w konkursie, wyrażając w ten sposób zgodę na przetwarzanie swoich danych, chętnie będą uczestniczyć także w kolejnych kampaniach reklamowych i informacyjnych, promujących produkt czy usługę. Konkurs SMS można zrealizować z pominięciem usługi Premium, bazując na krótkich numerach Short Code. Są to numery 4- lub 5-cyfrowe bez podwyż-szonej opłaty. Brak dodatkowych kosztów (poza standardową stawką operatora za wysłanie 1 wiadomości SMS) i łatwy do zapamiętania numer z pewnością zachęcą osoby zainteresowane marką do interakcji. 4. Organizacja programów lojalnościowych Karty rabatowe, zniżki i promocje to dodatkowe wartości, z których konsumenci lubią korzystać. Tworzenie programów lojalnościowych oraz tzw. VIP Clubów pomaga zebrać społeczność zainteresowaną wydarzeniami i ofertami specjalnymi.

Przyzwolenie i akceptacja odbiorcy Zgodnie z zasadami permission marketingu, wysyłkę wiadomości SMS zawierających treści reklamowe można kierować tylko i wyłącznie do osób, które jednoznacznie i świadomie wyraziły chęć uczestniczenia w takiej komunikacji. W tym celu niezbędne jest utworzenie bezpośredniego zapytania o zgodę na przetwarzanie danych osobowych wraz z prośbą o zaznaczenie odpowiedzi potwierdzającej. Dopiero po przyzwoleniu ze strony odbiorcy jego dane mogą zostać przetworzone. Ponadto, nawet jeśli uzyska się zgodę odbiorców na przesyłanie treści reklamowych, należy przez cały czas pozostawić możliwość wycofania zgody, a także aktualizacji swoich danych osobowych. Konieczność uzyskania zgody na przesyłanie informacji marketingowych wynika bezpośrednio z przepisów prawa: „Przetwarzanie danych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) [– nie dotyczy kampanii mobilnych], 3) [– nie dotyczy kampanii mobilnych], 4) [– nie dotyczy kampanii mobilnych], 5) jest to niezbędne

Kampanie mobilne

dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych

albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.” (Ustawa o ochronie danych osobowych, rozdział 3. Zasady przetwarzania danych osobowych art. 23). Nierespektowanie Ustawy o ochronie danych osobowych

zagrożone jest konsekwencjami prawnymi: „Kto przetwarza w zbiorze dane osobowe, choć ich

przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest upoważniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. (Ustawa o ochronie danych osobowych, rozdział 8. Przepisy karne, art. 49. punkt 1).

WRZESIEŃ 2012 www.prevent-magazine.pl

Komunikat szyty na miarę Zbieranie informacji na temat konsumentów i stworzenie na ich podstawie własnej bazy danych umożliwia kierowanie do odbiorców interesujących dla nich treści, co jest równoznaczne z większym zaangażowaniem w kampanię reklamową marki. Mówienie językiem korzyści oraz działanie w zgodzie z preferencjami zakupowymi i zainteresowaniami odbiorców, pozwala ograniczyć niemal do minimum liczbę osób niezadowolonych z otrzymania reklamowego SMS-a, a jednocześnie zredukować koszty wysyłek. Niezbędnymi elementami pomocniczymi w dostosowaniu komunikatu do klienta jest targetowanie i personalizacja. Przykładem takiego działania jest np. wysłanie m-kuponu rabatowego w dniu urodzin z możliwością jego zrealizowania w określonym czasie (rys.). Inne istotne cechy przekazu to także rzetelność (fakty, nie obietnice) oraz otwartość w komunikacji – przedstawienie zarówno samej firmy, jak i celu wysłania wiadomości. Odczytując komunikat odbiorca powinien od razu wiedzieć, przez kogo został wysłany i jaki charakter ma dana informacja: „Do kanonów savoir-vivre’u pushowego, tak jak w przypadku prowadzenia rozmów telefonicznych, należy bezwzględne poinformowanie Odbiorcy, kto jest nadawcą komunikatu, co pozwoli na szybką kwalifikację charakteru otrzymanej wiadomości.”

(Kodeks dobrych praktyk reklamy mobilnej, punkt 8e. Identyfikator nadawcy). SMS nigdy nie może też sugerować korzyści, których konsument ostatecznie nie otrzyma: „Reklama nie może wprowadzać Odbiorcy w błąd ani składać obietnic, które później nie są spełniane. W przypadku gdy reklama zaprasza Odbiorców do interakcji: wysłania SMS-a, skorzystania z aplikacji, etc., należy poinformować, ile będzie to Odbiorcę kosztowało.” (Kodeks dobrych praktyk reklamy mobilnej, punkt 8c. Rzetelność). Czas i częstotliwość Wiadomości SMS powinny być wysyłane w takich godzinach i w takiej ilości, aby nie były postrzegane przez odbiorców jako uciążliwe. Z pewnością wysłanie wiadomości reklamowej wcześnie rano lub późno wieczorem może zdenerwować odbiorcę, ponieważ naruszy jego osobistą przestrzeń. Z praktyki platformy SMSAPI wynika, że najlepszym rozwiązaniem jest wysyłanie komunikatów od poniedziałku do soboty, nie wcześniej niż o godz. 9.00 i nie później niż o 20.00. Także zbyt częste komunikowanie się nie będzie przez konsumentów mile widziane – SMS powinien być wysyłany wtedy, gdy zawarta w nim informacja stanowi dla konsumenta wartościową

informację (rabat, kupon, życzenia okolicznościowe, ciekawe wydarzenie, konkurs), a takie sytuacje nie zdarzają się przecież codziennie. Warto koordynować swoje działania w taki sposób, aby SMS był dla klienta miłym zaskoczeniem. Nigdy nie należy wysyłać wiadomości częściej niż raz w tygodniu. W przypadku komunikacji SMS bardzo często mniej znaczy więcej: „W przypadku tak osobistego „medium”, jakim jest telefon komórkowy, ważne jest, aby poza precyzyjnym doborem odbiorców reklama była dostarczana w odpowiednim czasie i miejscu. Z grupy docelowej należy wykluczyć te osoby, co do których wykorzystano limit intensywności kontaktów.” (Kodeks dobrych praktyk reklamy mobilnej, punkt 8a. Targetowanie).

prowadzonych działań. Planowanie wartościowej dla konsumentów kampanii mobilnej wymaga kreatywności i podjęcia dodatkowych inicjatyw, jednak przynosi także nieporównywalnie lepsze efekty oraz wzmacnia wizerunek firmy w oczach jej klientów, partnerów i całego otoczenia biznesowego.

Warto doczytać: 1. Kodeks dobrych praktyk reklamy mobilnej: http://www.t-mobile.pl/r/ era_pl_repo1/documents/biz/kodeks_ dobrych_praktyk_reklamy_mobilnej. pdf 2. Ustawa z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne, dział VII: Tajemnica telekomunikacyjna i ochrona danych użytkowników końcowych, art. 159-175. 3. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych. 4. Baza Wiedzy o SMS marketingu: http://www.smsapi.pl/baza-wiedzy

Na zakończenie Wszystkie omówione powyżej aspekty prowadzenia działań marketingowych w kanale mobile mogą początkowo wydać się pewnym utrudnieniem dla przygotowania prostej i skutecznej kampanii SMS, jednak w praktyce jest odwrotnie. Znajomość przepisów prawa i etykiety komunikacji mobilnej gwarantuje bezpieczeństwo kampanii, eliminując możliwość powstania zagrożeń dla wizerunku firmy oraz przekłada się na wyższą skuteczność

AUTORZY: Andrzej Ogonowski, kierownik działu marketingu SMSAPI.pl, www.smsapi.pl Anna Isakow, specjalista ds. PR SMSAPI.pl, www.smsapi.pl

Bezpieczeństwo danych

Acronis radzi: jak skutecznie tworzyć kopie zapasowe w firmie

W ciągu ostatnich lat ilość cyfrowych danych przechowywanych na dyskach twardych i innych nośnikach pamięci masowej odnotowała olbrzymi wzrost. Dotyczy to danych gromadzonych zarówno przez użytkowników indywidualnych, jak i firmy różnej wielkości. Ten stale utrzymujący się trend wymaga, zwłaszcza w wypadku przedsiębiorstw, opracowania odpowiedniej strategii tworzenia kopii zapasowych i odzyskiwania, która w przypadku poważnej awarii systemu lub innych zdarzeń losowych pozwoli w szybki i niezawodny sposób zabezpieczyć firmowe dane.

nformacje są często najcenniejszymi i najbardziej kluczowymi zasobami przedsiębiorstwa. Przyczyny utraty istotnych i poufnych danych mogą być różne – począwszy od skradzionego komputera i zagubionego laptopa, poprzez utratę przenośnej pamięci masowej (np. USB, CD) czy taśm z kopiami zapasowymi, aż po awarie sprzętu oraz omyłkowe usunięcie danych przez pracownika. Utratę ważnych dokumentów lub trwającą długo awarię systemu szczególnie dotkliwie mogą odczuć małe i średnie przedsiębiorstwa.

Aby uniknąć przestoju, czyli w jak najkrótszym czasie po awarii powrócić do zwykłej działalności firmy, należy regularnie i według ustalonego planu tworzyć kopie zapasowe systemów i danych. Użycie odpowiedniego i łatwego w użyciu oprogramowania jest tu niezwykle ważne, ale należy również wziąć pod uwagę kilka istotnych kwestii koncepcyjnych. Poniżej kilka podstawowych wskazówek, które pomogą w opracowaniu odpowiedniej strategii, w tym planu tworzenia kopii zapasowych i odzyskiwania po awarii.

Jak pokazują dane z raportu „Acronis Disaster Recovery Index 2012” *, zaufanie do wewnętrznych procesów „backupu” i odzyskiwania danych – 6000 pracowników małych i średnich firm na całym świecie – wzrosło o 14% w stosunku do roku poprzedniego. To dobra wiadomość. Mimo to badanie Acronis pokazało jednocześnie, że przestoje systemu rocznie kosztują każdą firmę średnio 366 363 USD. Co zrobić, aby nie narazić firmowego budżetu na taką stratę?

Ustalenie danych priorytetowych Przegląd firmowych danych pozwoli szybko ocenić, które informacje są szczególnie istotne dla funkcjonowania przedsiębiorstwa i w przypadku których plików tworzenie kopii zapasowych jest niezbędne. Dzięki temu można również zlokalizować i oznaczyć te dane, które są mało ważne dla firmy (np. prywatne dokumenty), i wykluczyć je z procesu tworzenia kopii zapasowych. W ten sposób optymalizuje się zakres backupu do jedynie

WRZESIEŃ 2012 www.prevent-magazine.pl

istotnych danych, co pozwala na oszczędność czasu i miejsca ich przechowywania. Definiowanie czasu przywracania Czas odzyskiwania może być określony w zależności od ważności i zastosowania systemu czy też danych. Podczas gdy zarchiwizowane dane (long-term archive) mogą być odzyskane po kilku godzinach lub nawet dniach, wiadomości pocztowe czy serwer powinny być przywrócone w ciągu zaledwie kilku minut, tak aby jak najszybciej wznowić działalność firmy i zapewnić jej płynność funkcjonowania. Uwzględnienie wszystkich zasobów pamięci masowej Zasoby kluczowych danych przechowywane są w firmie w różnych miejscach i wszystkie te lokalizacje powinny być brane pod uwagę przy tworzeniu planu tworzenia kopii zapasowych i odzyskiwania. Są to: • Shared Resources (zasoby wspólne/dzielone) – to przede wszystkim serwery oraz inne

współdzielone zasoby, takie jak urządzenia pamięci masowej. W tym przypadku zaleca się tworzenie kopii zapasowych całego serwera lub macierzy dyskowej (Storage Array), co w razie konieczności przywrócenia utraconych danych pozwoli zaoszczędzić wiele czasu. • Sieć komputerów stacjonarnych – zarządzanie procesami tworzenia kopii zapasowych jest zdecydowanie łatwiejsze, jeśli użytkownicy zapisują dane na wspólnym nośniku pamięci. Komputery stacjonarne pracowników powinny być zintegrowane z centralnie zarządzanymi narzędziami i zautomatyzowanym systemem tworzenia kopii zapasowych. • Komputery przenośne – w wypadku notebooków i laptopów zaleca się tworzenie kopii zapasowych offline. Proces ten powinien być łatwy do przeprowadzenia dla użytkowników mobilnych, a najlepiej, jeśli uruchamiany jest zdalnie i w sposób automatyczny. Uwzględnianie zasobów wirtualnych Do tworzenia kopii zapasowych zwirtualizowanych systemów należy używać wyspecjalizowanych narzędzi. Efektywne rozwiązania do backupu pozwalają na bezpośrednie komunikowanie się z odpowiednim hypervisorem (backup oparty o hosta), a jednocześnie oferują przedsiębiorstwom pewną elastyczność przy wyborze innych metod, jak np. agenta lub VMware Consolidated Backup.

