Prevent Magazine nr 4 by Sebastian Kalmus

www.prevent-magazine.pl KWIECIEŃ 2013 (nr 4)

E-Commerce po północy Co się wtedy dzieje w Twoim sklepie?

GIODO O SKLEPACH INTERNETOWYCH

Rozmowa z dr. Wojciechem Wiewiórowskim

Certyfikaty dla sklepów – czy warto?

Przyjazny sklep internetowy Czyli jaki?

TEMAT NUMERU:

BEZPIECZEŃSTWO W E-COMMERCE

Działamy kreatywnie i rzetelnie. Nie ma dla nas rzeczy niemożliwych:-) Projektujemy, piszemy, realizujemy! Działamy elastycznie, profesjonalnie i skutecznie, zawsze dopasowując się do potrzeb Klienta.

Zapraszamy do współpracy!

iKONCEPT | M. Wańkowicza 7/87 | 02-796 Warszawa | info@ikoncept.pl | www.ikoncept.pl

Michał Sztąberek,

prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure, redaktor naczelny „Prevent Magazine”

BEZPIECZNE ZAKUPY

akupy w internecie już od dłuższego czasu stają się coraz bardziej popularne. Mimo to w Polsce brakuje oficjalnej informacji, ile sklepów internetowych działa obecnie na rynku. Z niektórych badań wynika, że sklepów tych jest ponad 7,5 tysiąca, z czego ok. 2/3 to mikroi małe przedsiębiorstwa. Tendencja ta jest wzrostowa, np. serwis sklepy24.pl w samym roku 2009 odnotował przyrost swojej bazy sklepów o 42%. Szacuje się, że cały rynek eCommerce wart jest ok. 11-13 miliardów złotych. Stąd też temat związany ze sklepami internetowymi wydaje nam się na tyle ważny, że poświęcamy mu bieżący numer „Prevent Magazine”. Przede wszystkim postanowiliśmy przepytać w tym zakresie dr. Wojciecha Wiewiórowskiego, aktualnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), ale nie zabrakło również innych artykułów poświęconych zagadnieniu bezpieczeństwa w e-Commerce. Cały czas liczymy na to, że wiedza, której dostarczają Wam, Drodzy Czytelnicy, nasi autorzy, będzie pomocna i przydatna przy prowadzeniu własnych firm. Zachęcamy też do kontaktu z nami. Każda opinia, nawet najbardziej krytyczna, jest dla redakcji „Prevent Magazine” na wagę złota.

Michał Sztąberek

SPIS TREŚCI 05 Bezpieczeństwo w e-biznesie AUTOR: Bartosz Lewandowski, www.casus.com.pl 08 Ochrona personaliów posiadaczy kart płatniczych AUTOR: Mariusz Rzepka, www.Fortinet.pl

12 E-commerce po północy AUTOR: Tomasz Kuźniar, www.Monit24.pl 14 Krytyczne 15 sekund AUTOR: Robert St. Bokacki, www.konteksthr.pl 16 Bezpieczeństwo potwierdzone certyfikatem

AUTORZY: Diana Borowiecka, Dawid Federowicz, www.informonitor.pl

18 Jak bezpiecznie kupować w sieci?

AUTORZY: Justyna Skorupska, www.informonitor.pl, Mateusz Falkowski, www.fact-finder.pl

20 Wywiad: Wskazania zawarte w rozporządzeniue z 2004 r. są przestarzałe

Z dr. Wojciechem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych, rozmawia Michał Sztąberek, redaktor naczelny „Prevent Magazine”

26 Jak cię widzą, tak cię zatrudniają AUTOR: Radek Klimek, www.avg.pl 30 Zarządzanie ryzykiem w chmurze – wyprawa w nieznane AUTOR: Marcin Fronczak, www.eurexa.pl

36 D ane osobowe pracowników korporacji AUTOR: Justyna Metelska, www.tgc.eu 40 S tracona domena – czy da się ją odzyskać?

AUTORZY: Izabela Nowacka, Marcin Polak, www.netart.pl

46 P latformy B2B – czy to jest bezpieczne? AUTOR: Anna Moucka, www.positive-power.pl

Redakcja: Wydawca: iSecure Sp. z o.o., ul. E. Jelinka 32, 01-646 Warszawa, www.prevent-magazine.pl Redaktor Naczelny: Michał Sztąberek, Redakcja: Maria Lothamer, Monika Matuszewska, Jacek Kapłon, Kontakt i reklama: redakcja@prevent-magazine.pl, tel. 607 271 915, Patronaty medialne: patronat@prevent-magazine.pl, Projekt i skład: www.iKoncept.pl, Hosting: www.iq.pl Redakcja dokłada wszelkich starań, by publikowane w piśmie informacje były poprawne, jednakże nie bierze odpowiedzialności za efekty ich wykorzystania. Wszystkie znaki firmowe zawarte w piśmie są własnością odpowiednich firm. Zostały użyte wyłącznie w celach informacyjnych.

KWIECIEŃ 2013 www.prevent-magazine.pl

Zdjęcie na okładce: Fotolia

10 Jaki powinien być sklep internetowy? AUTOR: Piotr A. Wasiak, www.kiwicreative.pl

Bezpieczeństwo

w e-biznesie Bezpieczeństwo w e-biznesie to nie tylko ochrona danych osobowych i zabezpieczenia przed cyberprzestępcami. To również współpraca z wiarygodnym i rzetelnym kontrahentem.

ak pokazują dane, już kilkanaście procent przedsiębiorców z tej branży skupia się wyłącznie na działalności internetowej, nie wykorzystując żadnych innych kanałów dotarcia do klientów. Korzyści, jakie niesie ze sobą e-commerce, są niezaprzeczalne, jednak wyzwań, przed którymi stoją przedsiębiorcy z tego sektora, także jest sporo. Jednym z największych jest zapewnienie bezpieczeństwa przeprowadzanych transakcji, a za nią stoi z kolei możliwość zweryfikowania wiarygodności i rzetelności kontrahenta, także pod kątem jego płynności finansowej. W sieci problemy nie znikają Chociaż e-commerce może się pochwalić relatywnie wysokimi wskaźnikami płynności, to jednak rok 2013 i zapowiadane zmiany w obszarze podatków i prowadzeniu księgowości mogą negatywnie wpłynąć na kondycję tego sektora, zwłaszcza w przypadku podmiotów, które już borykały się z pew-

nymi kłopotami w zakresie płynności finansowej (głównie spowodowanymi nadmiernymi kosztami stałymi). Z badań TNS OBOP z maja 2012 roku wynika, że 80% respondentów z branży e-commerce uważa nieterminowe regulowanie płatności za poważną przeszkodę. Tyle samo z nich twierdzi, że jest to częsty problem w ich branży. Jednocześnie zdolność do regulowania należności wśród swoich kontrahentów oceniają oni wysoko. W takim przypadku wskaźnikiem kultury biznesowej i profesjonalizmu firm z branży może okazać się na przykład certyfikat potwierdzający wiarygodność finansową – o tym jednak za chwilę. Prawie połowa przedsiębiorców w tym sektorze ocenia, że maksymalnie 50% płatności wobec nich regulowanych jest w terminie. W e-biznesie zadłużenie kontrahentów wobec siebie relatywnie nie jest wysokie – ocenia się je na poziomie nie większym niż 50 tys. zł (a często niższe), jednak nie oznacza to, że nie jest ono problemem dla funkcjonujących na tym polu firm. Choć w przypadku podmiotów z branży e-commerce znikają pewne ograniczenia związane z prowadzeniem „tradycyjnej” firmy (np. koszt funkcjonowania

biur, duży personel, infrastruktura techniczna), w znaczącym zakresie dotyczą ich wciąż te same problemy. Zresztą bardzo wiele podmiotów równolegle działa w sieci i korzysta z innych kanałów, takich jak chociażby sprzedaż tradycyjna czy wysyłkowa. W przypadku regulowania płatności wobec kontrahentów, utrzymania płynności finansowej i wreszcie procesów dochodzenia należności w sytuacjach, gdy nie są one obsługiwane na czas, w branży e-commerce obowiązują je dokładnie te same zasady. Jeśli więc firma nie reguluje swoich zobowiązań finansowych wobec kontrahentów, mają oni wiele możliwości dochodzenia swoich pieniędzy – od monitoringu należności i windykacji polubownej, po działania ostateczne, czyli windykację sądową i egzekucyjną. Działania firm podejmujących współpracę z nowym podmiotem, zwłaszcza w branży takiej jak e-commerce, gdzie często brak jest bezpośredniego kontaktu z kontrahentem, powinny być ukierunkowane na niedopuszczenie do sytuacji, w których konieczne podjęcie jest radykalnych kroków. Mówiąc najprościej, odwołujemy się do starej, sprawdzonej zasady, że lepiej zapobiegać, niż leczyć. Swoich praw dochodzić mogą także partnerzy biznesowi lub klienci, który zapłacili

Temat numeru

prawo domagać się także za pośrednictwem wyspecjalizowanych firm zarządzających wierzytelnościami. Kiedy mamy do czynienia z bezpodstawnym wzbogaceniem się nieuczciwego kontrahenta, możemy więc walczyć o zwrot nienależnych

mu środków. Dzieje się tak także wtedy, gdy płatność zostanie omyłkowo zrealizowana na konto innego, niezamierzonego podmiotu (np. myląc numer konta, przelewamy daną kwotę pieniędzy firmie X zamiast firmie Y).

Zdjęcie: Fotolia

za oferowany im produkt lub usługę, ale z przyczyn leżących po stronie usługodawcy nie zostały im one dostarczone lub wykonane. Wtedy istnieje możliwość dochodzenia tak zwanych środków nienależnych, których oddania mamy

Prewencja przede wszystkim Możliwości, jakie stwarza e-biznes, pozwalają na znaczną oszczędność czasu i pieniędzy. Ten medal ma jednak drugą stronę – brak kontaktu bezpośredniego i pośpiech często znacznie utrudniają zweryfikowanie kontrahenta (czy, jak dzieje się w przypadku klienta indywidualnego, sprzedawcy lub usługodawcy). Jeśli ma on kłopoty z płynnością finansową, może mieć to bezpośrednie przełożenie nie tylko na jego wypłacalność, ale także jakość oferowanych przez niego usług.

Jednym z najprostszych, i relatywnie niedrogich kroków, jakie może podjąć firma, by budować zaufanie i silną pozycję w oczach kontrahentów i klientów, jest zdobycie potwierdzenia swojej terminowości oraz spełniania przez nią najwyższych norm jakości usług. Taki dokument może stanowić np. Europejski Certyfikat Wiarygodności Gospodarczej. W przypadku podmiotów działających w e-biznesie jest to szczególnie ważne, bowiem kwestie bezpieczeństwa w tej branży, choć często niesłusznie zawężane tylko

Choć w branży e-commerce znikają pewne ograniczenia związane z prowadzeniem „tradycyjnej” firmy (np. koszt biura, duży personel), ciągle w dużej mierze dotyczy ich wiele tych samych problemów. Dlatego stosując zasadę ograniczonego zaufania, warto w pierwszej kolejności sprawdzić, czy partner biznesowy nie figuruje już na liście dłużników i jakie są opinie dotyczącego jego kultury płatniczej. Dostęp do danych dotyczących płynności finansowej poszczególnych podmiotów można uzyskać poprzez współpracę z firmą profesjonalnie zajmującą się zarządzaniem wierzytelnościami. Udowodnij rzetelność Działania służące budowaniu stabilnych, zdrowych i przede wszystkim bezpiecznych relacji biznesowych mogą mieć jednak zupełnie przeciwny kierunek.

do pojęć związanych z cyberzagrożeniami, są szczególnie istotne. Dane z ostatniego roku pokazują, że 72% użytkowników opuszcza stronę firmy, jeśli ma wątpliwości co do stosowanych przez nią systemów bezpieczeństwa, w tym ochrony danych. Aż 91% respondentów z badanej przez Internet Standard grupy przyznało, że nie zrobiłoby tego, jeżeli posiadałaby ona zaufany certyfikat. Podobnie jest w przypadku wiarygodności samego podmiotu oferującego swoje usługi lub produkty - jeśli może udowodnić swoją rzetelność i pochwalić się odpowiednim certyfikatem, jego atrakcyjność w oczach potencjalnych partnerów i klientów automatycznie rośnie. Budo-

wanie klarownych i stabilnych relacji biznesowych wpisuje się w obecny na rynku e-commerce trend dotyczący wzrastającego znaczenia ukierunkowanych na konkretną specjalizację usług wysokiej klasy. A wyznacznikiem profesjonalizmu jest też przejrzysta sytuacja finansowa, regularność i uczciwość przy zawieraniu transakcji. Dlatego poza posługiwaniem się odpowiednim certyfikatem warto rozważyć zastosowanie monitoringu należności wobec kontrahentów – takie rozwiązanie sprawia, że od początku współpracy zasady dotyczące regulowania płatności są klarowne, a partnerzy wiedzą, czego mogą się spodziewać. Gdy mowa o e-commerce często myślimy głównie o relacji B2C, jednak nie jest to do końca słuszny schemat. Co prawda transakcje internetowe (dokonywane poprzez platformy B2B) stanowią ok. 5% wszystkich zawieranych między partnerami biznesowymi, jednak wartość tej wymiany może sięgać nawet ponad 100 mld zł rocznie i jest znacznie większa niż wartość sektora B2C. Pokazuje to, jak duży potencjał drzemie w internetowych relacjach B2B i tym samym, jak ważne jest stworzenie wiarygodnego wizerunku firm, nie tylko w oczach klientów indywidualnych, ale też potencjalnych kontrahentów biznesowych. AUTOR: Bartosz Lewandowski,

członek zarządu Grupy Casus Finanse, www.casus.com.pl

Zdjęcie: Fotolia

Ochrona personalióW

posiadaczy kart płatniczych – zgodna ze standardem PCI DSS

Używanie kart płatniczych przy dokonywaniu zakupów jest dużą wygodą. Niestety, to udogodnienie niesie ze sobą ryzyko kradzieży danych oraz możliwości fałszerstwa. Standard bezpieczeństwa PCI DSS został stworzony po to, by chronić nas przed tego typu zagrożeniami, i obowiązuje wszystkie firmy, które obsługują transakcje z wykorzystaniem kart płatniczych. Dotyczy nie tylko centrów autoryzacyjnych takich jak Visa czy Mastercard, ale też przedsiębiorstw, które akceptują płatności kartami oraz organizacji, które przechowują bądź przetwarzają dane posiadaczy kart płatniczych.