Wyeliminowanie backupu tych samych plików Aby uniknąć tworzenia kopii zapasowych identycznych plików przechowywanych na komputerach pracowników (co prowadzi do marnowania zasobów: czasu, pamięci czy przepustowości sieci), warto przy wyborze rozwiązania do backupu wziąć pod uwagę zintegrowane rozwiązania technologiczne, jak np. te umożliwiające deduplikację danych. Dotyczy to zwłaszcza firm, które generują wiele egzemplarzy tych samych plików lub systemów operacyjnych. Deduplikacja danych może znacząco zmniejszyć koszty ich przechowywania oraz związane z zarządzaniem nimi. Automatyzacja Manualne wykonywanie procesów tworzenia kopii zapasowych w przedsiębiorstwie wymaga nie tylko większych nakładów czasu, ale narażone jest również na błędy, przez co jest mniej niezawodne. Automatyzacja procesów regularnego tworzenia kopii zapasowych (pełnych lub przyrostowych) pozwala na oszczędność czasu i zasobów. Ponadto obecnie oferowane na rynku rozwiązania zawierają zdefiniowane schematy, które można w prosty sposób implementować, dodatkowo upraszczając cały proces backupu. Ochrona danych w chmurze Przy opracowywaniu strategii tworzenia kopii zapasowych i odzyskiwania należy też wziąć pod uwagę backup online. Coraz więcej firm adaptuje chmurę jako idealne uzupełnienie lokalnych koncepcji bezpieczeństwa.

Dzięki temu, w przypadku całkowitej awarii lub uszkodzenia powstałego w środowisku fizycznym, użytkownicy mają dostęp do zewnętrznych kopii zapasowych wszystkich firmowych danych i systemów. Ale uwaga: backup online, stosowany jako jedyna forma przechowywania kopii zapasowych, jest ryzykowny. W razie sytuacji awaryjnej użytkownik, aby dostać się do kopii zapasowych swoich danych, musi mieć dostęp do funkcjonalnego i szybkiego łącza internetowego, co nie zawsze jest możliwe. Wiele małych i średnich przedsiębiorstw zdaje sobie sprawę, że muszą włożyć więcej wysiłku w zabezpieczenie danych. Często obawiają się jednak złożoności procesów i skomplikowanych procedur, które wymagają dodatkowych nakładów inwestycyjnych oraz zaangażowania często i tak niewystarczających zasobów IT. Dlatego też firmy (głównie z sektora średnich przedsiębiorstw) coraz częściej korzystają z przyjaznych i łatwych w użyciu rozwiązań, które łączą w sobie funkcje odzyskiwania i ochrony danych oraz ich deduplikację, a także zabezpieczenie środowisk wirtualnych i backup online. * Badanie przeprowadzone przez Ponemon Institute wśród 18 państw na całym świecie, we wrześniu i październiku 2011 r. W badaniu wzięło udział ponad 6000 praktyków IT z małych i średnich firm zatrudniających nie więcej niż 1000 pracowników.

AUTOR: Dariusz Jarecki, Country Manager Acronis w Polsce, www.acronis.pl

Biznes

Podpis

elektroniczny – pierwsze wtajemniczenie

Ustawa o podpisie elektronicznym ma już 10 lat. Dla informatyki to cała epoka, tymczasem w Polsce liczba użytkowników e-podpisu może być liczona w setkach tysięcy. Jak na prawie 40-milionowy kraj nie jest to imponujący wynik.

rzyczyn niewielkiej popularności podpisu elektronicznego jest co najmniej

kilka: • przyzwyczajenie do własnoręcznego podpisywania dokumentów, • brak wiedzy o e-podpisie oraz wynikające z tego nieufność i niepewność, • wysokie koszty e-podpisu i jednocześnie pokutujący fałszywy stereotyp, że e-podpis oznacza wysoki koszt, • brak dostatecznej liczby usług, w których e-podpis wykazywałby swą użyteczność – w porównaniu do olbrzymiej liczby usług, które go nie wymagają, • brak interoperacyjności pomiędzy podpisami elektronicznymi różnych krajów. Na niektóre z wymienionych przyczyn nie mamy żadnego wpływu, jednak znaczna część problemów wynika z niewystarczającej wiedzy użytkowników.

E-podpis a jego wiarygodność To proste: podpisem elektronicznym opatruje się dokumenty elektroniczne. Odpowiada on podpisowi odręcznemu składanemu na dokumentach papierowych. E-podpis potwierdza autentyczność dokumentu po stronie odbiorcy. Analogicznie do podpisu odręcznego, wiarygodność podpisu elektronicznego i zaufanie, jakim możemy go obdarzyć, mogą być różne. Nie bez powodu funkcjonuje instytucja notarialnego poświadczania podpisu czy też potwierdzania podpisu przez upoważnione osoby w urzędach, bankach lub innych instytucjach. Podpis własnoręczny nie jest w pełni wiarygodny sam z siebie. Podobnie jest w dziedzinie podpisu elektronicznego – istnieje kilka jego rodzajów dających różne poziomy zaufania.

WRZESIEŃ 2012 www.prevent-magazine.pl

Czym jest e-podpis? Podpis elektroniczny to bardzo szerokie pojęcie. Najprostsze jego formy (tzw. podpis zwykły) dają niski poziom wiarygodności. Np. informacja aplikacji pocztowej o nadawcy e-maila lub skan grafiki podpisu dołączony do dokumentu. Możemy ufać takiej formie podpisu jedynie wtedy, gdy dobrze znamy nadawcę i jest on dla nas wiarygodny. Użyteczność tego rodzaju podpisu w praktyce jest znikoma. Jest on na tyle ważny, wiarygodny i skuteczny, na ile nadawca i odbiorca dokumentu umówią się w danej sytuacji, biorąc pod uwagę cały kontekst i potrzeby obu stron. Użyteczne biznesowo rodzaje e-podpisu oparte są na technice podpisu cyfrowego. Podkreślmy, że podpis elektroniczny i podpis cyfrowy odnoszą się do całkowicie różnych pojęć. Podpis elektroniczny jest pojęciem prawnym, uregulowanym

odpowiednimi ustawami (obecnie w Polsce: ustawa z dnia 18 września 2001 r. o podpisie elektronicznym z późniejszymi zmianami) i rozporządzeniami oraz Dyrektywą Europejską (Dyrektywa o Wspólnotowej Infrastrukturze Podpisów Elektronicznych 1999/93/EC). Podpis cyfrowy odnosi się do technologii opartej na kryptografii asymetrycznej (tzw. kryptografii klucza publicznego) i certyfikatach cyfrowych. Dzięki zastosowaniu techniki podpisu cyfrowego możemy uzyskać narzędzie – e-podpis – przydatne w praktyce biznesowej. Słów kilka o certyfikatach cyfrowych Podstawą podpisu cyfrowego są certyfikaty cyfrowe. Dysponując odpowiednim certyfikatem możemy m.in. składać podpis elektroniczny. Istnieją również certyfikaty o innym przeznaczeniu, np. do szyfrowania informacji, podpisywania kodu czy też znane świadomym użytkownikom Internetu certyfikaty potwierdzające tożsamość serwerów, np. WWW lub poczty. W e-podpisie certyfikat jest elektronicznym odpowiednikiem dokumentu tożsamości. Tak jak w świecie tradycyjnych dokumentów tożsamości mamy ich różne formy: paszporty, dowody osobiste, legitymacje, tak w świecie cyfrowym można wyróżnić dwa rodzaje certyfikatów: kwalifikowane i niekwalifikowane. Certyfikaty kwalifikowane wydawane są przez

kwalifikowane centra (urzędy) certyfikacji, które po przejściu odpowiednich procedur weryfikujących zostały uznane za tzw. zaufane strony trzecie. Zaufanie to jest zagwarantowane przez państwo, dlatego każdy certyfikat wydany przez takie centrum jest zaufany globalnie. Jak jednak należy rozumieć „zaufanie” w tym kontekście? Jest to po pierwsze pewność, że posiadaczem certyfikatu rzeczywiście jest osoba, której dane są w nim umieszczone. W tym sensie certyfikat kwalifikowany odpowiada dokumentowi tożsamości takiemu, jak paszport lub dowód osobisty. Z tą różnicą, że paszport czy dowód można podrobić domowymi sposobami (na tyle skutecznie, że da się go używać w sytuacjach, w których osoba weryfikująca nie dysponuje profesjonalnymi technikami weryfikacji, czyli prawie zawsze). Certyfikatu – nie! Wyjaśnia to, dlaczego certyfikatu kwalifikowanego nie można sobie po prostu ściągnąć z sieci, ale należy się po niego udać osobiście do centrum celem weryfikacji tożsamości. Ponadto, certyfikat taki może być przyznany wyłącznie osobie fizycznej i może być używany jedynie do podpisu elektronicznego. Kwalifikowane centrum zapewnia rzetelną weryfikację certyfikatu, czyli czynność niezbędną dla uznania złożonego e-podpisu za prawidłowy. Dokument podpisany elektronicznie może być przez odbiorcę uznany za wiarygodny dopiero po weryfi-

kacji podpisu. Usługa weryfikacji świadczona przez centrum kwalifikowane jest w pełni wiarygodna, dzięki czemu mamy pewność, że złożony na dokumencie e-podpis jest prawidłowy. Kwalifikowane centrum może też świadczyć inne wiarygodne i użyteczne usługi związane z podpisem elektronicznym, np. znakowanie czasem. Dzięki tej usłudze mamy pewność co do czasu wykonania operacji znakowania (złożenia podpisu). W odpowiednich sytuacjach wywołuje to prawne skutki daty pewnej. Jest to zatem bardzo przydatna usługa, dająca stuprocentowo wiarygodne i bardzo dokładne datowanie dokumentu, niezależnie od prawidłowości ustawienia daty na komputerze autora. Centra kwalifikowane są globalnie uznawane za wiarygodne i figurują na odpowiednich urzędowych listach – w Polsce jest to „Rejestr kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym”. Zapewnienie i stałe utrzymywanie warunków technicznych i organizacyjnych pozwalających znaleźć się na takiej liście, a także same procedury są kosztowne. Ponieważ centrami kwalifikowanymi są podmioty komercyjne, muszą one zarabiać na pokrycie tych kosztów. A to oznacza, że certyfikaty kwalifikowane w obecnych warunkach muszą być zatem płatne.

Biznes

E-podpisu się nie kupuje Sprostujmy pewien powszechny błąd: nie kupujemy podpisu elektronicznego, lecz zestaw do jego składania. Jest to certyfikat cyfrowy z parą kluczy, zestaw urządzeń oraz oprogramowanie. E-podpis powstaje poprzez zastosowanie zestawu do podpisania konkretnego dokumentu, a sam podpis dla każdego dokumentu jest inny. Ma to istotne implikacje. Certyfikaty niekwalifikowane Do składania/weryfikacji podpisów elektronicznych używane są także certyfikaty niekwalifikowane. Z technicznego punktu widzenia te same usługi co centra kwalifikowane mogą świadczyć inne podmioty – przedsiębiorstwa, organizacje, urzędy. Różnica polega na tym, że podmioty te nie podjęły skutecznych starań o wpis na urzędowa listę. Skutek? Wydawane i obsługiwane przez nie certyfikaty są niekwalifikowane. Choć certyfikaty niekwalifikowane są jak najbardziej przydatne do e-podpisu, różnica polega na poziomie zaufania i aspektach prawnych. Certyfikaty wydawane przez centra kwalifikowane są uznawane z mocy ustawy o podpisie elektronicznym. Centra niekwalifikowane stają się zaufane w inny sposób, np. na podstawie umowy, innych przepisów prawa czy przepisów wewnętrznych organizacji. Firmy mogą więc zawrzeć pomiędzy sobą umowę dotyczącą wzajemnego uznawania

certyfikatów; dzięki odpowiedniej uchwale jednostka administracji może uznawać dokumenty podpisane przy użyciu wystawionych przez nią certyfikatów; dokumenty w ramach przedsiębiorstwa mogą być skutecznie podpisywane certyfikatami wydawanymi przez wewnętrzne centrum certyfikacji itd. A zatem w wielu sytuacjach można stosować e-podpis bez konieczności posiadania certyfikatu kwalifikowanego. W takich sytuacjach mówimy o tzw. podpisie zaawansowanym. Tak jak certyfikaty kwalifikowane można porównać do dowodów osobistych, tak analogią do niekwalifikowanych mogą być np. legitymacje służbowe. Podpis odręczny a elektroniczny Podpis elektroniczny zapewnia automatycznie niezaprzeczalność autorstwa podpisu. Przy podpisie własnoręcznym można to uzyskać wyłącznie poprzez złożenie podpisu w obecności odbiorcy lub zaufanej osoby trzeciej. W wielu sytuacjach żadna z tych opcji nie jest możliwa, co jest mocno kłopotliwe. W większości sytuacji biznesowych dokumenty podpisane odręcznie nie mają waloru niezaprzeczalności. W tym aspekcie podpis elektroniczny wykazuje zdecydowaną wyższość. Podpis odręczny może zostać dość łatwo sfałszowany. Można go skopiować, nauczyć się go składać, przenieść itp. Jeśli chodzi o podpis elektroniczny,

WRZESIEŃ 2012 www.prevent-magazine.pl

powstaje on poprzez połączenie informacji z klucza podpisującego i dokumentu. Wskutek tego za każdym razem jest on inny. Nie ma możliwości, aby go skopiować czy przenieść do innego dokumentu. W tym sensie jest zatem niepodrabialny.

cych podstawą podpisu. Przy dokumentach papierowych funkcję tę spełnia parafowanie stron, co jest wysoce kłopotliwe przy obszernych dokumentach, a także nie całkiem wiarygodne. Wadą e-podpisu jest to, że do jego weryfikacji niezbędna jest

Co się stanie, gdy posiadacz zestawu do składania podpisu elektronicznego utraci go? W podpisie zaawansowanym i kwalifikowanym zestaw jest oczywiście zabezpieczony. Poziom zabezpieczeń jest taki sam, jak np. dla kart płatniczych – jest to kod PIN do karty kryptograficznej. W ustawie o podpisie elektronicznym zakłada się, że właściciel ma stałą i wyłączną kontrolę nad swoim zestawem. Jeśli inna osoba przejmie tę kontrolę, tj. uzyska dostęp do urządzenia oraz pozna PIN, będzie mogła wykonać czynność analogiczną do podrobienia podpisu własnoręcznego. Podsumowując, w świecie e-podpisu złożenie podpisu za kogoś jest dużo trudniejsze, ale jeżeli się to uda, podpis taki bardzo trudno zakwestionować. W świecie papierowym jest odwrotnie: łatwo jest sfałszować czyjś podpis, ale fałszerstwo jest często wykrywalne.

W e-podpisie certyfikat jest elektronicznym odpowiednikiem dokumentu tożsamości. Można wyróżnić dwa rodzaje certyfikatów: kwalifikowane i niekwalifikowane. Certyfikaty kwalifikowane wydawane są przez kwalifikowane centra (urzędy) certyfikacji, które po przejściu odpowiednich procedur weryfikujących zostały uznane za tzw. zaufane strony trzecie. Gwarantowane jest to przez państwo.

Korzyści i wady Ważną korzyścią użycia e-podpisu jest zapewnienie integralności dokumentu – absolutna pewność, że nie został on zmodyfikowany od momentu podpisania. Wynika to z zastosowanych mechanizmów kryptograficznych będą-

działająca infrastruktura PKI zapewniona przez dostawcę podpisu. Nie ma żadnej gwarancji, że po wielu latach będzie ona dostępna. W wypadku podpisanych odręcznie dokumentów papierowych jesteśmy w stanie sprawdzić ich autentyczność nawet po wieluset latach. Można podejrzewać, że dla dokumentów podpisanych elektronicznie nie będzie to możliwe (o ile w ogóle będzie wtedy możliwe ich odczytanie). Problem ten nie jest natomiast istotny przy szybkim obrocie dokumentami w biznesie czy w kontaktach z administracją. Kolejną dość oczywistą wadą jest to, że samo złożenie podpisu elektronicznego jest kłopotliwe. Do podpisu tradycyjnego potrzebujemy wyłącznie pióra lub długopisu i kawałka twardej powierzchni. Do elektronicznego, jeśli mówimy o podpisie zaawansowanym – urządzenia do

jego składania: odpowiedniego sprzętu i oprogramowania. Sprzęt to karta kryptograficzna (albo w formacie karty kredytowej albo w formie tokena USB) kodująca klucz prywatny i zawierająca certyfikat cyfrowy oraz aplikacja podpisująca. Wiemy już, że w interesie posiadacza jest, aby urządzenie to pozostawało zawsze pod jego wyłączną kontrolą. W wypadku podpisu zwykłego, kiedy certyfikat jest instalowany w systemie lub aplikacji, musimy dbać o to, aby inny użytkownik nie miał do niego dostępu, a zatem powinniśmy stosować takie same środki bezpieczeństwa jak dla wrażliwych danych na komputerze. Jak widać, wszystko to nie jest proste i może być potencjalnie niebezpieczne, jeśli nie zachowamy odpowiednich zasad bezpieczeństwa. Koszty Podpis elektroniczny nie jest darmowy. Jeśli mamy do czynienia z podpisem kwalifikowanym, to konieczne jest wykupienie certyfikatu kwalifikowanego. Są to koszty rzędu 100-200 zł rocznie plus jednorazowy koszt zestawu, ponoszone przez właściciela certyfikatu. Certyfikaty niekwalifikowane są pozornie darmowe. Oznacza to, że osoba otrzymująca taki certyfikat nie musi za niego płacić, ale przecież wystawca certyfikatu – przedsiębiorstwo lub instytucja – musi ponosić koszty funkcjonowania organizacji oraz infrastruktury PKI niezbędnej do wydawania i weryfikacji certyfikatów. Są one

wcale niebagatelne, jeśli mówimy o podpisie zaawansowanym. Zatem – mówiąc najogólniej – używanie podpisu elektronicznego, jeśli nie jest to podpis zwykły, kosztuje. Co gorsza, koszty ponosi praktycznie tylko jedna strona – składająca podpis. Można zatem powiedzieć, że sam „model biznesowy” podpisu elektronicznego jest niedoskonały, bo przecież w większości sytuacji to odbiorcy zależy co najmniej tak samo na wiarygodności podpisanego dokumentu, co nadawcy. Ten paradoks jest jednym z silniejszych hamulców postępu w rozwoju e-podpisu w ogóle. Do tanga trzeba dwojga Przy składaniu podpisu elektronicznego konieczna jest akceptacja podpisu po stronie odbiorcy. Do akceptacji podpisu niekwalifikowanego konieczna jest zgoda obu stron na stosowanie takiej formy podpisu. Jeśli odbiorca nie chce uznać tej formy, nie możemy jej w tym wypadku zastosować. Przy podpisie kwalifikowanym jest nieco inaczej – bezpieczny kwalifikowany podpis elektroniczny jest teoretycznie prawnie równoważny podpisowi własnoręcznemu, ale też w tej sytuacji możemy napotkać problemy – odbiorca może w ogóle nie dysponować środkami technicznymi niezbędnymi do weryfikacji podpisu elektronicznego. AUTOR: Piotr Salata, Wiceprezes Zarządu w Pentacomp Systemy Informatyczne SA, www.pentacomp.pl

Bezpieczeństwo danych

INFORMACJE

POD OCHRONĄ

Posiadanie komputerów zabezpieczonych odpowiednim programem antywirusowym jest koniecznością nawet w małych i średnich przedsiębiorstwach. Zablokowanie strony internetowej firmy może spowodować ogromne straty dla danego podmiotu i znacznie nadszarpnąć długo budowany wizerunek. Jak wiadomo, Internet nie wybacza błędów. Partnerzy biznesowi również. Wykradziona korespondencja służbowa, która trafi w ręce konkurencji, to potencjalny kryzys zarówno biznesowy, jak i wizerunkowy.

związku tym, że pracownicy często korzystają podczas pracy z rozmaitych stron internetowych, zabezpieczenie służbowych komputerów powinno być standardem we wszystkich firmach, bez względu na ich wielkość, przychody czy liczbę zatrudnionych osób. Wrażliwe dane to nie tylko pliki zgromadzone w komputerze. To także umowy i faktury, dostępne w zasobach skrzynek pocztowych oraz na firmowych serwerach. Aby uchronić swoją firmę przed wyciekiem danych lub ich utratą, należy przestrzegać kilku ważnych zasad. Warto dodatkowo kontrolować pracowników i zwalczać u nich tzw. cyberlenistwo, czyli korzystanie z sieci w celach prywatnych. Wydatnie zmniejsza to ROZMÓWCA: Mateusz Sell, współwłaściciel FileMedic, www.filemedic.com

ich efektywność, a dodatkowo naraża służbowy komputer na różnego rodzaju infekcje. Zabezpieczenia komputera Hasła firmowe do kont mailowych i komputerów nie powinny być tworzone według tego samego klucza. W takim przypadku każdy były pracownik, być może zatrudniony już w konkurencyjnej firmie, będzie dysponował dostępem do naszych aktualnych informacji. Warto spersonalizować kody zabezpieczające, a pełen zestaw danych powinien zostać powierzony osobie odpowiedzialnej za IT lub właścicielowi firmy. Dostęp do informacji Warto również w określony sposób, na przykład za pomocą odpowiedniego regulaminu pracowniczego, kontrolować dostęp do kluczowych informacji poprzez zapewnienie go pracownikom zgodnie z ich faktycznymi potrzebami i kom-

petencjami. Dobrym sposobem na uniknięcie kradzieży danych jest zabronienie korzystania ze służbowej poczty za pomocą smartfonów. Dane wysyłane za pomocą maila powinny być dodatkowo szyfrowane, tak aby nikt spoza firmy nie był w stanie zapoznać się ze strategicznymi informacjami. Ważnym punktem bezpieczeństwa w firmie jest również zachowanie szczególnej ostrożności przy korzystaniu z przenośnych pamięci danych. Wiele nowoczesnych wirusów wykorzystuje je do rozprzestrzeniania się na komputerach. Każdy z takich nośników przed jego użyciem powinien zostać przeskanowany przez zaktualizowany program antywirusowy. Wystarczy przecież, że ktoś nagrał np. prywatne zdjęcia u fotografa, a potem korzystał z tego samego urządzenia w pracy. Ryzyko infekcji zwiększa się wielokrotnie, gdy pracownicy korzystają ze sprzętów, których używają prywatnie.

września 2012

WARSZAWA

Jeden dzień aby zmienić

WSZYSTKO

www.karieraHANDLOWCA.pl

Serwery

Bezpieczeństwo I hostingu

stnieje jeszcze jeden powód, dla którego hosting jesteśmy w stanie kupić już za 50 zł rocznie – jest nim rosnąca w bardzo szybkim tempie ilość użytkowników Internetu. Ilość osób mających dostęp do Internetu można już liczyć w miliardach; co za tym idzie - rośnie też ilość stron web. Usługodawcy, chcąc utrzymać się na rynku, oferują hosting w niskich cenach. Niestety, niskie ceny przekładają się na jakość oferowanej usługi: im mniej płaci użytkownik, tym mniejszym budżetem na specjalistyczny sprzęt serwerowy oraz wykwalifikowaną obsługę dysponuje dostawca. Wszystko to sprowadza się do powstawania dużej ilości usługodawców, którzy oferują hosting za bardzo małe pieniądze, niemniej są to słabej jakości usługi, bez gwarancji bezpieczeństwa danych.

a realia rynku Od kilku lat wyraźnie widać tendencję rosnącą w wyborze hostingu jako miejsca na reklamę firm, ofert, sklepów, blogów czy osobistych wizytówek WWW. Spowodowane jest to spadkiem cen usług hostingowych, wynikającym z obniżenia cen wszelkich elementów składających się na usługę udostępniania miejsca na stronę: serwerów, podzespołów, łącz internetowych.