KWIECIEŃ 2013 www.prevent-magazine.pl

apewnienie klientowi ochrony przed oszustwem lub kradzieżą tożsamości ma zasadnicze znaczenie za każdym razem, gdy płaci on za zakupy kartą kredytową w sklepie internetowym, bankomacie czy restauracji. Ochrona danych posiadacza karty pozwala podtrzymać jego zaufanie do transakcji online i zawieranych przy użyciu karty. O bezpieczeństwo tych danych, przesyłanych na coraz bardziej różnorodnych trasach, powinny zadbać wszystkie podmioty działające w branży obsługi płatności.

stwem informacji, procedurami, politykami, architekturą sieci, projektowaniem oprogramowania oraz innymi środkami ochrony danych. Jego stosowanie jest obowiązkowe dla wszystkich podmiotów działających w branży obsługi płatności, które przechowują, przetwarzają lub przesyłają dane kart płatniczych, uwzględniając także sprzedawców internetowych. Zgodność ze standardem PCI DSS jest również egzekwowana od „usługodawców” – wszelkiego rodzaju przedsiębiorstw, które przetwarzają płatności oraz przechowują, przetwarzają lub

Standard PCI DSS (ang. Payment Card Industry Data Security Standard) ma unormować sposoby ochrony danych klientów i zapewnić im bezpieczne korzystanie z transakcji. Rada Bezpieczeństwa Kart Płatniczych (PCI Security Standards Council) reguluje zasady zgodności ze standardami ochrony danych dla branży kart płatniczych, dążąc do zmniejszenia zagrożenia dotyczącego naruszenia bezpieczeństwa danych klienta dokonującego płatności, kradzieży tożsamości i fałszerstwa z użyciem kart kredytowych. Współadministrowany przez największych na świecie operatorów płatności i innych kluczowych partnerów standard PCI DSS (ang. Payment Card Industry Data Security Standard) został opracowany w celu unormowania sposobów zarządzania przez firmy wewnętrznym bezpieczeń-

przesyłają dane posiadaczy kart w imieniu sprzedawcy, agenta rozliczeniowego lub banku autoryzującego transakcję (wystawcy karty). Jeśli Twoja firma ma do czynienia z obsługą kart płatniczych, warto zapoznać się z zamieszczonymi poniżej wymogami standardu PCI, aby dowiedzieć się, jak w sześciu krokach można skutecznie chronić dane swoich klientów: 1. Z buduj i utrzymuj bezpieczną sieć: w celu ochrony danych należy zainstalować i utrzymać zaporę sieciową chroniącą posiadaczy kart. Dodatkowo nie korzystaj z haseł skonfi-

gurowanych fabrycznie ani innych parametrów zabezpieczeń. Chroń dane posiadaczy kart: należy chronić przechowywane dane oraz szyfrować wszystkie dane transmitowane przez otwarte publiczne sieci. Prowadź program zapobiegania podatności na zagrożenia przez używanie regularnie aktualizowanego oprogramowania antywirusowego, a także przez opracowywanie i utrzymywanie bezpiecznych systemów i aplikacji. Zaimplementuj silne mechanizmy kontroli dostępu: ogranicz dostęp do danych posiadaczy kart tylko do grona osób, które mają taką potrzebę biznesową, nadawaj unikalny identyfikator każdemu użytkownikowi z dostępem do komputera oraz ogranicz fizyczny dostęp do danych posiadaczy kart. Regularnie monitoruj i testuj sieci: śledź i kontroluj wszystkie przypadki uzyskania dostępu do zasobów sieciowych i danych posiadaczy kart oraz regularnie testuj systemy i procedury bezpieczeństwa. Utrzymuj politykę bezpieczeństwa informacji: prowadź politykę dotyczącą bezpieczeństwa informacji. AUTOR: Mariusz Rzepka, Territory Manager na Polskę, Ukrainę i Białoruś, Fortinet, www.Fortinet.pl

E-biznes

Jaki powinien być sklep internetowy? 5 prostych kroków do idealnego BIZNESU

Zapewne większość czytelników „Prevent Magazine” odpowie na pytanie postawione w tytule następująco: ma być bezpieczny. Owszem, to prawda. Ale sklep internetowy, podobnie jak każdy inny, ma przede wszystkim sprzedawać.

Użyteczność sklepu może być rozumiana różnie, niemniej zazwyczaj sprowadza się do prostoty w użytkowaniu dla klienta. Oto pięć rad, jak stworzyć lub poprawić swój sklep internetowy: Po pierwsze: informacja. Najgorsze w sklepach internetowych jest to, że nie można wziąć towaru do ręki. Można nawet zaobserwować branże, które gorzej radzą sobie w internecie niż inne. Łatwiej kupić on-line książkę czy grę wideo niż bieliznę albo spodnie. Towar w sklepie musi być

zatem dobrze opisany, zawierać dokładny opis i dodatkowe informacje, takie jak rozmiar, kolory. Pamiętajmy, że informacją są też zdjęcia. Ładne, profesjonalne i... w większej liczbie niż jedno. W zasadzie każda dodatkowa informacja o produkcie jest dobra. Filmik, zdjęcia, opis, opinie klientów... Zobaczcie, jak to robi Amazon - ile tam jest informacji o każdej książce! Po drugie: wyszukiwarka. Prosta prawda: klient jak nie znajdzie, to nie kupi. Możemy mieć, według nas, najwspa-

nialsze kategorie i produkty ułożone tak logicznie, jak się da, ale wyszukiwarka i tak jest podstawą. I to wyszukiwarka na swój sposób inteligentna. Powinna wyszukiwać w tytułach i autorach oraz kategoriach i tagach, ale raczej nie w opisach produktów, bo wyniki wyszukiwania będą zbyt zaśmiecone. Inteligencja wyszukiwarki sprowadza się w zasadzie do „wyłapywania” omyłek klienta. Nic nie odstrasza bardziej niż puste wyniki wyszukiwania. Wyłapywanie literówek jest tym bardziej istotne w przypadku wersji

W sklepie iperfumy.pl, pomimo literówki w nazwie kosmetyku, wyszukiwarka zwraca poprawne wyniki.

KWIECIEŃ 2013 www.prevent-magazine.pl

Zdjęcia: Autor

oza prawidłowo prowadzoną księgowością i rozliczeniami, poza napisanym regulaminem sklepu i poszanowaniem praw klienta, takich jak prawo do zwrotu towaru i prawo do reklamacji, to tak naprawdę coś innego „sprzedaje” produkty. To wygoda kupowania. Po to przecież wybieramy sklep internetowy. Kupowanie z kanapy jest wygodniejsze, ale w związku z tym - oczekujemy ekstremalnej wygody. Półśrodki są niesatysfakcjonujące.

mobilnej sklepu. Wstukując nazwę za pomocą klawiatury ekranowej łatwiej o pomyłkę.

informacji o sobie i konieczność wcześniejszej rejestracji. Wchodzimy na stronę, dodajemy produkty do koszyka i doPo trzecie: kategorie. Popiero „przy kasie” wymagana wiedzmy otwarcie – kategory- jest jakaś akcja - z podaniem zacja produktów według proadresu wysyłki i wyborem płatducenta to zły pomysł (mimo ności. Poproszenie o te dane że wiele sklepów tak robi). za wcześnie będzie skutkowało Dlaczego? Ponieważ niejedzniechęceniem klienta. Dobrą nokrotnie klienci nie wiedzą, praktyką jest oferowanie klienkto jest producentem danego towi zakupów bez rejestracji, produktu. Jesteśmy przywiąa konto w sklepie jest zakładazani do marek, a nie do prone „przy okazji”. Badania wyducentów. Bo gdyby chcieć kazują, że najbardziej traumasegregować produkty według tycznym momentem zakupów producentów, to lody Algida w internecie jest finalizacja i Domestosa trzeba by wrzucić i płatność, a najwięcej porzudo jednej kategorii. „Pierwszy ceń koszyka następuje właśnie stopień” kategorii, czyli ten, w momencie wypełniania końktóry widzi klient, na pierwszy cowego formularza. rzut oka nie powinien być zbyt duży. Pokazując setkę kategorii, Po piąte: kontakt. Mówienie, nie sprawimy, że poczuje on że sklep internetowy „sam bogatą ofertę naszego sklepu, sprzedaje”, to bajka. Owale raczej ucieknie w popłochu. szem - nie trzeba siedzieć w pomieszczeniu, kontroloPo czwarte: koszyk. Na każwać można go z dowolnego dym kroku wymagajmy mimiejsca na świecie, a zakupy nimum informacji od klienta. można zrobić o trzeciej nad Ludzi odstrasza podawanie ranem, ale za każdym skle-

pem jest człowiek - czy może raczej: obsługa klienta. Aby to zilustrować, opowiem historię. Kupowałem przez internet piżamę dla narzeczonej. Jestem facetem i tabela rozmiarów na stronie nic mi nie mówiła. Musiałem dopytać kogoś kompetentnego. I zrobiłem to - przez czat z konsultantką sklepu. Ja byłem zadowolony z obsługi, a sklep - sprzedał towar. Nie wolno zabierać klientowi możliwości kontaktu z obsługą sklepu i to nie tylko w przypadkach reklamacji lub zwrotu towaru, ale też w celu zwykłej porady. Nadal „sklepikarz” to dla nas ktoś, kto zna się na towarze i jego porada może być nieoceniona. Widziałem sklepy, które ukrywały na podstronach kontakt z obsługą - a to nie dobrze. Prowadzenie sklepu internetowego nie jest bardzo skomplikowane, ale warto to zrobić dobrze, bo to prosta droga do zwiększenia naszych zysków, zwłaszcza że większość dostępnych na rynku systemów sklepów jest całkiem nieźle przygotowana pod względem programistycznym. Powyższe porady może wprowadzić w życie sam właściciel sklepu – nie wymagają, w większości, zatrudniania programistów. Wymagają tylko dokładnego przemyślenia struktury towarów i należytego ich opisania. Tylko tyle i aż tyle. AUTOR: Piotr A. Wasiak,

Tutaj nie dość, że jest zbyt wiele kategorii, to jeszcze produkty są posegregowane według producentów.

Prowadzi firmę KiWi Creative Sp. z o.o., www.kiwicreative.pl

E-commerce po północy,

czyli co dzieje się ze sklepem wieczorem

ieprzerwana praca elektronicznego sklepu stanowi bezcenną wartość dodaną, której nie posiadają tradycyjne punkty handlowe. Możliwość zrobienia zakupów w każdej chwili oraz szybkość sprawdzenia cen konkretnego towaru sprawia, że klienci chętniej korzystają z e-zakupów. Przeniesienie handlu do sieci to dla wielu przedsiębiorców duży potencjał zysku, ale także strat, gdyż całodobowe kontrolowanie sklepu bywa bardzo kłopotliwe,

a nocna aktywność oszustów internetowych oraz przerwy w systemach płatności i w funkcjonowaniu samego serwera, dopełniają trudności w prowadzeniu sklepu internetowego. Sklep internetowy na celowniku oszustów Wraz z rozwojem Internetu oraz rozpowszechnieniem się e-sklepów, oszustwa internetowe stały się zjawiskiem codziennym, które bardzo często występuje w wirtualnej rzeczywistości. Na

KWIECIEŃ 2013 www.prevent-magazine.pl

całym świecie już 65% internautów padło ofiarą e-przestępców. Skala zjawiska w Polsce jest niewiele mniejsza, bo poszkodowanych jest tu dwóch na pięciu użytkowników sklepów internetowych, a tendencja ta wciąż wzrasta, co potwierdzają oficjalne dane wskazujące na stały wzrost liczby zgłoszonych oszustw popełnianych za pośrednictwem Internetu. W 2008 roku zarejestrowano 4241 ataków oszustów internetowych, a 2 lata później policja otrzymała niemal dwa razy tyle zgłoszeń.

Zdjęcie: Fotolia

Internet nigdy nie zasypia, tak samo jak sklepy internetowe, tworzące całodobowe centra handlowe, w których można kupić praktycznie wszystko. Nocne zakupy robi coraz więcej osób, które dopiero późnym wieczorem mogą znaleźć chwilę wytchnienia, a przy tym kupić kilka interesujących rzeczy. Pamiętać powinni o tym właściciele e-sklepów, którzy często nie mają pojęcia, co dzieje się z ich sklepem wieczorem.