Oczywiście, można samodzielnie postawić własny serwer hostingowy na dowolnym komputerze ze stałym i symetrycznym łączem do sieci Internet i podłączeniem do prądu, czy jednak taka jakość usługi nas satysfakcjonuje? Oczywiście - nie. Jest to rozwiązanie niestabilne i bardzo awaryjne.

Zdjęcie: Fotolia

Czym jest bezpieczny hosting?

WRZESIEŃ 2012 www.prevent-magazine.pl

Nie ma definicji precyzyjnie określającej cechy bezpiecznego hostingu. Dlatego poniższe wskazówki będą znacznym ułatwieniem dla osób, które stoją przed wyborem miejsca

na swoją stronę WWW lub które myślą o zmianie dotychczasowego dostawcy usług hostingowych. Bezpieczeństwo fizyczne Bezpieczny hosting powinien znajdować się w lokalizacji z dostępem do dwóch niezależnych sieci energetycznych i agregatu prądotwórczego.

zapytać, czy stosowana klimatyzacja jest klimatyzacją precyzyjną – dedykowaną urządzeniom (w odróżneniu od tzw. klimatyzacji komfortu – przeznaczonej dla ludzi). Bezpieczeństwo systemowe Bezpieczny hosting – oprócz zapewnienia bezpieczeństwa fizycznego – powinien zawierać

Nie bójmy się pytać o stosowane zabezpieczenia – zarówno fizyczne, jak i systemowe. Podczas dobierania miejsca na nasze usługi warto zainteresować się zabezpieczeniem fizycznym infrastruktury, jak również samej serwerowni. Podstawą są systemy przeciwpożarowe, kontrola dostępu i monitoring. Zaniki napięcia są bardzo niebezpieczne dla serwerów, na których utrzymywane są usługi hostingowe. Oprócz zapewnienia ciągłości zasilania serwerownia naszego usługodawcy powinna być zabezpieczona w systemy przeciwpożarowe: system wczesnego wykrywania zagrożenia pożarowego oraz systemy gaszenia, oparte na specjalnych proszkach do gaszenia elektroniki. Istotnym elementem bezpieczeństwa jest także kontrola dostępu do serwerowni rozwiązana systemami autoryzacji biometrycznej (odcisk palca) bądź kartami dostępowymi chronionymi kodem PIN. Ostatnią, bardzo ważną kwestią jest odpowiedni system klimatyzacji, zapewniający optymalną temperaturę dla pracy sprzętu serwerowego. Dokonując wyboru oferty hostingowej, warto

systemy bezpieczeństwa naszych danych. W zakres bezpieczeństwa systemów wchodzi system kopii zapasowych – w przypadku utraty danych, np. podczas awarii pamięci masowej, nasz usługodawca powinien dysponować kopią zapasową wszystkich danych powierzonych mu przez klientów. Brak kopii zapasowych to jeden z najczęstszych błędów usługodawców. Równie ważne jest zapewnienie ciągłości pracy systemów hostingowych, co przekłada się na dostępność naszych usług umieszczonych u usługodawcy. Usługodawca powinien zapewnić pełną redundancję platformy hostingowej – oznacza to, iż w momencie awarii jednego z elementów systemu jego rolę przejmuje drugi, zapasowy system. W przypadku braku redundancji może nas czekać niemiła

Serwery

niespodzianka – brak dostępu do poczty czy brak naszej strony w sieci Internet. Pora zwrócić uwagę na środowisko utrzymywania stron klientów. Jak wiadomo, każdy system oraz oprogramowanie posiada dziury w swoim kodzie, które mogą doprowadzić do kompromitacji (włamanie, wyciek danych, usunięcie zasobów czy dewastacja). Usługodawca powinien zadbać o separację środowisk poczty,

nienie plików index.html czy index.php na złośliwy kod w obrębie całego środowiska WWW. Z zabezpieczeń innych niż systemy WWW czy separacja środowisk należy również odpowiednio zabezpieczyć pocztę klientów, zapewniając w pełni działający system antywirusowy, antyspamowy oraz obsługiwać uwierzytelnianie przy pobieraniu/wysyłaniu wiadomości e-mail. Wszelkie zmiany w obrębie systemu hostingowego

Bezpieczny hosting – oprócz zapewnienia bezpieczeństwa fizycznego – powinien zawierać systemy bezpieczeństwa naszych danych. W ich zakres wchodzi system kopii zapasowych – a ich brak to ciągle jeden z najczęstszych błędów usłogodawców. bazy danych oraz serwerów udostępniających strony WWW, minimalizując tym samym skutki ewentualnych nieautoryzowanych dostępów do wewnętrznej infrastruktury i systemów. Prócz separacji środowisk należy odseparować od siebie wszystkie konta WWW tak, aby osoba, która uzyska dostęp do kontroli zasobów danej strony WWW, nie miała dostępu do danych innych klientów. Efektem braku takiego zabezpieczenia może być masowe podmieAUTOR: Michał Kulling, Administrator bezpieczeństwa systemów IQ PL Sp. z o.o., www.iq.pl

powinny być logowane (tworzenie, usuwanie, modyfikacje w skrzynkach pocztowych, bazach danych i ich kont, kont FTP etc.). Jak należy dobierać usługi hostingowe? Nie bójmy się pytać o stosowane zabezpieczenia – zarówno fizyczne, jak i systemowe. Podczas dobierania miejsca na nasze usługi warto zainteresować się zabezpieczeniem fizycznym infrastruktury, jak również samej serwerowni. W dzisiejszych czasach podstawą bezpiecznego Data Center są systemy przeciwpożarowe, kontrola dostępu do serwerowni czy też monitoring. Firmy hostingowe,

które posiadają takie zabezpieczenia, najczęściej wspominają o nich na swoich stronach. Jeśli chodzi o bezpieczeństwo systemowe, powinniśmy zwrócić szczególną uwagę na SLA (Service Level Agreement, poziom dostępności usługi). Im wyższy poziom SLA, tym wyższa dostępność i bezawaryjność naszych usług w Sieci. Kolejnym równie ważnym kryterium jest platforma serwerowa, na której działa hosting: nowoczesne serwery dostarczane przez czołowych producentów sprzętu dają wyższą gwarancję bezawaryjności, a co za tym idzie również dostępności naszych usług powierzonych firmie hostingowej. Ważną informacją jest też, ile i jakie łącze posiada dostawca usługi. Jednym z kryteriów dobierania hostingu są informacje o skanerach antywirusowych i antyspamowych na serwerach pocztowych, dostępność szyfrowanego połączenia do poczty i stron WWW poprzez bezpieczny protokół SSL, utrzymywanie backupu, odizolowanie kont użytkowników czy też odizolowana struktura pomiędzy serwerami WWW, bazami danych a pocztą. Warto zapytać dostawcę, czy stan usług jest monitorowany. Jakie zagrożenia niesie hostowanie stron na serwerach współdzielonych? Powierzanie naszych danych firmom zewnętrznym zawsze niesie ze sobą ryzyko ich utraty, modyfikacji, manipulacji czy

nieautoryzowanego dostępu. Serwer współdzielony oznacza kilkanaście bądź kilkuset klientów na jednym serwerze, co sprowadza się do wzrostu ryzyka. Możemy być spokojni o nasze dane, o ile aktualny bądź przyszły usługodawca zapewni nas, że właśnie we wspomniany powyżej sposób zapewnia bezpieczeństwo informacjom i zachowuje wszelkie dobre praktyki bezpieczeństwa. Należy również zapamiętać, iż niska cena hostingu może relatywnie odpowiadać poziomowi bezpieczeństwa naszych danych. Wysoka cena nie stanowi gwarancji samej w sobie, ale przy droższych opcjach możemy zazwyczaj takie gwarancje uzyskać. Wiele firm na rynku oferuje usługi hostingu współdzielonego na poziomie bezpieczeństwa poniżej krytyki. Pytanie, czy jesteśmy gotowi na umieszczenie naszych usług w niewiadomym środowisku? Sądzę, iż każdy z czytających stwierdzi, że nie. Słusznie mogą Państwo zauważyć, że niewiele firm na rynku polskim oferuje usługi o wysokim poziomie bezpieczeństwa, jednak nie powinniśmy zrażać się takim stanem rzeczy. Być może selekcja ofert firm hostingowych pod kątem bezpieczeństwa danych jest najlepszym kluczem do znalezienia zaufanego dostawcy spośród kilku tysięcy podmiotów świadczących usługi hostingowe w Polsce i zagwarantuje nam bezcenny spokój na lata.

Wydaje Ci się, że znasz zagrożenia w świecie mobilnych technologii? Przyjdź i sprawdź to na konferencji poświęconej bezpieczeństwu urządzeń mobilnych. Zarejestruj się już dziś, a przemówią dla Ciebie eksperci ze świata bezpieczeństwa informatycznego. Wiodące firmy pokażą jak poprawić bezpieczeństwo biznesowych urządzeń mobilnych i zawartych w nich danych wrażliwych. Wyprzedź crackerów, zanim obejrzą Twoje bazy. 24 września 2012 | Warszawa Skontaktuj się z nami: paula.kielb@software.com.pl Bezpłatna rejestracja: www.gigacon.org/bezpieczenstwo_u_m/rejestracja_warszawa

Ochrona danych

Dane osobowe w grupie kapitałowej w zarządzaniu kryzysowym Jedna firma może być właścicielem innej firmy w części lub całości, ale nie oznacza to, że jest właścicielem danych osobowych przetwarzanych przez podmiot zależny.

Obowiązujące prawo precyzuje obowiązki grupy kapitałowej w rozdziale 6 ustawy o rachunkowości. Natomiast ustawa o ochronie danych w ogóle nie zauważa istnienia grup kapitałowych. Jedna firma może być właścicielem innej

firmy w części lub całości (powiązania kapitałowe), ale to nie oznacza automatycznie, że jest także właścicielem (lub współwłaścicielem) danych osobowych przetwarzanych przez podmiot zależny. Trudno dzisiaj powiedzieć, czy to dobrze, czy źle. Jeśli na sprawę będziemy patrzeć z punktu widzenia osób, których dane są (mogą być) przetwarzane w ramach grupy kapitałowej, to pewnie dobrze. Przecież historia rozwoju regulacji, które mają chronić dane osobowe osób fizycznych, pokazuje, że do ich tworzenia przyczyniał się przede wszystkim intensywny rozwój informatyki i tworzenie dużych zbiorów informacji o osobach, które nazywano bankami danych. Już w latach siedemdziesiątych wyobrażano sobie, jaką wiedzę posiadałby

WRZESIEŃ 2012 www.prevent-magazine.pl

o osobach podmiot, gdyby połączyć dane z wielu baz danych, takich takich jak bazy państwowe, bazy operatorów telekomunikacyjnych, banków, firm ubezpieczeniowych etc. I zauważono w tym obszarze duże zagrożenie dla prywatności. W świetle ustawy o ochronie danych osobowych każda firma w grupie kapitałowej jest w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych samodzielnym administratorem danych osobowych. Przez pojęcie administratora danych rozumie się: „[…] organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.” Jest to swojego rodzaju

Zdjęcia: Fotolia,

rupa kapitałowa to co najmniej dwa przedsiębiorstwa, które pozostają ze sobą w związku kapitałowym. Składa się z jednostki dominującej i jednostek zależnych (kontrolowanych przez jednostkę dominującą) albo stowarzyszonych. Jednostką dominującą może być spółka akcyjna, spółka z o.o. lub inna spółka kapitałowa (jawna lub komandytowa), która ma jedną bądź więcej spółek zależnych (stowarzyszonych).