Zwiększa się nie tylko liczba ataków, ale i ich skutki, a oszuści internetowi aktywni są przez całą dobę. Jak pokazują badania, przeważająca liczba ataków dokonywanych jest pod osłoną nocy. Nocą najłatwiej jest ukryć nieprawidłowe działanie witryny, a oszust w ciszy i spokoju „pracuje po godzinach”, korzystając z szybkiej przepustowości łącz, nieobciążonych dużym ruchem sklepu internetowego. To właśnie wtedy oszust może włamać się na stronę i na przykład przekierować aktywnych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany jako fragment strony e-sklepu. Skutki takiego działania mogą być bardzo niebezpieczne, począwszy od kradzieży danych, poprzez przywłaszczenie gotówki, a nawet towaru. Warto podkreślić, że oczywiście to właściciel sklepu odpowiedzialny jest za bezpieczeństwo przeprowadzanych zakupów, a konsekwencje prawne z powodu niedopilnowania i braku zabezpieczeń mogą być brzemienne w skutki.

nych” jest jak najbardziej realny. Podobnie bywa w przypadku systemu płatności. Niektóre banki bardzo często ogłaszają prace techniczne właśnie po północy, a przerwa w dostępie może trwać nawet kilka godzin. O ile w przypadku prac „konserwacyjnych” serwera właściciel sklepu powinien być informowany z wyprzedzeniem o tego typu niedogodnościach przez swojego hostingodawcę, to z kolei bank nie ma obowiązku podawania tego typu informacji właścicielom sklepów internetowych, a jedynie swoim aktywnym użytkownikom. Straty finansowe

Jeśli przez godzinę nocnych zakupów sklep dokonuje średnio 50 transakcji, a każda z nich ma wartość ok. 200 zł, to bardzo prosto policzyć, że godzinna przerwa w działaniu serwera lub przerwa w systemie płatności może przynieść straty rzędu 10 000 zł. W tym konkretnym przypadku należy przyjąć scenariusz, że połowa klientów powróci na witrynę za Przerwy w systemach kilka godzin, ewentualnie rano, płatności i działaniu serwera ale druga połowa musiała dokonać zakupu właśnie w tej chwiAtaki oszustów internetowych to li, a więc 25 osób przeniosło jedno, a przerwy w systemach się do konkurencji. Wówczas płatności i działaniu serwera szacowane straty będą o poto drugie. Obie rzeczy niekołowę niższe i wyniosą już tylko, rzystnie wpływają na wizerunek albo wciąż aż, 5000 zł. O ile oraz pozycję e-sklepu na rynku do przerwy w działaniu serweinternetowym. Jak wiadomo, ra właściciel sklepu może się na polskim oraz na światowym przygotować i uprzedzić potenrynku nie istnieje hosting, który cjalnych klientów, publikując na oferuje 100% niezawodności, witrynie odpowiedni komunikat, więc przykład awarii serwera to przerwa w systemie płatności lub nocnych prac „konserwacyj- może okazać się bardzo nie-

przyjemnym w skutkach zaskoczeniem. Teoretycznie nie jest to wina właściciela sklepu internetowego, jednak użytkownicy internetu po tego typu „awarii”, zniechęcają się do ponownego skorzystania z zakupów w tym konkretnym miejscu. Straty wizerunkowe Jeśli stały użytkownik sklepu internetowego przyzwyczajony jest do szybkiej realizacji zamówienia nawet w nocy i koniecznie musi kupić prezent dla swojej mamy, której imieniny są już jutro, może do takiej sytuacji podejść z dystansem i zrozumieć możliwe problemy techniczne. Wówczas albo poczeka do naprawienia usterki, albo jednorazowo kupi towar u konkurencji, jednak kolejne zakupy będzie robił w sklepie, do którego jest już przyzwyczajony. Jeśli jednak sklep odwiedzi nowy użytkownik, który – skuszony niskimi cenami w porównywarkach cenowych lub reklamach – przekieruje się na witrynę sklepu i na wstępie zobaczy komunikat o awarii lub pracach technicznych na serwerze, może już nigdy do niego nie wrócić. Jeśli będzie to jedna osoba, strata może być niewielka, ale co, jeśli stronę odwiedzi kolejne 1000 osób lub więcej?

AUTOR: Tomasz Kuźniar, prezes zarządu Monit24.pl, www.Monit24.pl

Marketing i sprzedaż

Krytyczne 15 sekund T

ym razem napiszę o tym, dlaczego jedni sprzedawcy sięgają po złote medale, a inni nie łapią się na podium. Zwycięska przewaga Jedną z najważniejszych idei zarządzania i sprzedaży w XXI wieku jest koncepcja zwycięskiej przewagi. Ta koncepcja mówi, że małe różnice w kompetencjach mogą przekładać się na potężne różnice w rezultatach. Brian Tracy twierdzi, że „pod względem talentu i umiejętności najlepsi nie różnią się aż tak bardzo od przeciętnych ani nawet słabych. Często o przewadze decyduje kilka drobiazgów, stosowanych konsekwentnie raz za razem. Jeśli na przykład koń zwycięża w wyścigu o włos, wygrywa dziesięć razy więcej pieniędzy niż koń, który przegrał z nim o ułamek sekundy. Pytanie brzmi: czy koń, który wygrał o ułamek sekundy jest dziesięć razy szybszy niż ten, który przybył na metę jako drugi? Oczywiście NIE!”.

Sprzedawca jest jak ten koń wyścigowy – ten, który wygrywa o włos, jest wart dziesięć razy więcej niż ten, który przegrał o jedną setną sekundy. Dlatego tak ważne jest, aby każdy proces sprzedażowy prowadzić z chirurgiczną precyzją i pełnym zaangażowaniem. Jeśli chcesz odnieść sukces w sprzedaży, musisz dawać z siebie wszystko, na każdym etapie procesu, bo tylko wtedy możesz odnieść zwycięstwo. Sprzedawcy najpierw sprzedają siebie Weź do ręki zegarek i pomilcz przez 15 sekund. Ciekaw jestem, ile to dla ciebie czasu? Dużo? Mało? Zapewne powiesz, że to zależy, na co je przeznaczysz. Ano, na zainteresowanie kogoś nieznajomego! Na pozyskanie jego uwagi. Na opanowanie jego umysłu. Na pobudzenie wyobraźni. Na wywołanie ciekawości. Jechałem kiedyś windą z jednym z uczestników konferencji Briana Tracy’ego. Wcześniej

KWIECIEŃ 2013 www.prevent-magazine.pl

siedzieliśmy obok siebie na sali, a potem udaliśmy się na obiad do restauracji. W pewnym momencie mężczyzna zagadnął: – Podoba się panu Brian Tracy? Odpowiedziałem, że tak. Wyjaśniłem, że jestem zafascynowany prostotą przekazu Tracy’ego i skutecznością technik, które promuje. Popatrzył na mnie nieco zdziwiony. Widziałem, że nad czymś się zastanawia. Wreszcie zaczął. – Czym się pan zajmuje? – spytał. Było to raczej pytanie z kategorii „grzecznościowe”. Świadczyło o tym to, że odwrócił ode mnie twarz. – Ja? – byłem nieco zaskoczony tym pytaniem. Nie spodziewałem się go i nie bardzo wiedziałem, co mam odpowiedzieć. I wtedy przyszło mi do głowy, że mam unikalną możliwość wypróbowania w praktyce techniki, która nazywa się „prezentacja w windzie”. Ta myśl dodała mi sił. Wyprostowałem się i szeroko uśmiechnąłem. Spojrzałem na mojego rozmówcę.

Zdjęcie: Fotolia

Sprzedaż jest prosta i sprawiedliwa. Prosta, bo rządzi się jednoznacznymi zasadami. W gruncie rzeczy jest zero-jedynkowa (sprzedajesz – nie sprzedajesz). Sprawiedliwa, bowiem łatwo zmierzyć jej skuteczność i wyłonić zwycięzcę. Wszyscy startują w tej samej konkurencji, w której liczy się tylko pierwsze miejsce. Srebrnych medali w sprzedaży nie ma.

- Wspieram ludzi w osiąganiu sukcesu – powiedziałem. I wtedy to się stało. Zobaczyłem to doskonale. Rozmówca odwzajemnił moje spojrzenie. W jego oczach dostrzegłem to, co spodziewałem się ujrzeć: szczerą, niekłamaną CIEKAWOŚĆ. „Mam cię!” – pomyślałem. – A konkretnie? – jego głos stał się emocjonalny. Wyraźnie czekał na moją odpowiedź. Długo rozmawialiśmy w trakcie obiadu. Marek, bo tak miał na imię mój towarzysz, zarzucił mnie pytaniami o to, czym zajmuje się moja firma, dla kogo pracujemy. A dwa dni później przesłał na mój adres zapytanie ofertowe. Nie ma wątpliwości, że tym, co wywołało gwałtowny zwrot w naszej rozmowie i wzbudziło ciekawość Marka, była moja „prezentacja w windzie”. Dobrze wykorzystałem swoje 15 sekund na nawiązanie relacji z nowym, potencjalnym klientem. Prezentacja w windzie Zanim odpowiem ci na pytanie, czym jest „prezentacja w windzie”, zgadnij, przedstawiciele jakich profesji przykuwają uwagę swoich klientów tymi deklaracjami: • „ Przywracam ludziom uśmiech”, • „Pomagam ludziom realizować marzenia”, • „Na czas, na miejsce, na pewno”, • „Zdejmuję naszym klientom kłopoty z głowy”.

Te cztery zdania to doskonałe przykłady niezwykle inspirujących „prezentacji w windzie”. Pierwszy wykorzystuje amerykański dentysta, drugi – polski bankowiec, trzeci to slogan jednej z polskich firm kurierskich. Czwarty przykład jest mi najbliższy. Posługuje się nim jedna z moich znajomych. I co ważne: naprawdę to robi!!! Czym więc jest „prezentacja w windzie”, narzędzie o takiej sile oddziaływania? To krótki i mocny w swojej wymowie, często metaforyczny slogan, oddający istotę wartości dla klienta i naszą przewagę konkurencyjną. Każdy sprzedawca powinien mieć swoją własną „prezentację w windzie”. Im silniejsza będzie twoja „prezentacja w windzie”, tym większą masz szansę na sukces!

Dzisiaj klienci nie mają czasu na długie rozmowy i głębokie analizy. Do podjęcia decyzji potrzebują silnego bodźca, łączącego w sobie wartość twojej oferty i emocje. Mamy nie więcej niż 15 sekund, w trakcie których MUSIMY zdobyć najpierw uwagę, a potem zainteresowanie osoby, z którą rozmawiamy. Od tych 15 krytycznych sekund zależy, czy w ogóle będziemy mieli szansę zaprezentować naszą ofertę. Twoja sprzedaż coraz częściej będzie zależała od 15 pierwszych sekund kontaktu z klientem. Pamiętaj o tym! AUTOR: Robert St. Bokacki, Country Manager Wiceprezes, CEO Kontekst HR International Group, www.konteksthr.pl

e-Commerce

Bezpieczeństwo potwierdzone Certyfikatem

Informacja w firmie staje się coraz ważniejszym aktywem biznesowym. Dlatego też tak ważne jest, aby zadbać o jej odpowiednie zabezpieczenie. Bezpieczeństwo informacji wiąże się z ochroną przed różnorodnymi zagrożeniami zewnętrznymi, ale i wewnętrznymi, w taki sposób, aby zapewniona była ciągłość działania organizacji oraz zminimalizowane ryzyko niebezpieczeństwa.

ie ulega wątpliwości, że podczas zakupów w Internecie łatwo wpaść w różnego rodzaju „pułapki bezpieczeństwa”. W dzisiejszym świecie branża e-commerce rozwija się bardzo szybko, powoli zastępując tradycyjne kanały dystrybucji. Podstawową przewagą, jaką należy tutaj wyróżnić, jest szybkość realizowania zamówienia, dlatego też powinniśmy zwracać uwagę na jakość komunikacji, którą się posługujemy. Szeroko rozumiane bezpieczeństwo w sieci można budować na wiele sposobów i tym samym ograniczać nadużycia związane między innymi z pozyskiwaniem nowych klientów i kontrahentów. Istnieje kilka ważnych zasad, których należy przestrzegać i je stosować: przede wszystkim powinniśmy kupować u zaufanych sprzedawców, zwracać uwagę na wygląd witryny internetowej sprzedawcy oraz na to, czy firma ją prowadząca wzbudza zaufanie. Należy

też szczegółowo zapoznać się z regulaminem zakupów i polityką ochrony danych. O tym, że zakupy powinniśmy robić tylko za pośrednictwem bezpiecznych witryn (posiadających certyfikat SSL, o czym świadczy protokół HTTPS używany podczas komunikacji), a dane osobowe podawać tylko wtedy, gdy jest to konieczne do realizacji zamówienia. Jednym z ważnych narzędzi budujących bezpieczeństwo informacji firmy oraz wiarygodną komunikację są różnego rodzaju certyfikaty. Jak przekonują jednak eksperci, nie każde wyróżnienie jest tak samo skutecznym narzędziem wspierającym. Ważne jest przede wszystkim, aby marka certyfikatu była wiarygodna oraz aby wartości, jakie reprezentuje, były zgodne z wartościami, którymi kieruje się dana firma. Jakie certyfikaty warto posiadać? Z roku na rok przybywa certyfikatów i nagród, którymi firmy

KWIECIEŃ 2013 www.prevent-magazine.pl

mogą się wspierać przy budowaniu swojego wizerunku. To tytuły przyznawane przez instytucje, organizacje, fundacje, media, albo takie, które firma może zdobyć jedynie w wyniku głosowania swoich klientów. W Polsce funkcjonuje kilkadziesiąt różnego typu certyfikatów i przyznawanych tytułów dla firm. Większość z nich ma cha-rakter „kupowanej laurki”. Jednak niektóre, dzięki powielaniu corocznych edycji wzmacnia-nych medialnymi kampaniami, stały się rozpoznawalne wśród klientów. Takie tytuły, jak godło „Teraz Polska” czy „Gazele Biznesu”, są marką kojarzoną przez większość społeczeństwa. Zarówno kryteria przyznawania certyfikatów, jak i koszty związane z ich uzyskaniem są bardzo zróżnicowane: są takie nagrody, którym wystarcza sama obecność produktu na rynku, nie ma tutaj konieczności zgłaszania go przez producenta – przykładem może być „Laur Klienta”. Ale są również nagrody, których zdobycie

wymaga od firmy spełnienia wielu różnych warunków, np. „Solidna Firma”. Wywiadownia gospodarcza Dun&Bradstreet (D&B) wydaje Certyfikat „Przejrzysta” Firma. Jedynym kryterium uzyskania tego tytułu jest opublikowanie sprawozdania finansowego w Monitorze Polskim, złożenia go do KRS bądź przesłania do D&B. Jednym z najmłodszych certyfikatów na rynku jest „Certyfikat Firmy Wiarygodnej Finansowo”, firmowany przez Biuro Informacji Gospodarczej InfoMonitor S.A. Certyfikat ten stanowi rzeczywiste odzwierciedlenie sytuacji finansowej firmy oraz jej wiarygodności. Aby przedsiębiorca mógł się pochwalić jego posiadaniem, jego firma powinna spełniać kilka warunków: przede wszystkim musi działać na rynku co najmniej od 6 miesięcy. Zostanie również sprawdzony przez BIG InfoMonitor pod kątem ewentualnych zaległości płatniczych w Rejestrze Dłużników BIG oraz w bazach bankowych Biura Informacji Kredytowej i Związku Banków Polskich. Przed przyznaniem Certyfikatu BIG InfoMonitor weryfikuje rzetelność danej firmy, co sprawia, że dokument ten jest jeszcze bardziej wiarygodnym potwierdzeniem, iż dany przedsiębiorca to partner, któremu – pod względem finansowym – można zaufać. Dodatkowym kryterium jest również brak zaległości samego właściciela firmy, co również jest sprawdzane w trzech wymienionych wyżej bazach. Szczególną odmianą „Cer-

tyfikatu Firma Wiarygodna Finansowo” jest „Sklep Wiarygodny Finansowo” – certyfikat dedykowany dla sklepów internetowych. Posiadacze takiego certyfikatu mogą być dodatkowo oznaczeni w serwisach Skąpiec.pl oraz Opineo.pl.

comiesięcznej opłaty, ale też w pewien sposób nobilituje firmę, powoduje podniesienie jej wiarygodności w oczach klientów. Z drugiej strony, jeśli firma posiada certyfikat, uczestniczy w systemie oceniania (np. w systemie Opineo.pl) sklepów, powoduje to też efekt Obok programu „Firma Wiarymobilizowania właściciela godna Finansowo” realizowane- sklepu do ciągłego podnoszego przez BIG InfoMonitor jest nia jakości swoich usług. program „Rzetelna Firma i Cer- Ma to szczególnie duże tyfikat Rzetelności” wydawany znaczenie dla mniejszych przez KRD (za pośrednictwem sklepów albo sklepów dopiespecjalnie powołanej do realiza- ro rozpoczynających swoją cji tego projektu firmy Rzetelna działalność – tutaj każdy klient Firma Sp. z o.o.). Jednak jest na wagę złota. Jednak duże w tym przypadku jedynym sklepy internetowe również warunkiem uzyskania „Certypowinny zwrócić uwagę na fikatu Rzetelności” jest brak posiadanie certyfikatów. informacji gospodarczych Na wciąż zmieniającym się dotyczącej tej firmy w bazie rynku, na którym walka o klienKrajowego Rejestru Długów. ta trwa 24 godziny na dobę, 7 dni w tygodniu, posiadanie O ile certyfikaty „Rzetelna certyfikatu może być ważną Firma” oraz „Certyfikat Firma przewagą konkurencyjną, Wiarygodna Finansowo” szczególnie z punktu widzenia oferowane są zarówno firmom klientów. Jeśli bowiem klient prowadzącym działalność natrafi w Sieci na dwa sklepy w Internecie, jak i poza nim, ze zbliżonymi cenami, ze zblio tyle są też na rynku certyżonym asortymentem, bywa, fikaty istniejące tylko w Sieci. że wybiera ten sklep, któremu Jednym z nich jest „Trusted bardziej zaufa – a w takim Shops” – przedstawiający się przypadku certyfikat może jako znak jakości. Oprócz tego, mieć ogromne znaczenie. że firma może wykupić taki certyfikat, to jest ona jednocześnie AUTORZY: oceniana w systemie Trusted Diana Borowiecka, Shops przez swoich klientów, specjalista co zapewnia bezstronność ds. Public Relations, www.infomonitor.pl i dodatkowo uwiarygodnia firmę. Czy warto mieć certyfikat? Wartościowych certyfikatów, takich, których posiadanie nie ogranicza się jedynie do

Dawid Federowicz, specjalista ds. e-Commerce, www.infomonitor.pl

Zabezpieczenia

Europe΄s leading conversion engine

Jak bezpiecznie kupować w sieci? Kluczowe zasady e-klienta Zakupy dokonywane w internecie mogą być często bezpieczniejsze od tych dokonywanych w tradycyjnych sklepach. Obecnie stosowane zabezpieczenia, w tym szyfrowanie połączeń algorytmami SSL, skutecznie to umożliwiają. Jeśli płatności dokonujemy z odpowiednio zabezpieczonego komputera domowego, ryzyko kradzieży naszych danych jest znikome.

1) Bezpieczny komputer, z którego dokonujemy zakupów - podstawowa ochrona w postaci zapory sieciowej, uaktualniany skaner antywirusowy i w pełni załatany system operacyjny (instalowanie aktualizacji na bieżąco); 2) Róbmy zakupy w zna-nych i renomowanych sklepach internetowych, a w przypadku mniejszych serwisów sprawdzajmy ich wiarygodność. Wybierajmy sklepy AUTORZY: Justyna Skorupska, dyrektor zarządzający FACT-Finder® Partner Polska, Członek Komitetu Założycielskiego e-Commerce Polska, www.infomonitor.pl Mateusz Falkowski, eCommerce Consultant FACT-Finder® Partner Polska, www.fact-finder.pl

z certyfikatami zaufania, szukajmy opinii o sprzedawcy; 3) Wpisujmy adres strony ręcznie - uzyskujemy pewność, że jesteśmy na oryginalnej stronie e-sklepu; 4) Upewnijmy się, że transmisja danych odbywa się w bezpiecznym połączeniu (protokół SSL), że na początku adresu witryny widnieje „https” zamiast „http”. W dole ekranu szukajmy symbolu kłódki, symbolizującej bezpieczne połączenia; 5) Godne zaufania strony zazwyczaj oferują różne opcje płatności, z których najpopularniejsze to karta kredytowa oraz szybkie, bezpośrednie płatności za pośrednictwem różnych banków. Jeżeli ktoś żąda płatności z góry i jest to jedyna opcja, skorzystanie z niej może być ryzykowne; 6) Po zakończeniu czynności związanych z obsługą konta wylogujmy się.

7) Z achowujmy korespondencję ze sprzedawcą, zapoznajmy się z regulaminem sklepu; 8) S klepy internetowe oferują możliwość zwrotu zakupionych towarów. To oznacza, że możesz szybko sprawdzić otrzymany produkt i w ciągu 10 dni bez konieczności podawania powodu odstąpić od umowy (produkt trzeba odesłać w ciągu kolejnych 14 dni). Sprzedawca ma obowiązek o tym poinformować klienta. Jeśli tego nie zrobi, termin na odstąpienie od umowy wydłuża się do 3 miesięcy. Wbrew powszechnej opinii, transakcje dokonywane kartą kredytową przez internet mogą być bezpieczne, a na pewno mniej ryzykowne od tych w rzeczywistości. Podczas zakupów w sieci, podobnie jak podczas ich tradycyjnej formy, powinniśmy po prostu zachować zdrowy rozsądek i z dystansem podchodzić do wszystkich „fantastycznych” ofert.

Zdjęcie: Fotolia

oniżej kluczowe zasady bezpiecznego korzystania z zakupów internetowych:

Zarejestruj swój sklep i bądź zgody z przepisami ochrony danych osobowych i ustaw regulujących handel w internecie: • wygeneruj dokumentację wymaganą podczas kontroli GIODO • zarejestruj swoje zbiory danych osobowych • sprawdź regulamin czy nie zawiera klauzul abuzywnych • korzystaj ze sprawdzonych szablonów regulaminów • zdobywaj wiedzę dzięki selektywnemu e-learningowi Dlaczego warto? • taniej niż w tradycyjnej firmie doradczej lub kancelarii prawnej • prostota i wygoda pracy • usługa dedykowana sklepom internetowym, a nie szablony • możliwość przetestowania wybranych usług za darmo

www.segido.pl biuro@segido.pl Tel. +48 22 379 63 95

Nasi klienci:

Rozmowa

Wskazania zawarte w rozporządzeniu z 2004 r. są przestarzałe wywiad z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych Data wywiadu: 21 grudnia 2012 r.

Redakcja: Czy sklepy internetowe mają świadomość, że istnieje ustawa o ochronie danych osobowych? To pytanie nasuwa się, gdy weźmie się pod uwagę fakt, że liczba sklepów internetowych jest znacznie większa niż liczba zbiorów danych osobowych zgłoszonych do rejestracji GIODO? Dr Wojciech Wiewiórowski: Wbrew pozorom wniosków o rejestrację zbiorów danych osobowych składanych przez różnego rodzaju serwisy internetowe, w tym sklepy internetowe, jest całkiem sporo.

KWIECIEŃ 2013 www.prevent-magazine.pl

wiązku zgłoszenia zbioru danych osobowych do rejestracji nie bylibyśmy zwolnieni. Przy okazji warto dodać, że ustawa o ochronie danych osobowych nie zabrania handlu tymi danymi. Jest on dopuszczalny, ale wówczas trzeba spełnić obowiązki, które wynikają z jej przepisów. Uważam, że ze świadomością istnienia przepisów o ochronie danych osobowych nie jest tak źle. Dużo większe zastrzeżenia miałbym co do sposobu zabezpieczania danych osobowych w sklepach internetowych niż np. do spełniania przez nie obowiązków związanych z rejestracją zbiorów czy dopełnianiem tzw. obowiązku informacyjnego. Redakcja: Zarówno przepisy ustawy o ochronie danych osobowych, jak i wydane na jej podstawie rozporządzenie z 2004 r. określają wymogi dotyczące zabezpieczenia danych osobowych. Czy jednak sklepom internetowym można zarekomendować jakieś standardowe rozwiązania w tym zakresie? Dr Wojciech Wiewiórowski: Przede wszystkim trzeba pamiętać, że same sklepy inter-

Zdjęcia: Prevent Magazine

ROZMÓWCA: dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych

Niekiedy trudno jest rozróżnić, co jest sklepem internetowym, a co serwisem internetowym, ponieważ działalność handlowa jest niekiedy jedynie częścią działalności serwisu internetowego. Każdy najprostszy poradnik, nawet internetowy, dotyczący tego, jak prowadzić sklep internetowy, zawiera informacje odnoszące się do obowiązków e-sklepów wynikających z ustawy o ochronie danych osobowych. Główny problem, który pojawia się u prowadzących sklepy internetowe, to ustalenie, w jakich sytuacjach należy dokonywać rejestracji zbiorów danych osobowych, a w jakich istnieją w tym zakresie pewne zwolnienia. O ile dane, które pozyskujemy od klienta, wykorzystujemy wyłącznie celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, to zawierającego je zbioru danych nie musimy zgłaszać do rejestracji GIODO. Jednak gdybyśmy dane klienta zamierzali wykorzystywać w innych celach, np. marketingowych, albo udostępniać je współpracującym z nami firmom bądź po prostu nimi handlować, wówczas z obo-

netowe i konstrukcja oferowanych przez nie usług bardzo różnią się między poszczególnymi sklepami. W związku z tym trudno jest wydać jeden rodzaj zaleceń, które skierowane byłyby do wszystkich podmiotów będących e-sklepami bądź wykonującymi „sklepopodobne” działania. Przecież serwis aukcyjny to też pewnego rodzaju sklep. Serwis, który nastawia się na promocję muzyki danego zespołu, też może być sklepem, o ile prowadzi sprzedaż nagrań zespołu lub związanych z nim gadżetów. Zatem e-sklepy mogą bardzo się od siebie różnić, podobnie jak zestaw zbieranych przez nie danych. Jeżeli weźmiemy pod uwagę, że sklepy internetowe sprzedają czasem sprzęt medyczny, może się okazać, że część danych, które na te potrzeby pozyskują od swoich klientów, ma charakter danych wrażliwych, podlegających szczególnej ochronie. To utrudnia operowanie danymi i wymaga stosowania dodatkowych zabezpieczeń. Wskazania, które zostały zawarte w rozporządzeniu z 2004 r., zdaniem zarówno rynku, jak i Generalnego Inspektora są przestarzałe. Dlatego mamy zamiar dokonać zmiany tego aktu prawnego. W tej chwili zespół utworzony na zewnątrz Biura Generalnego Inspektora Ochrony Danych Osobowych opracowuje stosowną propozycję. Przy czym nie będzie to odświeżenie przepisów z 2004 r., lecz nowe spojrzenie na kwestie stosowania właściwych zabez-

pieczeń. Warto bowiem przeanalizować, czy rzeczywiście powinny one przesądzać, że hasło służące do uwierzytelniania użytkowników w systemie informatycznym powinno mieć minimum 6 znaków i być zmieniane nie rzadziej niż co 30 dni, czy też może powinny odwoływać się do pewnego rodzaju norm, standardów czy formalnych specyfikacji, które na rynku istnieją. Przecież wiele instytucji dokonuje oceny ryzyka choćby według pewnego rodzaju schematów przyjętych przez międzynarodowe organizacje zajmujące się audytem systemów teleinformatycznych lub stosuje się do ustaleń zawartych w Polskich Normach albo w normach przyjętych przez inne organizacje standaryzacyjne. Chodzi więc raczej o ponowne przemyślenie, na czym polega bezpieczeństwo informacji Anno Domini 2013, a nie odświeżenie rozporządzenia Anno Domini 2004. Redakcja: Kiedy można się spodziewać wyników tych prac? Dr Wojciech Wiewiórowski: Chciałbym, żeby w styczniu bądź lutym 2013 roku propozycja takiego rozwiązania została poddana konsultacjom środowiskowym. Proszę pamiętać, że Generalny Inspektor Ochrony Danych Osobowych nie ma inicjatywy ustawodawczej. W jego kompetencjach nie leży też wydawanie rozporządzeń. Z pewnością takie rozporządzenie powinno być wydane przez ministra właściwego do

spraw administracji, bo to on jest w tej chwili za nie odpowiedzialny. Jednak zanim Ministerstwo Administracji i Cyfryzacji zacznie je przygotowywać, chcemy przeprowadzić dyskusję środowiskową w tej sprawie. Niemniej wiemy, że samo Ministerstwo zdaje sobie sprawę, że wypracowanie tego typu rozwiązania w 2013 r. jest konieczne. Redakcja: Optymistycznie patrząc – czy koniec 2013 roku jest terminem realnym? Dr Wojciech Wiewiórowski: Bardzo trudno jest przewidywać tempo procesu legislacyjnego, zwłaszcza gdy przygotowywane zmiany nie są wymuszone np. stanowiskiem Komisji Europejskiej czy jakimś skandalem. Bardzo dobrze kwestię tę obrazuje tempo prac nad zmianą ustawy o świadczeniu usług drogą elektroniczną. Zostały one rozpoczęte w roku 2009, gdy jeszcze pracowałem w Ministerstwie Spraw Wewnętrznych i Administracji. Wiedzieliśmy, że dokonanie zmian jest potrzebne, ale ich przygotowywanie rozpoczęliśmy właśnie od konsultacji społecznych. Jednocześnie byliśmy ciekawi, jak długo będą trwały te prace. Jak wspomniałem, gdy je rozpoczynaliśmy, była wiosna 2009 r. Obecnie mamy początek roku 2013 i, według mojej wiedzy, rząd jest w tej chwili przygotowany, żeby przyjąć ostateczną wersję projektu ustawy. Redakcja: Czy rok 2013 będzie rokiem wiążącym?