„właściciel” zebranych i przetwarzanych danych osobowych, decydujący o tym, co się z nimi dzieje – np. po co się je zbiera, co z nimi robi, komu je przekazuje etc. Na podstawie tej definicji można wyciągnąć wniosek, że każdy podmiot w ramach grupy jest odrębnym „właścicielem”. Wydawałoby się więc, że skoro może decydować o „celach i środkach”, to może zdecydować, aby wszystkie dane z grupy połączyć w jedną dużą bazę danych albo się nimi wymieniać. Owszem, ma pewne możliwości to zrobić, ale niestety nie jest to wcale takie proste i napotka po drodze na wiele ograniczeń prawnych, aby te dane przekazać. W praktyce wymiana danych osobowych w grupie kapitałowej odbywa się tak, jakby to były zupełnie obce sobie podmioty. Grupy kapitałowe muszą jednak jakoś radzić sobie w obowiązującym stanie, dlatego poniżej przedstawię najważniejsze wyzwania związane z przetwarzaniem danych osobowych w grupach kapitałowych i potencjalne sposoby ich rozwiązania. Na pocieszenie, zanim przejdę do tematu, mogę dodać, że dość niezwykła sytuacja występuje w towarzystwach funduszy inwestycyjnych i funduszy emerytalnych. Funduszem zarządza towarzystwo i jeśli zarządza kilkoma funduszami, to one są — każdy z osobna! — administratorami danych, a nie fundusz. Wynika

to z faktu, że każdy fundusz posiada osobowość prawną, co prowadzi do dość niezwykłej sytuacji — przykładowo: względem członka jednego funduszu nie można prowadzić marketingu pozostałych funduszy zarządzanych przez towarzystwo. Powody wymiany Z jednej strony można rozumieć ryzyko, jakie dla prywatności w tym wszystkim się pojawia – wiemy bardzo dużo o kliencie, z drugiej strony funkcjonowanie grupy w obowiązującym stanie prawnym jest dużym wyzwaniem. Przykłady, które „motywują” do wymiany informacji o klientach (i nie tylko) w ramach grupy, to m.in.: • jednolita obsługa klienta, •o bsługa klientów wszystkich spółek grupy przez jeden punkt, •d opasowanie usług do klienta dzięki lepszej wiedzy o nim, •o cena i zarządzanie rynkiem (np. ilu klientów i z jakich obszarów posiada więcej niż jeden produkt w poszczególnych spółkach grupy kapitałowej), •d ziałania marketingowe, promowanie produktów wszystkich spółek grupy, • z mniejszenie kosztów funkcjonowania dzięki synergii (wspólne dla grupy działy informatyki, personalny, marketingu itd.). Wymiana informacji o klientach ma wyjątkowe znaczenie dla tych grup kapitałowych, które funkcjonują pod jedną marką, takich jak np. Allianz czy PZU,

a mniejsze dla tych, w których każda spółka grupy reprezentuje inną markę (np. Noble Bank, Getin Bank i Idea Bank). Wyobraźmy sobie klienta, który posiada ubezpieczenie na życie i jednocześnie ubezpieczenie OC w różnych spółkach grupy kapitałowej działającej pod jedną marką. Jeśli klient zawarł z firmą umowę, tj. kupił towary lub usługę, to prawo pozwala na „marketing bezpośredni własnych produktów lub usług administratora danych”, traktując takie działania jako tzw. usprawiedliwiony prawnie cel administratora danych (art. 23 ust. 1 pkt 5 oraz art. 23 ust. 4 pkt 1)1. „Własnych produktów” nie oznacza tutaj, że firma musi być producentem oferowanych artykułów, istotne jest, że te produkty są bezpośrednio w jego ofercie, że on je sprzedaje. Działania marketingowe można prowadzić do czasu, aż klient temu się sprzeciwi. Klient nie musi na takie działania wyrażać żadnej zgody, względem własnych klientów nie trzeba zbierać żadnych dodatkowych zgód na marketing. Zatem i jedna, i druga firma może wysyłać mu przykładowo materiały reklamowe. Może zdarzyć się, że taki klient postanowi złożyć tzw. sprzeciw (art. 32 ust. 1 pkt 8), żeby ich nie otrzymywać. Dzwoni w tym celu na infolinię i mówi: „Dzień dobry! Nazywam się Jan Nowak, mam u Państwa polisę OC i otrzymuję wasze reklamy pocztą. Proszę mi więcej tego nie przesyłać!”. Stosując się literalnie do

Ochrona danych

W niektórych grupach kapitałowych w przypadku takiego sprzeciwu postępuje się zgodnie z prawem, a gdy klient się denerwuje, prosi się go o zgłoszenie sprzeciwu dla każdej spółki z osobna. Są też takie grupy kapitałowe, które wychodzą naprzeciw oczekiwaniom klientów — w nich sprzeciw skierowany do jednej spółki uznaje się za ważny wobec wszystkich spółek grupy, mimo iż jest to nieco wbrew prawu. Interesującą kwestią w grupach kapitałowych jest obsługa klientów, którzy posiadają produkty w kilku spółkach grupy. Jak wiemy, dane osobowe mogą przetwarzać osoby upoważnione przez administratora, zatem pracownik obsługujący klienta musi mieć upoważnienia od wszystkich

spółek lub musi być w nich zatrudniony (dzielony etat). Czasami powstaje odrębna spółka w ramach grupy, która świadczy pewne usługi na rzecz pozostałych spółek, w tym m.in. obsługuje klientów. Wtedy poszczególne spółki zawierają z takim podmiotem umowę powierzenia przetwarzania danych osobowych. Jest to umowa zlecenia, w której są specjalne zapisy dotyczące przetwarzania danych osobowych. Problemów w obsłudze klienta jest znacznie więcej. Przykładowo w grupach kapitałowych pojawiają się duże problemy ze sprawnym wdrożeniem systemu CRM (ang. Customer Relationship Management). Bo nie można swobodnie połączyć danych z kilku spółek, aby mieć pełny obraz klienta w grupie kapitałowej (tzw. golden record). Ale posiadając odpowiednie zgody klientów, dane można „połączyć”. Jak uzyskać odpowiednie zgody?

I tu mamy znowu kilka możliwości — zgoda marketingowa może być wyrażona na wiele sposobów. Może to być zgoda na udostępnianie danych innym podmiotom. Może to być zgoda wyrażona bezpośrednio wobec tych podmiotów. Treść takiej zgody w branży określa się mianem tzw. klauzuli marketingowej. Co taka klauzula powinna zawierać?

Aby w grupie kapitałowej korzystać z efektu synergii i prowadzić wspólny marketing, należy przemyśleć dokładnie sposób, w jaki zbierać dane osobowe. Wspomniałem już, że prawo bez żadnych zgód pozwala na marketing własnych towarów i usług. Jeśli w grupie kapitałowej jest wyodrębniona spółka, która zajmuje się obsługą klienta, sprzedażą czy marketingiem, to zadanie jest w pewnym sensie

Weźmy przykładową zgodę: Wyrażam zgodę na przetwarzanie moich danych osobowych wskazanych powyżej przez X w celach marketingowych i statystycznych oraz na udostępnianie tych danych podmiotom Grupy Y oraz innym podmiotom pośrednio lub bezpośrednio kontrolowanym przez X. Oświadczam, że jestem świadomy(a) dobrowolności udostępnienia moich danych osobowych oraz że

WRZESIEŃ 2012 www.prevent-magazine.pl

zostałem(am) poinformowany(a) o prawie wglądu do moich danych osobowych oraz do ich poprawiania.

ułatwione. Jeśli klient będzie zawierał umowę z taką spółkącórką, która sprzedaje produkty z pozostałych spółek, to jest ona administratorem zebranych danych i może prowadzić marketing wobec osób, których dane zebrała. Nie zawsze oczywiście tak będzie. Czasami taka spółka zawiera umowę w imieniu innej spółki. Wtedy jest jedynie pośrednikiem, a nie stroną umowy, co za tym idzie – nie jest administratorem zebranych danych. Można i z tym sobie poradzić – najczęściej stosowanym w tym celu „zabiegiem” jest zebranie odpowiednich zgód od klientów na marketing.

Na podstawie tej zgody zbierający dane jest administratorem danych, zaś inne spółki grupy mogą otrzymać te dane — w terminologii ustawowej mogą być „odbiorcami danych”. Gdy dane zostaną im przekazane, zobowiązane są one spełnić tzw. obowiązek informacyjny. Inna przykładowa zgoda w celu kontaktu: Wyrażam zgodę na przetwarzanie moich danych teleadresowych (w tym również adresu e-mail) przez X, Y i Z w celu udzielenia odpowiedzi.

Zdjęcia: Fotolia

zapisów prawa, sprzeciw zarejestruje tylko jedna spółka — ta, w której kupił ubezpieczenie OC. Druga — ponieważ jej nie dotyczy — tego nie zrobi. I może się okazać, że klient nie otrzyma ulotek reklamowych z tej pierwszej firmy, jednak... otrzyma z tej drugiej! Ponieważ, jak wspominałem wcześniej, klienci rzadko rozróżniają podmioty „tej samej marki” w ramach grupy, uzna, że zignorowano jego sprzeciw, bo przecież wciąż „otrzymuję od Was reklamy produktów ubezpieczeniowych, mimo że tego nie chciałem!”. Niby wszystko zgodnie z prawem, ale klient pewnie tego tak nie będzie postrzegał.

Zgoda jest udzielona trzem podmiotom i każdy z nich z osobna staje się administratorem danych. Nie ma procesu przekazywania (udostępniania) danych, bo zgoda jest udzielona od razu każdemu. Poszczególne spółki nie muszą też spełniać obowiązku, gdyż został on spełniony w tej zgodzie. Przyjmując dane, spółka musi mieć zarejestrowany zbiór marketingowy (bądź podobny), a dane, które można przekazać, muszą swoim charakterem odpowiadać tym, które zgłoszono we wniosku rejestracyjnym zbioru, do którego dane są „przyjmowane”. Nie można robić tak, że najpierw się przyjmuje dane, a później rozważa zarejestrowanie zbioru

i spełnienie innych wymogów określonych w ustawie o ochronie danych osobowych. Kupno bazy danych klientów Dane osób, które wyraziły zgodę na ich przekazywanie, mogą podlegać obrotowi – można je kupić albo sprzedać (udostępnić). Kupujący takie dane osobowe będzie zapewne przetwarzał je w jakimś zbiorze danych, będzie to zbiór danych marketingowych. Przed zakupem należy upewnić się, że: • dane pochodzą ze zbioru zarejestrowanego w GIODO, • sprzedający może (ma prawo) udostępniać (sprzedawać) te dane, • dane zostały zebrane zgodnie z prawem, legalnie.2

Ochrona danych

„Sprzedaż” danych dość często dokonywana jest jako udzielenie licencji na ich wykorzystywanie. Może to mieć miejsce na trzy sposoby: • udostępnienie danych (rekordów), • udzielenie praw do utworu (twórczy charakter zestawienia danych), • sprzedaż baz danych w świetle ustawy o ochronie baz danych. Kupujący najczęściej ograniczony jest celem przetwarzania danych („licencja” na używanie), zaś zestawienie danych stanowi swojego rodzaju utwór, podlegający ochronie wynikającej z zapisów Prawa autorskiego. Sprzedający rzadko kiedy decydują się przenosić na kupującego prawa w całości, gdyż nie mogliby tych samych danych sprzedawać innym podmiotom. Na sprzedających dane „ciąży obowiązek dołożenia szczególnej staranności w celu zbadania, czy będą one przez kontrahenta wykorzystywane w tym samym celu, dla którego zostały zebrane”3, dlatego umowy sprzedaży danych osobowych są bardzo rygorystyczne, co często zaskakuje kupujących. Należy pamiętać, że kupujący – mimo iż jest administratorem danych – to o celach i środkach przetwarzania danych osobowych nie w pełni może decydować, bo cel jest określony w umowie i nie może go zmienić. Osoby, których dane zostały pozyskane w taki sposób (kupione), należy poinformować

o tym fakcie, spełniając tzw. obowiązek informacyjny. Należy zauważyć, że mogą się one sprzeciwić przetwarzaniu danych uzyskanych w ten sposób, co w efekcie będzie oznaczać konieczność usunięcia danych dotyczących takich osób. W ramach grupy obrót danymi jest ryzykowny, głównie ze względów podatkowych (za darmo nie można ich także przekazać). Dlatego lepiej już zawczasu – zbierając zgody marketingowe – zadbać o to, aby były one na wszystkie spółki grupy, skutkiem czego każda z nich stanie się administratorem („właścicielem”) danych i nie będzie potrzeby danymi się wymieniać. PESEL