Rozmowa

Dr Wojciech Wiewiórowski: Myślę że tak, bowiem powszechne jest przekonanie, iż obecne rozwiązania są przestarzałe. Poza tym fakt, że eksperci na zewnątrz Biura GIODO wykonali pewną pracę, pozwoli nam w 2013 roku rzeczywiście ruszyć z pracami w sposób zorganizowany i szybki. Redakcja: Wracając do obowiązków sklepów internetowych, czy mógłby Pan Minister wskazać, które z prowadzonych przez siebie zbiorów danych powinny one rejestrować, a które nie? Dr Wojciech Wiewiórowski: Z pewnością do rejestracji należy zgłaszać zbiory, które zawierają dane osobowe wykorzystywane w celach marketingowych, na potrzeby prowadzenia różnego rodzaju akcji lojalnościowych albo do utrzymywania kontaktów z klientami. Przy okazji warto wspomnieć, o czym właściciele sklepów internetowych nie zawsze wiedzą, że niekiedy adres mailowy może mieć charakter danych osobowych. Jeśli jego częścią jest np. imię i nazwisko, już wówczas może być uznany za dane osobowe, a już tym bardziej, gdy w dalszej jego części pojawia się np. nazwa konkretnej firmy czy instytucji. Jeżeli w adresie mailowym pojawia się fraza „Wojciech Wiewiórowski” powiązana choćby z nazwą Uniwersytetu Gdańskiego, którego jestem pracownikiem naukowym, to wiadomo, że jest to informacja

dotycząca konkretnej osoby, możliwej do zidentyfikowania bez większego problemu. Redakcja: Jeśli już jesteśmy przy temacie marketingu, to kontrowersje budzi łączenie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Dr Wojciech Wiewiórowski: Są to dwie różne zgody, których pozyskiwanie wynika z dwóch różnych podstaw prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika

informację handlową do osób, które nie są zidentyfikowane jako osoby fizyczne i odwrotnie, możemy identyfikować osoby fizyczne i nie chcieć przekazywać im informacji handlowych drogą elektroniczną. Należy więc odróżniać przepisy antyspamowe od przepisów związanych z ochroną danych osobowych. Przy okazji chciałbym podkreślić, że rejestracja zbiorów danych osobowych przestała być czynnością trudną. Dowodzi tego m.in. liczba zbiorów zgłaszanych w tej chwili do rejestracji GIODO, która wzrosła szczególnie od czasu, gdy wprowadzona została

Niekiedy adres mailowy może mieć charakter danych osobowych – jeśli jego częścią jest np. imię i nazwisko, a tym bardziej gdy dodatkowo pojawia się nazwa konkretnej firmy. z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe naszych klientów chcemy wykorzystywać w celach marketingowych, to na takie działanie musimy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych. Proszę pamiętać, że możemy przesyłać

KWIECIEŃ 2013 www.prevent-magazine.pl

możliwość dokonywanie tej czynności drogą elektroniczną. Wkrótce nie będzie nawet konieczne wysyłanie wersji papierowej zgłoszenia, jeżeli korzystać będziemy z podpisu weryfikowanego za pomocą profilu w ePUAP. Jednocześnie dzięki udostępnieniu na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych odpowiednich formularzy, zawierających system podpowiedzi i wymuszających podanie określonych informacji, coraz rzadziej mamy do czynienia z sytuacją, gdy trzeba prowadzić postępowanie polegające na uzupełnieniu braków formalnych zgłoszeń. To, oczywiście, cieszy, ale

bez wątpienia spowodowało znaczący wzrost liczby zgłaszanych do rejestracji zbiorów - jeszcze dwa-trzy lata temu wpływało ich rocznie 8-9 tys., a w roku 2012 liczba ta wzrosła do prawie 20 tys. Wzrost jest zatem prawie dwukrotny. To dowodzi m.in. tego, jak wiele zbiorów nie było do tej pory zgłaszanych do rejestracji. Podejmujemy działania edukacyjne w tym zakresie, biorąc pod uwagę m.in. fakt, że dopełnianie obowiązku zgłoszenia zbioru danych do rejestracji wymaga jednocześnie dokonania przemyśleń dotyczących bezpieczeństwa systemu teleinformatycznego, który jest przez nas wykorzystywany. Redakcja: Sklepy internetowe bardzo często korzystają z Allegro. Mają tam swoje profile. Robiąc zakupy w sklepie internetowym dostępnym za pośrednictwem Allegro, spotkaliśmy się z praktyką, że sklep, wykorzystując dane z Allegro, zakłada konto bezpośrednio w swoim sklepie, który jest odrębną stroną internetową od Allegro. Czy taka praktyka jest zgodna z prawem? Dr Wojciech Wiewiórowski: Musiałbym przeanalizować konkretny przypadek, by powiedzieć, czy określona praktyka stosowana przez dany podmiot jest zgodna z prawem, czy nie. Proszę pamiętać, że inaczej sytuacja będzie wyglądała w przypadku, w którym rzeczywiście przetwarzamy dane osobowe, czyli dane konkretnej osoby, która

tworzy swoje konto indywidualne, a inaczej, gdy tworzone jest konto firmowe, a przetwarzane dane nie dotyczą konkretnej osoby fizycznej, lecz firmy. Również nie do końca wiem, na czym polega wykorzystywanie danych z Allegro i jakie są to dane. To, że ktoś wykorzystuje możliwości logowania się za pomocą dostarczonego z zewnątrz urządzenia, tak jak logujemy się czasem za pomocą narzędzi pochodzących z różnych serwisów społecznościowych, nie oznacza jeszcze, że mamy do czynienia z przenikaniem danych pomiędzy serwisami. Raczej wykorzystujemy usługę jednego podmiotu do zrealizowania jakiegoś innego działania. Nie jestem w stanie udzielić odpowiedzi wspólnej dla wszystkich przypadków, które mogą mieć miejsce. Redakcja: Jak traktować dane, które uzyskują sprzedawcy na Allegro? Czy są to dane sklepów, czy też dane Allegro? Ludzie zakładają konto na Allegro, wśród tych kont mamy również konta sklepowe i użytkownik kupuje bezpośrednio w sklepie, czyli sklep za pośrednictwem Allegro ma dostęp do danych. Czy ten stan można traktować jako powierzenie przetwarzania danych? Dr Wojciech Wiewiórowski: Kluczowa w tym przypadku jest odpowiedź na pytanie, kto decyduje o celach i środkach przetwarzania danych. Jeżeli o celach przetwarzania da-

nych decyduje sklep, który znajduje się poza Allegro, to nie ma najmniejszej wątpliwości, że powstał odrębny zbiór danych. To, że te dane są pozyskiwane z miejsca publicznie dostępnego, nie oznacza, że tracą one charakter danych osobowych. Możemy mieć najwyżej podstawę uprawniającą nas do ich przetwarzania. Jednak jeśli stworzyliśmy odrębny zbiór danych, musimy dopełnić m.in. tzw. obowiązku informacyjnego wobec osoby, której dane zebraliśmy i przetwarzamy. Redakcja: Częstą praktyką jest logowanie się przez Facebook i problemem jest dopełnienie tego obowiązku. Czy mógłby Pan coś zalecić w tym zakresie firmom, które stosują tego typu rozwiązania? Dr Wojciech Wiewiórowski: Przede wszystkim powiem, że obowiązek informacyjny jest obowiązkiem wynikającym z polskiego prawa i jeżeli ktoś ma kłopoty z jego spełnieniem, nie oznacza, że się go pozbył. Dlatego nie podejmujmy działań, które spowodują, że nie będziemy w stanie spełnić obowiązku wynikającego z ustawy. Redakcja: Przejdźmy do tematu nowelizacji ustawy o ochronie danych osobowych w kontekście funkcji ABI. Czy te działania są już bardziej zaawansowane? Różne informacje można znaleźć na ten temat w Internecie…

Rozmowa

Dr Wojciech Wiewiórowski: Wedle mojej wiedzy, z dużego pakietu deregulacyjnego, który został przygotowany w Ministerstwie Gospodarki, do dalszego procedowania wybrano jedynie część przepisów. Wśród nich nie znalazły się te dotyczące administratora bezpieczeństwa informacji (ABI). Po części ze względu na to, że zaczęły być torpedowane przez niektóre środowiska biznesowe. W tej chwili są przedmiotem dalszych rozważań w Ministerstwie Gospodarki i mają być uwzględnione w kolejnym pakiecie deregulacyjnym. Trudno mi zrozumieć argumenty tej grupy, która nie chce wprowadzenia tych przepisów do ustawy, zważywszy że są one alternatywne, a więc można zostać przy dzisiejszym systemie albo wprowadzić rozwiązania, które są proponowane w pakiecie deregulacyjnym. Jeśli jednak biznes nie jest w stanie porozumieć się w tej kwestii, pewnie na razie obowiązywać będą dotychczasowe unormowania. Redakcja: Ponadto jest też cień rozporządzenia europejskiego, które gdzieś się czai. Dr Wojciech Wiewiórowski: Co do unijnego rozporządzenia to faktycznie należy przypuszczać, że w roku 2014, w tej czy innej formie, jednak się pojawi. Znajdą się w nim również przepisy dotyczące inspektorów ochrony danych, czyli odpowiedników naszych administratorów bezpieczeństwa informacji.

Redakcja: Czy są szanse na to, że za jakiś czas informacje o osobach fizycznych prowadzących działalność gospodarczą zostaną wyłączone spod reżimu ustawy o ochronie danych osobowych, tak jak to miało miejsce przed 1 stycznia 2012 r., a więc gdy funkcjonowała ustawa Prawo działalności gospodarczej? Słyszałem informację, może plotkę, że trwają prace mające na celu przywrócenie stanu poprzedniego. Dr Wojciech Wiewiórowski: Ja również ze strony Ministerstwa Gospodarki słyszałem informację, że taka zmiana jest planowana. My przeciwko niej nie oponujemy, bo stanowisko GIODO od początku istnienia urzędu było takie, że dane osobowe przedsiębiorców mogą podlegać innej regulacji niż klasyczne dane osobowe. Z drugiej strony mogę powiedzieć, że od 1 stycznia 2012 r. przedsiębiorcy przestali być traktowani jako obywatele drugiej kategorii i traktowani są tak jak każdy obywatel w tym kraju. Niemniej jeśli Ministerstwo Gospodarki uważa, że dobrym rozwiązaniem jest przywrócenie poprzedniego rozwiązania, nie będziemy tego utrudniać. Redakcja: Czy takie rozwiązania zostały przyjęte w innych państwach Unii Europejskiej – że jednoosobowa działalność gospodarcza jest chroniona tamtejszymi przepisami o ochronie danych osobowych. Czy Pan Minister ma taką wiedzę?

KWIECIEŃ 2013 www.prevent-magazine.pl

Dr Wojciech Wiewiórowski: Są kraje, w których dane osób prowadzących działalność gospodarczą podlegają ochronie jak dane osobowe. Niemniej są też kraje, w których zakres swobody przetwarzania danych, które znajdują się w obrocie gospodarczym, jest jeszcze większy niż w Polsce. Na przykład w niektórych państwach dane dotyczące rozliczeń podatkowych, nawet osób fizycznych, są danymi, które są powszechnie możliwe do przetwarzania. W tym zakresie wciąż istnieją bardzo duże różnice między krajami członkowskimi UE. Redakcja: Dlaczego w ogóle warto interesować się tematem Dnia Ochrony Danych Osobowych? Czy warto przyjść na takie spotkanie? Dr Wojciech Wiewiórowski: W czasie Dnia Ochrony Danych Osobowych zawsze organizujemy dużą konferencję, która jest poświęcona jakiemuś zagadnieniu, które będzie bardzo ważne w danym roku kalendarzowym. Tak było z retencją danych telekomunikacyjnych dwa lata temu. Tak było w zeszłym roku, jeśli chodzi o rejestry publiczne. W tym roku jako temat wybraliśmy dane osobowe w ochronie zdrowia i w badaniach klinicznych, uznając, że choć większość rozwiązań prawnych w tym zakresie przyjęto w roku 2011 i 2012, to jednak w roku 2013 i 2014 zaczną one obowiązywać w praktyce. W 2013 roku zostaną bowiem zbudowane systemy teleinfor-

matyczne, które będą wykorzystywane do przetwarzania danych medycznych. Wydaje mi się, że zarówno z punktu widzenia pacjenta, jak i z punktu widzenia tego, który udziela świadczeń medycznych, a więc lekarza, pielęgniarki, położnej czy w końcu placówki ochrony zdrowia, to, jak będą przetwarzane dane medyczne i do jakich danych medycznych będziemy mieli dostęp, jest kluczowe. Kwestia ta jest też kluczowa dla biznesu. Zarówno ze względu na konieczność stworzenia systemów teleinformatycznych dla sektora ochrony zdrowia, jak i ze względu na możliwość wtórnego wykorzystywania danych. W tym kontekście istotne jest pytanie, czy nowe przepisy w tym zakresie są wystarczającą gwarancją, że nasze dane osobowe nie dostaną się w ręce osób niepowołanych lub nieupoważnionych, np. ubezpieczycieli, pracodawców albo banków, a więc podmiotów, które niejednokrotnie chciałyby uzyskać dane o stanie zdrowia konkretnych osób. Prawo, niestety, nie zawsze jest ono doskonałe. Dla przykładu –

bym konieczność stworzenia ustawy o wideomonitoringu, o co zabiegam od dawna, deklarując aktywne uczestnictwo w jej przygotowaniu. Wciąż brak jest uregulowań prawnych jeśli chodzi o dane biometryczne i biobankowanie. Wyzwaniem jest stworzenie właściwych przepisów regulujących zasady funkcjonowania tzw. mamy w tej chwili dwa rozinteligentnych sieci energewiązania prawne dotyczące tycznych i inteligentnych liczniprzechowywania dokumentacji ków. To są wszystko wyzwania medycznej wytworzonej przez prawne, które przed nami stopodmioty, które kończą prakją, ale dołóżmy do tego rówtykę lekarską, i trzecie, które nież fakt, że zwiększa się świajest stosowane w praktyce. domość społeczna, jeśli chodzi Z jednego aktu wynika, że o kwestie związane z ochroną podmiot rozpoczynający danych osobowych, co podziałalność ma określić, gdzie woduje, że nie tylko wzrasta będą przechowywane dokuliczba zbiorów zgłaszanych do menty po zakończeniu jego rejestracji, o czym już wspodziałalności, podczas gdy minałem, ale znacząco rośnie z innego aktu wynika, że mają również liczba skarg kieroone trafiać do systemu inforwanych do GIODO – w ciągu macji medycznej. Z kolei ostatnich dwóch lat zwiękw praktyce dokumenty te są szyła się prawie dwukrotnie. po prostu przekazywane izbie To świadczy o tym, że coraz lekarskiej, co może zresztą więcej osób zdaje sobie sprajest rozsądnym rozwiązaniem, wę, jakie niebezpieczeństwa są tyle że działanie takie odbywa związane z brakiem właściwej się bez podstawy prawnej. ochrony danych osobowych. Jest zatem wiele pytań, na Truizmem będzie wspominanie, które musimy obecnie odże rozwój serwisów społecznopowiedzieć, pamiętając, że ściowych czy innych serwisów przyjęte rozwiązania będą informatycznych wywołuje nie obowiązywać zapewne przez tylko konieczność nowego kolejnych kilkanaście lat. podejścia do ochrony danych w Internecie, ale również koRedakcja: Jakie wyzwania nieczność zastanowienia się stoją przed GIODO na najnad tym, jakie niebezpieczeńbliższe lata? Czy jest wśród stwa na przyszłość rodzą zdanich coś szczególnego? rzenia, które dziś wydają nam Dr Wojciech Wiewiórowski: się tylko drobnymi zmianami Oczywiście wyzwań jest mnów oprogramowaniu czy stwo. Część z nich już wymiew kształcie serwisu. niliśmy, ale do tej listy dodałRozmawiał: Michał Sztąberek

Jak cię widzą,

tak cię zatrudniają

W badań przeprowadzanych przez AVG pod koniec zeszłego roku wynika, że 25% użytkowników Facebooka ma dodanego do znajomych szefa. Jeden na ośmiu młodych internautów opublikował obraźliwe treści dotyczące swojego szefa lub miejsca pracy. Tylko 40% z nich ukryło swoje komentarze przed pracodawcą.

adania te, przeprowadzone wśród internautów na całym świecie, ukazują skalę bardzo poważnego problemu. Wydawać by się mogło, że wraz ze wzrostem „stażu” i coraz powszechniejszego dostępu do sieci, świadomość dotycząca bezpieczeństwa internautów powinna rosnąć. Tak się jednak nie dzieje. Każdy jest osobą publiczną Oczywiście, trudno wskazywać jedną i konkretną przyczynę tego stanu. Z pewnością wpływ ma na to tempo życia oraz fakt, że rejestrujemy się w wielu portalach, przez co tracimy kontrolę. Również sama konstrukcja aplikacji wymusza na nas działania, które często są spontaniczne i nieprzemyślane. Tak obecnie działa sieć: ma być szybko, intuicyjnie i wygodnie. Wrzucenie zdjęcia ze smartfona zajmuje zaledwie kilka sekund. Konsekwencje takiego działania trwać mogą znacznie dłużej. Facebook uruchomił impuls, który spowodował wyraźne i zdecydowane zacieranie się granicy między życiem prywatnym i zawodowym. Dawniej problem ten dotyczył tylko osób

publicznych: polityków, dziennikarzy, sportowców. Obecnie może dotyczyć każdego. W dobie ekspansji mediów społecznościowych to, co prywatne, trudno oddzielić od tego, co powinno być publiczne (zawodowe). Niby oczywistość, ale zastanawiające jest to, jak wiele osób ciągle zdaje się nie dostrzegać takiego stanu rzeczy. Praktyka dowodzi, że to właśnie o oczywistościach najczęściej się zapomina. Najważniejszymi cechami korzystania z aplikacji Zuckerberga są szybkość i impulsywność. Klikamy dużo, chętnie, we wszystko, czasem bez zastanowienia. Po chwili już o tym nie pamiętamy. Ale Facebook nie zapomina. Zarówno my w AVG, jak i nasi koledzy z innych firm antywirusowych, stale staramy się na to uczulać użytkowników. Mimo to cały czas spotykamy się z naruszeniem podstawowych zasad bezpieczeństwa i ustawicznym powielaniem tych samych błędów. Podano do stołu... Facebook jest niesamowitym narzędziem, które do góry no-

gami wywróciło zasady komunikacji w Internecie. Ale jest też narzędziem, które jak żadne wcześniej naraża na łatwą i szybką utratę danych osobowych. Aplikacja ma za zadanie wyciągnąć jak Facebook staje się najszybszym i najprostszym narzędziem weryfikacji naszego zgłoszenia na stanowisko pracy. I to on, jeszcze przed rozmową, pozwoli rekruterowi ocenić, czy to, co napisaliśmy w CV o naszym profilu osobowościowym, znajduje odzwierciedlenie w rzeczywistości.

najwięcej informacji, które będzie można sprzedać potencjalnym reklamodawcom, dzięki czemu ułatwi im dotarcie do „targetu”. Dlatego też mamy klikać jak najwięcej i jak najczęściej. Mamy udostępniać, lajkować i komentować. Każda taka czynność pozostawia wyraźny ślad, doprecyzowując, co lubimy, czego nie, czyniąc z naszego nazwiska atrakcyjny towar. Również dla hakerów. Odsetek osób które nie zdają sobie z tego sprawy stale jest wysoki.

ZdjÄ&#x2122;cie: Fotolia

I to niezależnie od wieku, wykształcenia czy zainteresowań. Choć nie czynię tego często, czasem staram się odgrzebać na FB starych znajomych. A że profili do przeglądnięcia trafia się sporo, w bardzo krótkim czasie można zebrać bardzo bogaty materiał poglądowy. To jest nieprawdopodobne, ile informacji można wyciągnąć z niezabezpieczonej tablicy. I nie chodzi o takie oczywistości jak imię, nazwisko czy nazwa szkoły. Ludzie dzielą się wszystkim. To zdjęcia, imiona i nazwiska rodziny, przyjaciół, miejsca logowania, miejsca, gdzie najczęściej bywają, za co są odpowiedzialni i gdzie pracują, imię psa (które notorycznie jest wykorzystywane przy konstruowaniu lub odzyskiwaniu haseł), szczegóły na temat ulubionych potraw, wydarzeń, wiary, postaci, filmów, seriali… Szwedzki stół dla fanów phishingu. Oddzwonimy do Pana… Po drugiej stronie barykady, jak zawsze, czai się widmo konsekwencji zawodowych. Daleki jestem od tego, by przypisywać właścicielom firm mroczną właściwość nałogowego szpiegowania swoich podwładnych na fejsie i wyciąganiu pikantnych szczegółów z ich życia (choć, kto wie?), a co za tym idzie – konsekwencji zawodowych. Natomiast łatwo można zrozumieć ich zdegustowanie, gdy zobaczą niektóre wpisy, zdjęcia lub komentarze (szczególnie te dotyczące firmy). Zwłaszcza

gdy pracownik jest odpowiedzialny za kontakt z mediami/ klientami/social media. O ile szef może przymknąć oko na weekendowe ekscesy uwiecznione na fotografiach, o tyle w oczach podejrzliwego rekrutera opowieści o dojrzałości, odpowiedzialności i rzetelności mogą kłócić się z pluskaniem nago w fontannie na rynku głównym w mieście X. Albo szczegółowymi wyliczeniami dotyczącymi ilości wypitych trunków i dookreślenia (wraz z oznaczeniem na mapie Google) miejsca ostatniego womitowania. Czy musi to od razu przekreślić nasze szanse na pozyskanie nowej pracy? Nie musi. Ale znacząco może wpłynąć na wynik rozmowy. Lub jej brak. Facebook staje się najszybszym i najprostszym narzędziem weryfikacji naszego zgłoszenia. I to on, jeszcze przed rozmową, pozwoli rekruterowi ocenić, czy to, co napisaliśmy w CV o naszym profilu osobowościowym, znajduje odzwierciedlenie w rzeczywistości. Parę przykazań na koniec Czy są jakieś szanse na to, żeby internauci zmienili swoje przyzwyczajenia i zaczęli przywiązywać większą wagę do ochrony swoich danych? Niestety, temat powraca jak bumerang co kilka miesięcy i ciężko liczyć na to, że coś się w tej kwestii radykalnie zmieni.

Całość problemu, jak to zwykle bywa przy 90% zagadnień dotyczących bezpieczeństwa, sprowadza się do kilku prostych rad: • Zastanów się dwa razy zanim coś opublikujesz. • Zastanów się, czy szef wśród znajomych jest rzeczywiście dobrym pomysłem. • Zadbaj o ustawienia prywatności - zatroszcz się, by Twoje dane nie były widoczne dla nikogo z zewnątrz. • Jeżeli nie musisz, nie umieszczaj wszystkich szczegółów dotyczących prywatnego życia. • Zastanów się, czy nie warto zablokować możliwości podglądania Twoich postów przez niektórych znajomych. • Kontroluj, kto i kiedy oznacza Cię na zdjęciach. • Ustaw alerty na swoje imię i nazwisko. • Wyłącz opcje geolokalizacji. • I najważniejsze: pamiętaj, że to, co umieszczasz w Internecie, zostaje w nim na zawsze. Jeżeli masz jakiekolwiek wątpliwości: nie wrzucaj, nie udostępniaj. Najlepszą metodą ochrony jest zdrowy rozsądek.

AUTOR: Radek Klimek, PR Manager w firmie CORE – dystrybutora oprogramowania antywirusowego AVG w Polsce, www.avg.pl

Zarządzanie ryzykiem

Zarządzanie ryzykiem w chmurze – wyprawa w nieznane cz. II

Robert Falcon Scott i Roald Amundsen, dwaj śmiałkowie, którzy postanowili zdobyć biegun południowy. Amundsen od zawsze dużą wagę przykładał do sztuki przetrwania. Jadł surowe mięso delfinów na wypadek, gdyby kiedyś został rozbitkiem i przyszło mu żywić się podobnym jedzeniem. Wiele czasu spędził z Innuitami (rdzenna ludność obszarów arktycznych i subarktycznych Grenlandii, Kanady, Alaski i Syberii), by poznać ich techniki przetrwania w warunkach polarnych. Nie czekał, aż znajdzie się w sytuacji kryzysowej, lecz próbował zdobyć jak najwięcej wiedzy i doświadczenia, które, jak sądził, mogą zaowocować w przyszłości. Przy dokładnym planowaniu swoich działań, zawsze uwzględniał duży margines na nieprzewidziane wypadki. Na wyprawę na biegun zabrał aż cztery termometry, jego rywal tylko jeden, który zawiódł.

sowych ekspedycji na biegun, licząca 65 osób (z czego 17 uczestników wyprawy). Trzy różne środki lokomocji miały jej zapewnić pełen sukces, jednakże jedne z sań motorowych utopiły się podczas wyładunku, kilka koni padło już na początku wyprawy, a część z nich na krze zaatakowały stada drapieżnych orek. Odziani w brezentowe kombinezony Brytyjczycy musieli ciągnąć swoje sanie sami. Wśród gwałtownej zamieci stracono sporo zapasów żywności, a dodatkowo Scott przed początkiem zimy antarktycznej

KWIECIEŃ 2013 www.prevent-magazine.pl

zbudował tylko jeden magazyn żywności na Lodowcu Rossa. 2 marca 1911 roku, po dwóch miesiącach od chwili wylądowania na skraju Lodu Szelfowego Rossa, Scott zapisał w swoim dzienniku: „Jeśli tak dalej pójdzie, jak w ostatnich 48 godzinach, to moja wyprawa zostanie zrujnowana”. Wyścig Scotta i Amundsena rozpoczął się w tym samym sektorze Antarktydy. Do jej brzegów Amundsen dotarł 11 dni po Scotcie. Na miejsce lądowania wybrał miejsce,

Zdjęcie: Fotolia

obert Scott w wielu kwestiach zdawał się na uśmiech losu, a swoje niepowodzenia i przeszkody nazywał brakiem szczęścia. Nie trenował biegów narciarskich, nie poznał sztuki użycia psich zaprzęgów ani tajników przetrwania. Scott zabrał ze sobą 19 koników mandżurskich oraz trzy pary niesprawdzonych w warunkach polarnych sań motorowych. Nie zrezygnował jednak z psów pociągowych, które podczas poprzedniej wyprawy na biegun północny srodze go zawiodły. Była to największa z dotychcza-

w którym roiło się od fok i pingwinów, co zapewniało ludziom i psom duże ilości świeżego mięsa. Jego ludzie (w sumie 5 osób) wyposażeni byli w narty biegowe, specjalnie zmodyfikowane sanie, a ubrani byli w lapońskie anoraki z foczego futra, dzięki czemu nie marzli. Amundsen w drodze powrotnej miał do dyspozycji 3 magazyny zbudowane dużo dalej, niż zrobił to Scott, który od początku borykał się z trudnościami. Przez pierwsze 34 dni wyprawy mieli te same warunki pogo-

dowe. Scott zmierzał do bieguna dobrze sobie znaną trasą. Amundsen wytyczał nowy szlak. Wyprawa Scotta poruszała się jednak wolniej. Brytyjczyk podzielił ją na trzy grupy. Pierwsza na mechanicznych pojazdach gąsienicowych pokonywała dziennie zaledwie 10 km. Na 225. kilometrze trasy pojazdy trzeba było porzucić. Ocalałe kucyki, które miały okazać się kluczem do sukcesu, były niezdolne do dalszego marszu, więc zastrzelono je

u podnóża Lodowca Beardmore. Najlepiej spisywały się psy, które zawiodły podczas poprzedniej wyprawy. Dla nich z kolei zabrakło żywności, gdyż Scott na początku wyprawy potraktował je jako rezerwę. Amundsen, który od początku postawił na najlepsze grenlandzkie psy pociągowe, przemierzał dziennie 15-20 km, a w drodze powrotnej jego znacznie lżejsze sanie pokonywały w ciągu doby 50-70 km, a jednego dnia nawet 100 km,

Zarządzanie ryzykiem

Strategia w cloud computing Zastanawiacie się pewnie Państwo, co ta historia ma wspólnego z usługami cloud computing. Pojęcie przetwarzania w chmurze nie jest niczym nowym, a stosowane technologie były już wcześniej wykorzystywane. Cloud computing jest specyficzną formą outsourcingu i stosunkowo nowym modelem biznesowym świadczenia usług IT. Według najnowszych badań

ponad połowa ankietowanych menadżerów działów IT rozważa wykorzystanie usług w modelu chmury w najbliższych 2–5 latach. Na pytanie, dlaczego nie zrobią tego teraz, najczęściej odpowiadają, że główną przeszkodą jest brak wystarczającej informacji

zewnętrznych. Armia ekspertów i handlowców, najnowsze technologie oraz dobre rozpoznanie rynku okażą się nieprzydatne w sytuacjach kryzysowych, kiedy organizacja nie będzie miała przygotowanego dobrze przemyślanego i przetestowanego planu działania.