Produkt 1

91071348968

PESEL

że w grę mogą wchodzić inne ograniczenia, np. tajemnice prawnie chronione). Przykładowo do łączenia zanonimizowanych danych z kilku spółek można wykorzystać tzw. jednokierunkową funkcję skrótu określaną mianem hasha. Funkcja ta z określonych danych (np. numeru PESEL) generuje skrót danych — taki jakby komputerowy odcisk palca z danych. Porównanie do odcisku palca jest całkiem na miejscu — działania nie da się odwrócić, tak jak po odcisku palca nie można określić wizerunku osoby. Wtedy można połączyć rekordy o osobach z kilku firm zawierające dane już nieosobowe – wspólnym identyfikatorem Produkt 2

91071348968

hash md5 z numeru PESEL

PESEL

Produkt 2

91071348968

Produkt 1

Produkt 2

a930adedf64f428e39c2ddcd5d4fdfce

Przekazywanie danych bez zgody Dane osobowe między podmiotami można swobodnie przekazywać, jeśli zostaną pozbawione charakteru osobowego, np. dane identyfikujące osobę zostaną zanonimizowane.4 W rozumieniu ustawy przestaną to być dane osobowe i można je sobie swobodnie przekazywać (pamiętajmy jednak o tym,

WRZESIEŃ 2012 www.prevent-magazine.pl

(łącznikiem między danymi) może być zanonimizowany PESEL. Dzięki stosowaniu takich metod można porównywać dane, aby na przykład rozpoznać, jaki odsetek klientów ma produkty w kilku spółkach albo ile klientów ma więcej niż jeden produkt w ramach grupy etc., nie wymieniając się przy tym danymi osobowymi, a więc w zgodzie z ustawą o ochronie danych osobowych.

Pozostałe procesy W grupach kapitałowych mówi się często o synergii. Chodzi o wykorzystywanie pewnych zasobów na rzecz całej grupy kapitałowej, co obniża koszty i podnosi efektywność. Synergiczne są najczęściej działy informatyczne, personalny, marketingu etc. Jeśli chodzi o sprzęt, to tu także często spotyka się, że na jednym serwerze działają aplikacje dla całej grupy kapitałowej. W zasadzie nie ma problemu, aby wszystkie firmy miały swoje bazy danych na tych samych serwerach albo nawet w tych samych aplikacjach. Problematyczne co najwyżej są kwestie podatkowe. Jeśli chodzi o dane osobowe, to istotne jest przede wszystkim to, kto ma do nich dostęp i czy są to wyłącznie osoby upoważnione. Dane z kilku spółek mogą znaleźć się nawet w jednej bazie danych, ale należy pilnować odpowiednio nadanych uprawnień i separacji logicznej danych (dane muszą być przypisane do spółek, które są ich administratorami). Administrator takiej bazy danych musi być zatrudniony w kilku spółkach (tzw. dzielone etaty) lub być pracownikiem jednej z firm, której pozostałe powierzą przetwarzanie danych osobowych. Powierzenie wydaje się być czymś skomplikowanym, ale przekładając to z „polskiego na nasze”, jest to zwyczajna umowa zlecenia, przy czym elementem tej umowy są

także operacje na danych (przetwarzanie danych). Gdy jedna spółka pracuje na rzecz innej, może przetwarzać dane osobowe tej spółki. Umożliwia to tzw. powierzenie przetwarzania danych osobowych. Rekrutacja – pojawiają się często pytania: jeśli kandydat odpowiedział na ofertę jednej ze spółek, rekrutacja się nie zakończyła – czy można mu zaproponować pracę w innej ze spółek grupy? Można, pod warunkiem, że spełni się odpowiedni obowiązek informacyjny, tzn. przekaże osobie, że aplikowała co prawda na stanowisko X, ale w innej spółce grupy jest stanowisko Y. Oczywiście zależy jeszcze, jaki to czas. Jeśli od złożenia aplikacji minęło więcej niż pół roku, to kandydatowi może się to wydać nieco nienaturalne i może być gotów protestować, a nawet składać skargę do GIODO, więc trzeba zachować umiar. Światełko w tunelu Jest szansa, że kiedyś przepisy dotyczące ochrony danych osobowych zauważą istnienie grup kapitałowych. Projekt rozporządzenia europejskiego w zakresie ochrony danych osobowych – następca dyrektywy 95/46/WE – zauważa tematykę grup, ale nie wyróżnia ich zbyt specjalnie, definiując jedynie termin „grupa przedsiębiorstw” oraz wskazując, że grupa może wyznaczyć jednego inspektora ochrony

danych osobowych. W jednym z zapisów doczytujemy się, że Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących zakresu odpowiedzialności, obowiązków i zadań w odniesieniu do podmiotu przetwarzającego zgodnie z ust. 1, oraz warunków, które umożliwiają uproszczenie przetwarzania danych osobowych w ramach grupy przedsiębiorstw, w szczególności do celów kontroli i sprawozdawczości. I kto wie, może grupom kapitałowym będzie łatwiej przetwarzać dane osobowe, czego życzę i sobie, i wszystkim czytelnikom. 1

arto zauważyć, że o ile marketing W własnych towarów i usług jest dozwolony, to inne akty prawa mogą ograniczać pewne formy marketingu; np. marketing za pomocą poczty elektronicznej reguluje art. 10 ustawy o świadczeniu usług drogą elektroniczną.

. Barta, P.Litwiński, Ustawa P o ochronie..., s.266.

J . Barta, P. Fajgielski, R. Markiewicz, Ochrona danych..., s 182.

nonimizacja jest procesem, w którym A dane osobowe zostaną tak zmienione lub zniekształcone, że nie będzie możliwe rozpoznanie osób, których dane dotyczą.

AUTOR: Leszek Kępa, Ekspert ds. ochrony danych osobowych, autor książek „Dane osobowe w firmie. Praktyczny przewodnik przedsiębiorcy” i „Bezpieczeństwo systemu e-commerce”

Ochrona przed wirusami

tały dostęp do internetu jest niestety mieczem obosiecznym. Z jednej strony zapewnia nieprzerwaną komunikację z klientami i błyskawiczny przepływ informacji, jednak stwarza także potencjalne ryzyko infekcji komputera, a co za tym idzie – całej sieci firmowej. Skutki takiej sytuacji mogą być tragiczne. Odpowiednio napisany szkodliwy kod może w ciągu kilku minut spenetrować firmę i ujawnić najpilniej strzeżone informacje, takie jak strategie marketingowe, bazy danych czy informacje o klientach. Ochrona przed tradycyjnym szkodliwym oprogramowaniem, z jakim eksperci ds. bezpieczeństwa spotykają się każdego dnia, może ograniczyć się do instalacji odpowiednich aplikacji antywirusowych. Co jednak w przypadku ataków ukierunkowanych, które wymykają się ze schematu typowej ochrony?

Wielu cyberprzestępców wykorzystuje popularność Facebooka do tego, by infekować komputery. Cały ten proces często odbywa się w tle i użytkownik nie jest świadomy tego, że do systemu dostaje się koń trojański.

WRZESIEŃ 2012 www.prevent-magazine.pl

Zdjęcia: Fotolia

Bezpieczeństwo sieci firmowej Niemal każda współczesna firma do sprawnego funkcjonowania potrzebuje sieci komputerowej i Internetu. Wiele istotnych projektów opiera się o sprawne funkcjonowanie sieci, dlatego jej zabezpieczenie powinno być priorytetem. Jak się jednak okazuje, często najsłabszym ogniwem całej infrastruktury jest człowiek, dlatego odpowiednie aplikacje zabezpieczające i konfigurowanie sprzętu powinny iść w parze ze szkoleniami pracowników.

Rozpoznanie przeprowadzone na atakowanym obiekcie jest najważniejsze. Od tego zależeć będzie powodzenie całego przedsięwzięcia rozpoczętego przez cyberprzestępcę. Cenne informacje mogą znajdować się dosłownie wszędzie, a firmy często nie zdają sobie z tego sprawy... Najlepszym przykładem jest informacja dołączona przez

Tego typu zagrożenia mają charakter lokalny, a nie globalny. Przestępca skupia się na jednej firmie/instytucji i do niej dopasowuje szkodliwe oprogramowanie. Przygotowania mogą trwać wiele miesięcy i mają na celu zebranie jak najwięcej informacji w celu sprawnego poprowadzenia ataku. Schemat na górze strony pokazuje, z jakich faz składa się atak ukierunkowany.

niektóre programy antywirusowe do wychodzącej poczty elektronicznej. Jest to informacja o bazie sygnatur stosowanej przez program antywirusowy oraz rodzaju silnika zastosowanego w skanerze. Z pozoru błaha rzecz, jednak dostarcza wielu cennych danych. Po pierwsze atakujący wie już, z jakim rozwiązaniem antywirusowym spotka się w czasie

ataku, po drugie łatwiej jest napisać program, który omija jeden skaner antywirusowy, niż aplikację dostosowaną do kilkudziesięciu rozwiązań bezpieczeństwa. Nieprzeszkolony pracownik także może nieświadomie dostarczyć cyberprzestępcy dane na temat stacji roboczych. Wprawny socjotechnik może zaznajomić się ze swoją ofiarą i manipulować nią tak, by wykorzystać nowe relacje w odpowiednim momencie. Przykład: Atakujący pomaga swojej ofierze, np. pożycza pieniądze, oferuje pomoc przy naprawie auta. Tworzy się więź i rośnie presja ze strony atakującego. W pewnym momencie ofiara, poproszona o przysługę, nie chce odmówić, ponieważ po prostu „nie wypada”. W taki sposób atakujący może podesłać e-mailem link do strony ze szkodliwym oprogramowaniem, z nazwy wskazujący jednak na zupełnie inną zawartość. Ofiara nie będzie obawiała

Dla prenumeratorów Prevent Magazine 10% zniżki Ochrona przed wirusami

się kliknąć hiperłącza, ponieważ „zna” nadawcę. Kilka lat temu w USA zanotowano przypadki infekowania komputerów firmowych w bardzo nietypowy sposób. Zarażone szkodliwym oprogramowaniem, atrakcyjnie wyglądające pendrive’y porzucano pod firmami oraz na parkingach. Pracownicy idący do biura znajdowali takie urządzenie i – jak nietrudno się domyślić – nie czekali na powrót do domu, by sprawdzić czy nowe znalezisko działa. Wszystkie te przykłady pokazują, że należy inwestować nie tylko w ochronę sprzętu, ale także w szkolenia dla pracowników, zwłaszcza tych, którzy mają dostęp do newralgicznych zasobów firmowych. Szkolenie takie musi obejmować nie tylko poinformowanie o możliwych zagrożeniach z zewnątrz, ale także o wykorzystywaniu czasu i służbowego łącza internetowego do celów osobistych. Przykładem może być sprawdzanie poczty czy odwiedzanie portali społecznościowych. Obecnie wielu przestępców wykorzystuje popularność portalu Facebook do tego, by infekować komputery. Cały ten proces często odbywa się w tle i użytkownik nie jest świadomy tego, że do systemu dostaje się koń trojański. Wiadomość, którą pokazuję na górze po prawej, była rozsyłana AUTOR: Maciej Ziarek, analityk zagrożeń w Kaspersky Lab Polska, www.kaspersky.pl

masowo za pomocą spamu. Wygląda ona identycznie jak e-mail wysyłany przez prawdziwy portal Fotka.pl. W rzeczywistości odnośnik nie prowadzi do serwisu, lecz do podstawionej strony, na której znajduje się szkodliwe oprogramowanie.

gwarantuje, że sieć będzie bezpieczna. Od kilku lat producenci sprzętu sieciowego montują w routerach i kartach sieciowych przyciski działające na zasadzie push ‚n’ connect. Inna nazwa to WPS (WiFi Protected Setup). Jest to wygodny

znana. Jeżeli użytkownik poda zły PIN, protokół zwraca informację o tym, czy cztery pierwsze liczby były poprawne. W ten sposób dość łatwo i szybko można poznać prawdziwy PIN, bez fizycznego dostępu do urządzenia. PIN składa się z 8 cyfr, a ostatnia z nich jest znana. Mamy zatem 10^4 prób (otrzymujemy komunikat o poprawności pierwszych 4 cyfr) + 10^3 prób (pozostałe cyfry). Razem wchodzi do 11000 prób. Niestety niemożliwe jest naprawienie tego błędu w zabezpieczeniach, ponieważ wynika on ze złej implementacji protokołu. Obecnie najlepszym rozwiązaniem jest wyłączenie domyślnych ustawień WPS.