Wizualizacja definicji cloud computingu wg NIST

oraz wypracowanych norm, standardów i dobrych praktyk w tym zakresie. Z tego powodu nadal należy traktować przejście z tradycyjnego modelu zarządzania IT w model cloud computing jako podróż na nieznany i nieprzyjazny ląd, tak jak w przypadku wyprawy na biegun. W dzisiejszych, niepewnych czasach przetrwają i wygrają wyścig z konkurencją te organizacje, które podejmą ryzyko i będą pionierami w wykorzystywaniu nowatorskich rozwiązań, a przy tym będą lepiej przygotowane na nieoczekiwane zdarzenia i wpływ czynników

KWIECIEŃ 2013 www.prevent-magazine.pl

Każde przedsiębiorstwo, bez względu na wielkość czy obszar działania, narażone jest na wystąpienie zdarzeń, które mogą spowodować nagłe przerwanie działalności operacyjnej. Nawet krótkotrwała utrata zdolności do prowadzenia biznesu czy wyciek poufnych informacji mogą zachwiać pozycją konkurencyjną firmy i prowadzić do poważnych strat finansowych i wizerunkowych. Jak podejść do tematu zarządzania ryzykiem w modelu cloud computing w sposób systematyczny i systemowy? Można w tym

Infografika: autor

czym pobił dotychczasowe rekordy podróży polarnych. Amundsen znacznie lepiej niż Scott rozmieścił swoje składy z zapasem żywności. 14 grudnia 1911 roku Amundsen zdobył biegun południowy i 22 stycznia 1912 roku zdrów i cały wrócił do bazy Framheim, z której rozpoczął marsz. 30 grudnia obaj panowie przecięli 87. równoleżnik – tylko Amundsen wracał wtedy z bieguna, a Scott ciągle do niego podążał. Jeden zmierzał na północ, drugi wciąż szedł na południe. Minęli się w odległości 150 km. Scott po dotarciu do bieguna, 18 stycznia 1912 roku, wyruszył pieszo w drogę powrotną. Zamarzł prawdopodobnie 29 marca 1912 roku w niewielkiej odległości od składu, w którym znajdowała się tona żywności. Jeden ze śmiałków, wraz z towarzyszami wyprawy, zapłacił za udział w wyścigu najwyższą cenę. Przetrwał i wygrał ten, który lepiej zaplanował wyścig i przygotował się na sytuacje kryzysowe.

celu zastosować wskazówki i rekomendacje zawarte w dostępnych zbiorach dobrych praktyk, m.in. CSA Guidance ver.3.0 (Cloud Security Alliance) oraz Benefits, risks and recommendations for information security (The European Network and Information Security

należy odpowiedzieć na kilka prostych pytań: • Jaki wpływ na naszą organizację będzie miał fakt upublicznienia naszych aktywów? • Jaki wpływ na naszą organizację będzie miał fakt dostępu do naszych aktywów

taryzacji i ocenie aktywów jest ich zmapowanie do wymagań norm, regulacji i standardów, dla których jest wymagana zgodność. Na przykład jeśli chcemy skorzystać z usług systemu CRM (Customer Relationship Management) w modelu cloud computing i przenieść

Agency (ENISA). Naszą wyprawę w nieznane warto rozpocząć od dobrego zaplanowania, jakie zasoby chcemy ze sobą zabrać w podróż oraz gruntownego rozpoznania terenu.

przez pracownika dostawcy usługi? • Jaki będzie skutek, jeśli nasze dane/informacje zostaną zmienione bez naszej wiedzy? • Jeśli nasze procesy lub funkcje zostaną zmanipulowane przez intruza, jaki to będzie miało wpływ na naszą organizację? • Jakie odniesiemy szkody, jeśli procesy lub funkcje zawiodą i nie dostarczą oczekiwanych rezultatów? • Jeśli nasze aktywa nie będą dostępne przez jakiś okres, jaki to będzie miało wpływ na naszą organizację? Kolejnym krokiem po inwen-

do chmury dane naszych klientów, to w przypadku, gdy dotyczy to osób fizycznych, system i proces przetwarzania tych danych musi spełniać wymagania ustawy o ochronie danych osobowych. Gdybyśmy chcieli skorzystać z usług w modelu chmury i przetwarzać w ten sposób informacje dotyczące danych kartowych, to usługa ta musi spełnić dość restrykcyjne wymagania standardu PCI DSS (Payment Card Industry Data Security Standards). Jest to bardzo istotny element planowania zmiany tradycyjnego modelu IT na model cloud computing

W pierwszym kroku należy odpowiedzieć na pytanie, jakie dane, aplikacje, funkcje i procesy chcemy przenieść do chmury. Czy wszystkie, czy tylko część z nich? W następnym kroku należy dokonać wstępnej oceny istotności aktywów dla przedsiębiorstwa pod względem poufności, integralności i dostępności. W tym celu

Zarządzanie ryzykiem

oraz wyboru modelu i dostawcy usługi. Jak wspomniałem w poprzednim artykule, przy wyborze modelu chmury musimy dokonać dokładnej analizy, po czyjej stronie (odbiorcy czy dostawcy usługi) spoczywa odpowiedzialność za zarządzanie ryzykiem i implementację odpowiednich kontroli na każdej z warstw stosu SPI (Software, Platform, Infrastructure). Należy pamiętać, że w ostatecznym rozrachunku to odbiorca usługi będzie rozliczany przez regulatorów za naruszenie zgodności z wymaganiami. Jednym z powodów wyboru usług w chmurze jest czynnik ekonomiczny. Redukcja kosztów, brak wydatków kapitałowych (w przypadku chmury publicznej), elastyczna skalowalność oraz płatność za faktyczne wykorzystanie zasobów są elementami, które mogą mieć decydujący wpływ na naszą decyzję. Jednak po dokładnej analizie, jakie mechanizmy kontrolne należy zaimplementować, aby uzyskać akceptowalny poziom ryzyka oraz zgodność z obowiązującymi wymaganiami, może się okazać, że koszt tej operacji znacznie przewyższa oczekiwane korzyści. Kiedy mamy już komplet informacji, jakie aktywa chcemy przenieść do chmury i jakie wymagania obowiązujących nas regulacji musimy spełnić, możemy rozpocząć proces wyboru modelu i dostawcy usługi. O modelach usług w chmurze ze względu na rodzaj (Software, Platform, Infrastructure

as a Service) i lokalizację (Publiczna, Prywatna, Współdzielona, Hybrydowa) oraz o odpowiedzialności za zarządzanie ryzykiem w każdym z modeli pisałem szczegółowo w poprzednim odcinku cyklu

ryzykiem i bezpieczeństwem u dostawcy: 1. A rchitektura cloud computing – terminologia, cechy, modele, lokalizacja (w szczegółach omówione w poprzednim artykule);

Przetrwają i wygrają wyścig z konkurencją te organizacje, które podejmą ryzyko i wykorzystają nowatorskie rozwiązania, a przy tym lepiej przygotują się na sytuacje kryzysowe. „Zarządzanie ryzykiem w modelu cloud computing”. Skupię się zatem na wyborze dostawcy usługi. Jego ocenę należy rozpocząć od uzyskania odpowiedzi na fundamentalne pytania. Jaka jest jego sytuacja finansowa? Jaką dostawca ma reputację? Czy sam realizuje usługę, czy korzysta z łańcucha dostaw? W jaki sposób dostawca zapewnia wymagany poziom bezpieczeństwa naszych aktywów? Co może zapewnić/zapewnia dostawca oraz co trzeba zrobić samemu? Następnym etapem ewaluacji dostawcy jest wstępny przegląd, w jaki sposób zorganizowany jest proces zarządzania ryzykiem i bezpieczeństwem. Poziom szczegółowości przeglądu będzie zależny od istotności naszych aktywów oraz wymagań związanych z zapewnieniem zgodności. Cloud Security Alliance zdefiniował w CSA Security Guidance 14 krytycznych obszarów, w których wstępny przegląd pozwoli nam ocenić, w jaki sposób zorganizowany jest proces zarządzania

KWIECIEŃ 2013 www.prevent-magazine.pl

2. N adzór i zarządzanie ryzykiem – obejmuje ocenę zdolności organizacji do identyfikacji, oceny monitorowania i nadzoru ryzyka związanego z modelem cloud computing, wykorzystywanych metodologii i narzędzi, ocenę łańcucha dostaw; 3. P rawo i informatyka śledcza – obejmuje aspekty prawne oraz kwestie związane z gromadzeniem, analizą i udostępnianiem dowodów. Zagadnienia prawne podzielone są na 3 główne kategorie: • funkcjonalne - dzieli funkcje i usługi na te, które mają konsekwencje prawne, oraz te, które ich nie mają, • jurysdykcyjne - ustalają, które przepisy mają zastosowanie w zależności od źródła problemu, klienta oraz zarówno dostawcy, jak i firmy; • umowne - zarządzanie strukturą, warunkami i ściganiem naruszeń umów;

4. Zgodność i audyt – transparentność rozwiązań, prawo do audytu, raporty audytowe, normy, standardy, najlepsze praktyki, certyfikacja, analiza i wpływ na zgodność z regulacjami, mapowanie wymagań, odpowiedzialność za zapewnienie zgodności; 5. Zarządzanie informacją i ochrona danych – przechowywanie i klasyfikacja danych w chmurze, cykl życia informacji, bezpieczeństwo i prywatność danych, lokalizacja, odzyskiwanie danych; 6. Przenaszalność i interoperacyjność – migracja danych, zdolność do przenoszenia aktywów od jednego dostawcy do drugiego, zapewnienie możliwości powrotu, interoperacyjność pomiędzy dostawcami usług; 7. Tradycyjne bezpieczeństwo, BCP i DRP – zdefiniowane zasady bezpieczeństwa (strategie, polityki, procedury), bezpieczeństwo fizyczne i środowiskowe, bezpieczeństwo IaaS, PaaS, SaaS, zarządzanie ciągłością i plany awaryjne; 8. Centrum danych i zarządzanie operacjami - architektura i infrastruktura centrum danych, polityki i procedury operacyjne, zarządzanie personelem, separacja obowiązków; 9. Zarządzanie incydentami – monitorowanie, wykrywanie, powiadamianie i reagowanie na incydenty, rejestracja, analiza, usuwanie incydentów, współpraca pomiędzy zespołami reagowania, testy;

10. B ezpieczeństwo aplikacji – autentykacja, autoryzacja i nadzór, zarządzanie podatnościami, testy penetracyjne, cykl życia rozwoju oprogramowania (SDLC), zarządzanie tożsamością i kontrola dostępu, zarządzanie zgodnością, monitoring aplikacji; 11. S zyfrowanie i zarządzanie kluczami – PKI w chmurze, zarządzanie kluczami, przechowywanie i zabezpieczenie kluczy w chmurze, tokenizacja, anonimizacja, mechanizmy kryptograficzne, szyfrowanie danych; 12. Z arządzanie własnością, tożsamością i dostępem – zarządzanie tożsamością i uprawnieniami, nadawanie i odbieranie dostępu, SSO, Federated Indentity, nadzór i audyt, konsumeryzacja; 13. W irtualizacja - Multi-tenancy, utwardzanie VM, ataki Inter-VM, izolacja VM, szyfrowanie VM, bezpieczeństwo hypervisorów, zarządzanie podatnościami, złośliwe oprogramowanie; 14. S ecurity as a service – korzyści i obawy, wszechobecnośc, transparentność rozwiązań, dywersyfikacja usług, przegląd rozwiązań, wymagania. W kolejnych artykułach chciałbym w szczegółach opisać poszczególne domeny oraz wymagania i rekomendacje dla każdego z obszarów. Ostatnim etapem planowania wejścia w chmurę jest naszkicowanie przepływu danych,

jaki się odbywa pomiędzy organizacją, naszymi klientami i dostawcą. To pozwoli nam zrozumieć, w jaki sposób i kiedy dane będą przetwarzane w chmurze, a kiedy poza nią. Proces planowania pozwala podjąć decyzję, jakie aktywa chcemy przenieść do chmury, jakie zagrożenia i ryzyka są z nimi związane oraz jaki model i rozmieszczenia usług jest dla naszej organizacji najbardziej odpowiedni. To wszystko pomaga uzyskać całościowy kontekst i dokonać oceny, jakie mechanizmy kontrolne powinny być zastosowane i po czyjej stronie – odbiorcy czy dostawcy, leży odpowiedzialność za ich wdrożenie. Ryzyko i sytuacje kryzysowe są nieodłącznymi elementami życia codziennego, dotyczy to również prowadzenia każdej działalności biznesowej. Zamiast się ich obawiać, należy nimi zarządzać poprzez dobre rozpoznanie, oswojenie, planowanie i osłabienie. Cytując słowa dr. Berny z kultowej komedii „Seksmisja”: „Nieważne, kto wygrał, ważne, kto przetrwał” – pamiętajmy, że zanim staniemy do wyścigu, warto pomyśleć o przetrwaniu w sytuacjach kryzysowych.

AUTOR: Marcin Fronczak, prezes

EureXa Sp. z o.o., prezes stowarzyszenia Cloud Security Alliance Polska, www.eurexa.pl

ZdjÄ&#x2122;cia: Fotolia

Dane osobowe pracowników korporacji Dane osobowe pracowników międzynarodowych firm coraz częściej są przekazywane poza terytorium Polski. Na jakich zasadach odbywa się taki korporacyjny transfer danych i przede wszystkim czy jest on bezpieczny?

lobalizacja oraz szybki rozwój nowych technologii, w tym Internetu, powodują, że międzynarodowe korporacje coraz powszechniej stosują scentralizowane i zinformatyzowane systemy zarządzania zasobami ludzkimi. W ramach organizacji bazy danych osobowych pracowników przekazywane są poza obszar Polski, nie tylko do krajów należących do Unii Europejskiej czy, szerzej, do Europejskiego Obszaru Gospodarczego (EOG), ale również na inne kontynenty. W pewnych przypadkach transfer tego typu informacji o zatrudnionych poza obszar Unii Europejskiej wymaga uzyskania zgody Generalnego Inspektora Ochrony Danych Osobowych.