Szkolenie Administratora Bezpieczeństwa Informacji

Podsumowanie

Domyślne, nie zawsze dobre O ile ataki ukierunkowane dotyczą w większości dużych firm i korporacji, o tyle małe przedsiębiorstwa także narażone są na ataki, jednak wykonywane w innej formie. Ze względu na brak konieczności zakupu drogiego sprzętu, często decydują się one na routery i stworzenie sieci firmowej w oparciu o WiFi. Takie rozwiązanie w przypadku małych firm może być tanie, jednak nawet ustawienie odpowiedniego hasła czy wybór najsilniejszego szyfrowania nie

sposób łączenia nowego sprzętu z istniejącą siecią. Wystarczy wcisnąć przycisk na obudowie routera oraz na karcie sieciowej lub przepisać PIN znajdujący się na spodzie routera. W ten sposób następuje automatyczne ustawienie wszystkich parametrów sieci w nowoprzyłączonym sprzęcie, bez konieczności robienia tego ręcznie. Niestety, całkiem niedawno wykryto błąd w protokole EAP, który jest wykorzystywany przez WPS. Z 8-cyfrowego PIN-u ostatnia cyfra stanowi sumę kontrolną i zawsze jest

Temat bezpieczeństwa sieci jest bardzo rozległy. Niestety, w pełni bezpieczna sieć nie istnieje. Zawsze na dobrą tarczę znajdzie się lepszy miecz. Próba zapewnienia bezpieczeństwa nie jest jednak walką z wiatrakami. Mimo że nie jesteśmy w stanie osiągnąć perfekcji, nie znaczy to, że nie należy do niej dążyć. W ten sposób zamykamy drzwi i minimalizujemy ryzyko wtargnięcia niepowołanych osób do naszej sieci. Bez względu na to, czy sieć składa się z trzech czy trzystu komputerów, ich odpowiednie zabezpieczenie może być kluczem do sukcesu firmy. Nie należy jednak zapominać, że równie ważny jest odpowiednio przeszkolony pracownik, który nie ulegnie manipulacyjnym próbom socjotechnika.

Dlaczego my? - Praktyczna wiedza poparta wieloletnim doświadczeniem - Rzetelni trenerzy pełniący funkcje ABI - Niewielkie grupy szkoleniowe - Indywidualne podejście

Tylko 600 zł brutto

Najbliższe szkolenia w Warszawie: - 19 września - 17 października - 14 listopada - 13 grudnia

Ruch w sieci

Nieetyczne

WRZESIEŃ 2012 www.prevent-magazine.pl

Zdjęcia: autor

artykule skoncentruję się na przedstawieniu możliwych konsekwencji pozycjonowania strony „na skróty”.

Filtr To kara, która objawia się obniżeniem pozycji nieetycznie (sztucznie) pozycjonowanych fraz kluczowych. Kara nie należy do grona najsurowszych, jednak prowadzi do poważnych

Jak nie dostać kary? Aby uniknąć powyżej opisywanych kar, należy pamiętać o odpowiednich zabezpieczeniach umownych z agencją SEO. Rozpoczynając współpracę, warto mieć na uwadze fakt,

konsekwencji – utraty ruchu na stronie. W przypadku filtra witryna nie znika z wyników wyszukiwania – trafia na odległe pozycje, do których internauci zazwyczaj nie docierają.

czyli najprostsza metoda na usunięcie strony z Google

oruszając temat nieetycznych praktyk SEO, wyjaśnijmy, za co Google może nakładać kary i w jaki sposób się to odbywa. Kary nakładane są w sposób automatyczny, ale i ręczny. Ręcznym przyznawaniem kar zajmują się specjaliści z Google Webspam Team, ale w większości przypadków mamy do czynienia z automatycznymi karami

ków, to powinniśmy się martwić. SandBox Potocznie określany jest piaskownicą – swój debiut miał wraz z Google Austin Update w 2004 roku. Zadaniem SandBoxa jest wykluczanie w ustalaniu rankingu podejrzanych linków aż do momentu, kiedy Google uzna, że są godne zaufania.

Zaczynając współpracę z agencją SEO, pamiętajmy, że algorytmy wyszukiwarek ewoluują. To, co dzisiaj jest postrzegane jako etyczne, za kilka miesięcy może już takie nie być.

pozycjonowanie, Pozycjonowanie to działanie zmierzające do osiągnięcia wysokich pozycji w wyszukiwarce internetowej. Ze względu na czas realizacji projektu możemy wyróżnić dwa sposoby osiągnięcia wysokich pozycji: szybki i „na skróty”, którego nie można nazwać bezpiecznym i etycznym, oraz ten wolniejszy, gdzie efekty działań agencji pojawiają się później, ale są trwałe. Osobiście jestem zwolennikiem tej drugiej metody – zdecydowanie bezpieczniejszej, ale w tym

nakładanymi przez algorytm wyszukiwarki. W zależności od przewinienia taka kara może trwać od kilku tygodni do kilku miesięcy – warunkiem jej zdjęcia jest usunięcie przyczyn jej otrzymania. Nałożenie kary przez wyszukiwarkę może objawiać się spadkiem pozycji lub całkowitym usunięciem witryny z wyników wyszukiwania.

Ban To najsurowsza kara, przyznawana bardzo rzadko i z reguły tylko w sytuacjach rażącego naruszenia Wskazówek Google dla Webmasterów. Otrzymanie bana skutkuje całkowitym wykluczeniem – wyindeksowaniem witryny z wyników wyszukiwania. Prostym sposobem sprawdzenia, czy nasza – wcześniej widoczna w Google – witryna otrzymała bana, jest wpisanie do wyszukiwarki zapytania: „site:domena-twoje-witryny.pl”. Jeżeli Google zwróci zero wyni-

że pozycjonowanie to proces ciągły – warto o tym pamiętać przy zawieraniu umowy. W kontekście ciągłości działań istotne jest nieusuwanie linków lub ich powolne usuwanie z wewnętrznego zaplecza agencji. To właśnie od zapisów w umowie może zależeć nasze być albo nie być w wyszukiwarce. Gdy powierzamy realizację pozycjonowania strony agencji, priorytetem powinny być odpowiednie zapisy zabezpieczające przed utratą pozycji. Black SEO Szczególny nacisk w umowie warto położyć na zakaz stosowania praktyk postrzeganych jako Black SEO. W odpowiednim paragrafie należy uwzględnić wówczas, co określane jest

mianem Black SEO w przypadku współpracy. Do technik postrzeganych jako Black SEO należą m.in.: • maskowanie treści, • podstępne stosowanie przekierowań, • ukrywanie odnośników, • tworzenie stron przejściowych, • automatyczne generowanie treści, • tworzenie kopii stron, • tworzenie farm linków, • spamowanie stron komentarzami z linkiem zwrotnym, • wykorzystywanie systemów wymiany linków.

Faktem jest, że nawet najlepsza umowa nie jest w stanie zabezpieczyć witryny i jej właściciela przed otrzymaniem kary. Wyszukiwarka rządzi się swoimi prawami i to, co dzisiaj jest postrzegane jako etyczne, za kilka miesięcy może prowadzić do poważnych konsekwencji. Rozpoczynając współpracę z agencją, warto pamiętać o tym, że algorytmy wyszukiwarek ewoluują – dostosowują się do rynku, który rozwija się ciągle i to w błyskawicznym tempie. Pamiętajmy, że relacje „klient = agencja” powinny opierać się na wzajemnym zaufaniu, zrozumieniu, a przede wszystkim bogatym doświadczeniu agencji, gdyż to ono rzutuje na to, czy współpraca będzie przebiegała bezproblemowo. AUTOR: Paweł Sikora, kierownik projektów internetowych w Semtec sp. z o.o. www.semtec.pl

Bezpieczeństwo danych

Jak realizować Marketing SMS skutecznie i zgodnie z przepisami

Zbieranie, przechowywanie i wykorzystywanie baz numerów telefonów obwarowane jest szeregiem przepisów i zasad. Niniejszy poradnik w kilku punktach wyjaśnia, w jaki sposób tworzyć takie bazy i nimi zarządzać oraz realizować kampanie marketingowe SMS.

Na podstawie numeru telefonu można zidentyfikować osobę fizyczną, więc ta informacja stanowi daną osobową i podlega takiej samej ochronie jak pozostałe dane osobowe. Dla zachowania bezpieczeństwa danych podczas prowadzenia działań marketingowych należy stosować, zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych. 2. Zarejestruj bazę danych Zanim zaczniesz realizować kampanie i przetwarzać zbiory danych osobowych w celach marketingowych, zgłoś swoją bazę do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – bezpłatnie poprzez formularz na stronie www.giodo.gov.pl. Jeżeli realizujesz kampanię na zlecenie, zgłoszenia dokonuje administrator danych, który jest zobowiązany do podpisania z tobą umowy

powierzenia danych, określającej zakres przetwarzania danych osobowych przez zleceniobiorcę. 3. Zbieraj dane osobowe legalnie Możesz zbierać dane osobowe bezpośrednio poprzez papierowe formularze i ankiety lub pośrednio (automatycznie) poprzez specjalny numer do odbioru SMS-ów od potencjalnych klientów, którzy za pośrednictwem SMS-a zarejestrują się w systemie. Platforma obsługująca ruch SMS-owy zapisze numer telefonu do grupy kontaktów, którą można wykorzystać przy realizacji kampanii skierowanej do danej grupy docelowej. Zarejestrowani muszą mieć pełną świadomość tego, kto i po co przetwarza ich dane osobowe. Na dowód, że osoba zgodziła się na przetwarzanie jej danych w celach marketingowych, powinieneś mieć oświadczenie woli tej osoby. Zadbaj również o archiwizację oświadczeń na wypadek sporu lub kontroli GIODO.

WRZESIEŃ 2012 www.prevent-magazine.pl

4. Chroń pozyskane dane osobowe Dane przechowywane w zbiorze elektronicznym zabezpiecz hasłem i loginem, które zna wyłącznie administrator danych lub administrator bezpieczeństwa informacji. Jeśli przechowujesz dane osobowe, korzystając z hostingu, lub zarządzasz danymi za pomocą oprogramowania, podpisz z dostawcami usług umowę powierzenia danych. Zakres takiej umowy określa wspomniana na początku ustawa. W przypadku niewypełnienia ustawowych obowiązków do odpowiedzialności może być pociągnięty także podmiot przetwarzający dane osobowe na zlecenie, czyli tak zwany procesor, który nie jest administratorem danych.

zawartych w nich danych osobowych, może wiązać się z karami pieniężnymi i odpowiedzialnością karną. Prawo do wykorzystania danych możesz uzyskać od osoby, która wyraziła chęć na otrzymywanie informacji handlowych lub od producenta bazy danych, który ma zgodę na przesyłanie informacji handlowych i przekazanie danych osobowych innym podmiotom. Najlepiej jednak pozyskiwać zgody i kontakty we własnym zakresie.

5. Pozyskuj dane z pewnych źródeł Korzystanie z zakupionych baz, których nie jesteś właścicielem lub nie masz pozwolenia na ich wykorzystanie, również w zakresie praw do przetwarzania

Zdjęcia: Fotolia

1. Zapoznaj się z ustawą

rodowych operatorów lub brokerów. Operatorzy GSM starają się eliminować ruch od brokerów międzynarodowych, co może wiązać się z tym, że tylko część wiadomości dotrze do odbiorcy. Wyznacznikiem tego, czy partner korzysta z alternatywnych połączeń, może być podejrzanie niski koszt usługi i zbyt duże ustępstwa w prowadzonych negocjacjach. Bezpośrednie połączenia są droższe, ale jakość i bezpieczeństwo jest na najwyższym poziomie.

6. Wybieraj firmy współpracujące z krajowymi operatorami GSM

7. Nie wprowadzaj do SMS-ów nazw zastrzeżonych

Unikaj dostawców oprogramowania do masowej komunikacji SMS korzystających z międzyna-

W SMS-ach zwróć uwagę na opcję, która umożliwia wstawienie nazwy twojej

firmy lub znaku towarowego, którym się posługujesz, w miejscu, gdzie standardowo pojawia się numer telefonu. Takie SMS-y pomogą utrwalić nazwę twojej marki. Nie stosuj nazw lub oznaczeń, do których nie masz prawa. Jeśli korzystasz z oprogramowania firmy, która nie wymagała od ciebie okazania zgody na posługiwanie się nazwą marki lub produktu w nagłówku SMS-a, może to świadczyć o braku profesjonalizmu ze strony firmy.

AUTOR: Daniel Zawiliński, dyrektor ds. Marketingu i Sprzedaży, www.serwersms.pl

Weryfikacja danych

Dlaczego warto mieć

podpis elektroniczny? dlaczego i w jaki sposób jest on bezpieczny?

Wraz z upowszechnieniem się Internetu wiele spraw można załatwić drogą elektroniczną. Nie trzeba drukować wszystkiego na papierze, tracić czasu i pieniędzy na przesyłkę, a następnie czekać na odesłanie dokumentów. Jednym z wyzwań w procesie komunikacji elektronicznej jest zweryfikowanie tożsamości osób komunikujących się ze sobą. Dodatkowo kluczowe znaczenie ma właściwe i bezpieczne przetwarzanie informacji – zwłaszcza, gdy coraz częściej słyszymy o włamaniach i kradzieżach cennych danych.

Zdjęcia: Fotolia, autor

WRZESIEŃ 2012 www.prevent-magazine.pl

ajpoważniejszymi konsekwencjami włamań są zakłócenia działalności firmy oraz utrata wrażliwych danych, które mogą wystawić firmę na niebezpieczeństwo strat i utratę reputacji. Bezpieczna komunikacja elektroniczna powinna zapewniać bezpieczeństwo danym, które są przesyłane. Aby móc spełnić ten wymóg, powinna być wyposażona w mechanizmy, które umożliwiają rozliczenie jej użytkownika, potwierdzania jego tożsamości, uwierzytelnienia, a także być odporna na nieautoryzowaną manipulację. Obecność podpisu w takim przypadku staje się być koniecznością. Dzięki niemu można zagwarantować tajemnicę korespondencji i mieć pewność, że dokument elektroniczny został wysłany faktycznie przez określonego nadawcę i że na pewno trafi do określonego odbiorcy.

Podpis elektroniczny dzieli od podpisu odręcznego bardziej istotna różnica niż ta, która występuje między listem elektronicznym a listem papierowym. W przypadku listów treść jest taka sama, zmienia się jedynie forma przekazu. Podpis elektroniczny nie jest tylko zmianą formy podpisu odręcznego i użycie słowa: „podpis” nie jest do końca uzasadnione. Z podpisem klasycznym ma tylko podobieństwo funkcjonalne – jest formą oświadczenia woli podpisującego. Wyraźne należy podkreślić, że bezpośrednie porównanie podpisu własnoręcznego oraz elektronicznego jest całkowicie wykluczone

rowanie informacji z dokumentu na jej skompresowaną próbkę dokonuje się za pomocą jednokierunkowej funkcji szyfrującej, tzw. funkcji haszującej. Podpis elektroniczny identyfikuje osobę podpisującą oraz stanowi dowód akceptacji podpisywanego dokumentu, gwarantuje uwierzytelnienie, niezaprzeczalność nadania oraz integralność przesyłanych informacji. Podpis elektroniczny ma postać danych elektronicznych, które pozwalają powiązać informacje o osobie podpisującej z treścią podpisywanego dokumentu. Inaczej mówiąc, jest to przetworzony matematycznie tekst dokumentu, szyfrowany

Użycie podpisu elektronicznego daje gwarancję, że wszystkie zmiany wprowadzone w dokumencie po jego podpisaniu będą natychmiast sygnalizowane. z uwagi na fakt, iż mają one zupełnie odmienną naturę. Treść podpisu odręcznego obejmuje najczęściej nazwisko uzupełnione imieniem. W przypadku podpisu elektronicznego nie ma w ogóle mowy w nawiązaniu do nazwiska osoby go składającej, gdyż podpis elektroniczny odwołuje się do tych danych w sposób pośredni, stając się ciągiem bitów (krótszym od przesyłanej informacji) będącym funkcją podpisywanej informacji oraz klucza prywatnego nadawcy. W odróżnieniu od podpisu ręcznego zależy od zawartości dokumentu, od skompresowanej próbki dokumentu. Odwzo-

za pomocą klucza prywatnego. Mechanizm podpisu elektronicznego opiera się na asymetrycznych technikach kodowania. Polega to na użyciu do podpisywania dokumentów dwóch różnych powiązanych kluczy szyfrujących. Osoba, która chce podpisać elektronicznie dokument (nadawca), wykonuje to używając klucza, który jest wyłącznie w jej posiadaniu. Otrzymując tak sygnowany dokument, odbiorca może sprawdzić jego autentyczność (tj. czy dokument rzeczywiście pochodzi od nadawcy, a nie kogoś innego, a także czy po drodze ktoś nie dokonał w nim zmian)

Weryfikacja danych

za pomocą drugiego klucza nadawcy - klucza publicznego.

wiadomości, za jego pomocą można odszyfrować wiado-

Podpis elektroniczny jest narzędziem znacznie pewniejszym niż podatny na fałszerstwo podpis własnoręczny. Klucz publiczny jest ogólnodostępny po to, aby nadawca wiadomości mógł pobrać certyfikat cyfrowy odbiorcy, do którego chce wysłać

mość zakodowaną wcześniej jego kluczem publicznym. W przypadku klasycznego podpisu łącznikiem między dokumentem a podpisem jest

złożeniem podpisu czy po nim. Pomimo tych mankamentów jest on powszechnie używany, a to ze względu na trudności w oszukiwaniu i ryzyko wykrycia. Podpis elektroniczny całkowicie wyklucza tego typu manipulacje dokonywane na dokumentach elektronicznych. Dodatkowo unikalność podpisu elektronicznego gwarantuje, iż nie zostanie on dołączony

Właściwości podpisów: ręcznego i cyfrowego Cechy wspólne: 1. Przypisany jednej osobie. 2. Uniemożliwiający wyparcie się go przez autora. 3. Łatwy do wygenerowania. 4. Łatwy do weryfikacji przez niezależną stronę. Różnice:

wiadomość jawna

wiadomość zdeszyfrowana

szyfrowanie

deszyfrowanie

klucz publiczny odbiorcy

klucz prywatny odbiorcy

wiadomość zaszyfrowana

Podpis ręczny 1. Funkcjonuje jedynie w podpisanym dokumencie. 2. Identyczny we wszystkich dokumentach podpisanych przez tę samą stronę. 3. Stawiany najczęściej na jednej (np. ostatniej) stronie dokumentu. 4. Weryfikacja opiera się na porównaniu podpisu pod kontrolowanym dokumentem z przechowywanym oryginałem podpisu ręcznego. 5. Ujawnienie graficznego obrazu podpisu ręcznego może ułatwić jego fałszerstwo.

wiadomość zaszyfrowana

nadawca

odbiorca

zaszyfrowaną wiadomość, a następnie zaszyfrować wiadomość przy użyciu tego klucza. Odszyfrowanie wiadomości jest możliwe jedynie przy użyciu odpowiadającego mu klucza prywatnego, który znajduje się u odbiorcy, do którego kierujemy zaszyfrowaną wiadomość. Klucz prywatny jest unikatowy i jest znany jedynie odbiorcy

papier, na którym znajdują się zarówno treść dokumentu, jak i podpis. Wystarczy podrobić czyjś podpis, żeby sfałszować dokument. W przypadku dokumentu papierowego nawet po złożeniu pod nim podpisu możliwe jest dokonanie zmian, dla których niemożliwe będzie wskazanie, czy zostały naniesione przed

WRZESIEŃ 2012 www.prevent-magazine.pl

do innej wiadomości, co może mieć miejsce w przypadku podpisu złożonego na papierze. Do oceny autentyczności klasycznego podpisu odręcznego potrzeba grafologów i znajomości „wzorcowego podpisu”. W przypadku podpisu elektronicznego weryfikacją zajmuje się program komputerowy. Przy podpisie elektronicznym

Zdjęcia: Fotolia, autor

Rys. na podst.: Schneier, Kryptografia w praktyce.

Podpis elektroniczny 1. Może być przechowywany i przesyłany bez dokumentu, którego dotyczy. 2. Jego wartość jest funkcją całego dokumentu. 3. Weryfikacja opiera się na procedurze obliczeniowej i nie wymaga posiadania innego egzemplarza podpisu elektronicznego. 4. Weryfikacja wymaga dysponowania kluczem publicznym strony podpisującej. 5. Weryfikacja nie wymaga ujawnienia tajnego klucza podpisującego informację.

liczy się całą treść dokumentu. Nie wystarczy go skopiować, aby podrobić. Jest on różny dla różnych dokumentów lub nawet ich fragmentów. Jego podrobienie jest właściwie niemożliwe. Znane metody złamania podpisu elektronicznego wymagają tak wielu obliczeń, że obecnie istniejące komputery nie potrafiłyby się z problemem uporać przez lata. Jeśli nawet założymy, że komputery będą dużo szybsze, to zawsze można wydłużyć długość kluczy stosowanych do stworzenia podpisu elektronicznego. Podstawowe właściwości podpisów elektronicznych oraz ich podobieństwa i różnice w stosunku do tradycyjnych podpisów ręcznych przedstawione zostały w tabeli po lewej. Schematy podpisów elektronicznych realizują trzy podstawowe usługi: • integralność danych – jest usługą, która zabezpiecza dane przed nieautoryzowaną modyfikacją zarówno w trakcie przechowywania, jak i przesyłania. Aby zapewnić integralność danych, musi istnieć metoda detekcji każdej nieuprawnionej modyfikacji, która obejmuje: wstawianie, kasowanie, podstawianie, przetrzymywanie oraz zmianę sekwencji. Usługę tę można określić jako uwierzytelnianie źródła wiadomości, • uwierzytelnienie – usługa ta pozwala sprawdzić wia-

rygodność podpisującego dane. Jest to uwierzytelnienie podmiotu, do którego należy podpis cyfrowy pod dokumentem, •n iezaprzeczalność – zapewnia dowód na autorstwo podpisu pod dokumentem na wypadek wyparcia się przez autora faktu złożenia pod nim swojego podpisu. Podpis elektroniczny jest narzędziem znacznie pewniejszym niż podatny na fałszerstwo podpis własnoręczny. Jest przyporządkowany wyłącznie do osoby składającej ten podpis i sporządzany za pomocą tylko jej dostępnych bezpiecznych urządzeń (karta kryptograficzna) i danych. Użycie podpisu elektronicznego daje gwarancję, że wszystkie zmiany wprowadzone w dokumencie po jego podpisaniu będą od razu sygnalizowane. Należy się więc zastanowić nad bezpieczeństwem danych oraz przepływem informacji, ponieważ z jednej strony zmiany technologiczne ułatwiają i przyśpieszają pracę, z drugiej wywołują dodatkowe ryzyko. Dlatego właśnie ludzie wymyślili zaawansowane mechanizmy ochronne, takie jak: szyfrowanie, uwierzytelnianie oraz podpis elektroniczny.

AUTOR: Dariusz Łydziński, Szef Działu Bezpieczeństwa, Ochrony Informacji i Audytu Unizeto Technologies SA, www.unizeto.pl