Przekazywanie danych osobowych pracowników korporacji do państw trzecich

że transfer danych osobowych w ramach państw Unii Europejskiej czy EOG jest traktowany tak samo jak przepływ danych osobowych na terytorium Polski. Nadal istnieje jednak obowiązek spełnienia przesłanek legalności, celowości i jakości danych osobowych oraz odpowiedniego ich zabezpieczenia.

Kwestie transferu danych osobowych poza Polskę reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.) („u.o.d.o.”). Odmienne zasady Kiedy dane można przekazać stosuje się w zależności od kraju, do którego są przekazy- do państw trzecich? wane dane. Zgodnie z u.o.d.o. przez państwo trzecie rozumie Transfer danych osobowych do państw trzecich powoduje się kraj, który nie należy do Europejskiego Obszaru Gospo- konieczność spełnienia dodatkowych wymogów, a przede darczego. W przypadku przekazywania danych osobowych wszystkim istnienia gwarancji pracowników do państw człon- zabezpieczenia danych. kowskich Unii Europejskiej czy Przekazanie danych do państwa trzeciego może nastąpić, krajów EOG, które nie należą do Unii, transfer podlega ogól- jeżeli państwo docelowe zapewnia na swoim terytorium nym zasadom przetwarzania odpowiedni poziom ochrony danych osobowych określodanych osobowych. Stopień nych w u.o.d.o. To powoduje,

Ochrona danych osobowych

ich ochrony musi ocenić administrator danych w świetle wszystkich okoliczności przekazania danych. Administratorem jest organ, jednostka

danych, normy prawne obowiązujące w danym państwie trzecim oraz stosowane tam środki bezpieczeństwa i zasady zawodowe. System ochrony

Europejska jest uprawniona do stwierdzania w formie decyzji, czy dane państwo trzecie zapewnia stopień ochrony danych adekwatny do poziomu przewidzianego w dyrektywie 95/46/WE. Przykładowo takie decyzje zostały wydane w stosunku do Szwajcarii, Kanady czy Argentyny. Państwo docelowe nie spełnia warunków ochrony danych – co wtedy?

organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. W odniesieniu do ochrony pracowniczych danych osobowych status administratora należy przypisać pracodawcy w rozumieniu art. 3 Kodeksu pracy. Szczególną uwagę należy zwrócić na: charakter danych, cel i czas trwania ich przetwarzania, kraj pochodzenia i kraj ostatecznego przeznaczenia

danych osobowych w państwie trzecim powinien gwarantować istnienie mechanizmów dochodzenia praw przez indywidualne osoby, w tym prawa do dochodzenia odszkodowania w przypadku jakichkolwiek naruszeń zasad ich przetwarzania. Generalny Inspektor Ochrony Danych Osobowych nie wydaje zaświadczeń w tym zakresie, natomiast dla oceny gwarancji ochrony pomocne są regulacje unijne. Komisja

KWIECIEŃ 2013 www.prevent-magazine.pl

1. Przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej; 2. Osoba, której dane dotyczą, udzieliła na to zgody na piśmie; 3. Przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; 4. Przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; 5. Przekazanie jest niezbędne

Zdjęcia: Fotolia

Jeśli jednak dane państwo nie spełnia odpowiednich kryteriów gwarancji ochrony, zgodnych z unijnymi dyrektywami, przekazanie danych jest dopuszczalne tylko w przypadku spełnienia jednej z przesłanek określonych w art. 47 ust. 2 i 3 u.o.d.o. Są one następujące:

ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; 6. Przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; 7. Dane są ogólnie dostępne. Co do przesłanki zgody, w przypadku pracowników jej wyrażenie może być podważane ze względu na nierówność podmiotów stosunku zatrudnienia i uznanie, że zgoda podwładnego na transfer była „wymuszona” przez pracodawcę. Jeżeli żadne z powyższych

ochrony danych. W wyroku z dnia 16 kwietnia 2003 roku (II SA 3878/02, ONSA 2004, nr 1, s. 41) Naczelny Sąd Administracyjny stwierdził: „(…) organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu.” W każdym przypadku powierzenia przetwarzania danych osobowych pracowników innemu podmiotowi niezbędne jest zawarcie na piśmie odpowiedniej umowy

Kwestie transferu danych osobowych poza Polskę reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.) („u.o.d.o.”). Odmienne zasady stosuje się w zależności od kraju, do którego są przekazywane dane. kryteriów nie zostało spełnione, a państwo trzecie nie zapewnia odpowiednich standardów ochrony, przekazanie takich danych może nastąpić wyłącznie po uzyskaniu zgody GIODO, pod warunkiem że administrator zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Pracodawca może wystąpić do GIODO o wydanie zgody na taki transfer danych. W takim przypadku Inspektor ocenia, czy administrator danych zapewnia odpowiedni poziom

i wprowadzenie stosownych zapisów, a w szczególności zastosowanie wzorcowych klauzuli umownych przyjętych przez Komisję Europejską. Międzynarodowe korporacje w celu uproszczenia i usprawnienia legalnego transferu danych wprowadzają tzw. wiążące reguły korporacyjne (ang. Binding Corporate Rules), czyli kodeksy wewnętrznych reguł postępowania dotyczące zasad ochrony danych osobowych. Niektóre państwa Unii Europejskiej stosują zasadę wzajemnego uznania wiążących reguł korporacyjnych,

co pozwala na legalny i bezpieczny transfer danych w ramach jednej korporacji do spółek zależnych poza obszar EOG. Wniosek o wydanie zgody przez GIODO na przekazanie danych do państwa trzeciego powinien wskazywać dowody na potwierdzenie zapewnienia przez administratora odpowiedniego zabezpieczenia ochrony prywatności oraz praw i wolności osób, których dane dotyczą. W szczególności należy wskazać strony transferu, zakres i kategorie danych, cel i czas trwania przekazywania danych, a także środki gwarantujące bezpieczeństwo danych z uwzględnieniem środków organizacyjno-technicznych. W przypadku negatywnej odpowiedzi GIODO strona może zwrócić się z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję GIODO przysługuje skarga do Wojewódzkiego Sądu Administracyjnego. Obecnie trwają prace nad reformą unijnych przepisów dotyczących ochrony danych osobowych, zmiany mają również dotyczyć transferu danych osobowych poza Europejski Obszar Gospodarczy.

AUTOR: Justyna Metelska, adwokat w TGC Corporate Lawyers, www.tgc.eu

Biznes i prawo

Stracona domena – czy da się ją odzyskać?

Rejestracja domeny internetowej odbywa się na podstawie umowy zawartej z odpowiednim rejestrem. Dla domen „.pl” funkcję rejestru pełni Naukowa i Akademicka Sieć Komputerowa (NASK). Najczęściej do zawarcia umowy dochodzi za pośrednictwem jednego z partnerów rejestratora (np. nazwa.pl), który reprezentuje abonenta domeny przed rejestrem. Skutkiem zawarcia umowy jest zobowiązanie rejestru do utrzymywania nazwy domeny na rzecz określonego abonenta przez czas trwania umowy (zazwyczaj jeden rok). W kontekście rejestracji nazwy domeny nie można zatem mówić o „własności domeny”.

Jedną z podstaw prawnych, na które może powołać się dotychczasowy abonent w celu ochrony swoich interesów, są przepisy kodeksu cywilnego o ochronie dóbr osobistych oraz prawa do firmy. Odpowiednio art. 24 § 1 k.c. i 4310 k.c. przewidują środek ochrony w postaci żądania zaniechania działań, które zagrażają lub naruszają dobro osobiste lub prawo do firmy. Zgodnie z art. 435 k.c. firmą osoby prawnej jest jej nazwa oraz oznaczenie wskazujące na formę prawną. Aby skorzystać z ochrony prawa do

firmy, przedsiębiorca będący dotychczasowym abonentem domeny powinien wcześniej ujawnić firmę we właściwym rejestrze. Jeśli ta firma zostanie wykorzystana w nazwie domeny przez inną osobę, przedsiębiorca będzie mógł żądać zaprzestania posługiwania się domeną, o ile wykaże, że działanie tej osoby zagraża jego prawu do firmy lub je narusza. Przyjmuje się, że stworzeniem zagrożenia dla prawa do firmy jest posłużenie się firmą w taki sposób, który wywołuje niebezpieczeństwo pomyłek wśród użytkowników Internetu co do istnienia związku pomiędzy dysponentem tej nazwy domeny a uprawnionym do firmy, w szczególności jeżeli zakres działalności obydwu podmiotów jest podobny (por. orzeczenie Sądu Polubownego ds. Domen Internetowych przy PIIT: http://www.piit.org.pl/_gAllery/13/41/13413/Wyrok_59.10. PA.pdf). Nawet jednak jeśli wykorzystywane w nazwie domeny oznaczenie odpowiada tylko części nazwy przedsiębiorcy, to i tak można się powołać na ochronę dóbr osobistych, o ile wykorzystywane oznaczenie indywidualizuje przedsiębiorcę

KWIECIEŃ 2013 www.prevent-magazine.pl

na tyle, że pozwala na odróżnienie go od innych przedsiębiorców (wyrok Sądu Najwyższego z dnia 28 października 1998 r., II CKN 25/98). Należy jednak zwrócić uwagę, że stosowanie środków ochrony przedsiębiorcy jest możliwe tylko w wypadku, gdy działanie naruszającego jest bezprawne. Zarówno na podstawie przepisów o ochronie dóbr osobistych, jak i przepisów o firmie domniemywa się, że działanie naruszającego jest działaniem bezprawnym. Stawia przedsiębiorcę w korzystnej sytuacji, bowiem nie musi on udowadniać bezprawności naruszenia. Ciężar wykazania, że rejestracja domeny zawierającej nazwę przedsiębiorcy spoczywa na osobie, która zarejestrowała sporną domenę. Przypadkiem, w którym naruszający może wykazać, że działał na podstawie przepisów prawa jest na przykład działanie za zgodą pokrzywdzonego (w ramach upoważnienia do korzystania z firmy) lub korzystanie z prawa opartego na innym tytule (np. wynikającego z rejestracji znaku towarowego).

Zdjęcie: Fotolia

momencie, gdy dojdzie do wygaśnięcia umowy pomiędzy rejestrem a abonentem domeny, np. w przypadku nieopłacenia kolejnego okresu abonentowego, wówczas abonent traci prawo do korzystania z nazwy domeny, która może zostać zarejestrowana na rzecz osoby trzeciej. W tym kontekście pojawia się pytanie o to, jakie kroki może podjąć dotychczasowy abonent domeny, której nazwa została zarejestrowana na rzecz innej osoby.

Ustawa o zwalczaniu nieuczciwej konkurencji Inną podstawą prawną poszukiwania ochrony przez dotychczasowego abonenta jest możliwość sięgnięcia do ochrony przewidzianej przepisami ustawy z 1993 r. o zwalczaniu nie-

uczciwej konkurencji – zwanej w dalszej części „uznk”. Ustawa ta jest podstawowym instrumentem ochrony konkurencyjności na rynku krajowym i adresowana jest głównie do przedsiębiorców rywalizujących ze sobą – konkurentów, niemniej jednak w pewnych warunkach

można ją także stosować w relacjach między przedsiębiorcami, którzy konkurentami nie są. W orzecznictwie Sądu Polubownego ds. Domen Internetowych przy PIIT to właśnie przepisy tej ustawy są najczęściej podstawą rozstrzygnięć Sądu. Ograniczając się wyłącznie do zarysowa-

Biznes i prawo

nia problematyki zwalczania nieuczciwej konkurencji w kontekście rejestracji domen internetowych, można przyjąć, że już sama rejestracja domeny internetowej może stanowić naruszenie przepisów tejże ustawy, a tym bardziej takim naruszeniem może być aktywne korzystania z domeny przez jej abonenta w sposób sprzeczny z przepisami ustawy. W obydwu tych przypadkach, tj. „biernej” oraz „aktywnej” rejestracji, spełnienie przesłanek prawnych z ustawy powoduje zakwalifikowanie działania abonenta jako czynu nieuczciwej konkurencji. Najczęstszym czynem nieuczciwej konkurencji spotykanym w orzecznictwie Sądu Polubownego, którego dopuszczają się abonenci domen, jest utrudnianie innym przedsiębiorcom dostępu do rynku poprzez zablokowanie możliwości korzystania z domeny przez innego przedsiębiorcę, dla którego korzystanie z danej nazwy domeny jest ekonomicznie niezbędne z uwagi na nazwę jego produktu czy też nazwę prowadzonej działalności gospodarczej. Wydaje się zatem, że jednym z najskuteczniejszych sposobów poszukiwania ochrony przez osoby, które utraciły prawa do nazwy domeny na przykład na skutek nieopłacenia tejże domeny, przy założeniu, że domena była wcześniej wykorzystywana w ramach działalności gospodarczej takich osób, jest oparcie swoich roszczeń o przepisy ustawy o zwalczaniu nieuczciwej konkurencji. W pierwszej kolejności trzeba zwrócić uwagę, że czynem nie-

uczciwej konkurencji nie musi być jedynie czynne działanie osoby trzeciej , ale może być to również zachowanie bierne, jak np. rejestracja domeny internetowej i zaparkowanie jej na jednym z popularnych serwisów w celu otrzymywania ofert jej zakupu. Czynem nieuczciwej konkurencji jest w myśl art. 3 ust. 1 uznk zachowanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta. Przepis art. 3 ust. 1 stanowi tak zwaną klauzulę generalną i dane zachowanie może być uznane za czyn nieuczciwej konkurencji tylko pod warunkiem, że zachowanie to wypełnia przesłanki tego przepisu. Ustawa w dalszej części konkretyzuje różnego rodzaju działania, określając szczegółowo warunki, w jakich mogą być uznane za czyny nieuczciwej konkurencji. Na potrzeby ochrony praw dotychczasowego abonenta domeny, który ją utracił, najistotniejszymi wydają się przepisy art. 5 oraz art. 15 uznk. Zgodnie z art. 5 uznk czynem nieuczciwej konkurencji jest takie oznaczenie przedsiębiorstwa, które może wprowadzić klientów w błąd co do jego tożsamości, przez używanie firmy, nazwy, godła, skrótu literowego lub innego charakterystycznego symbolu wcześniej używanego, zgodnie z prawem, do oznaczenia innego przedsiębiorstwa, natomiast art. 15 uznk za czyn nieuczciwej konkurencji uznaje wymienione w tym przepisie przykładowe zachowania, które utrudniają innym przedsiębiorcom dostęp

KWIECIEŃ 2013 www.prevent-magazine.pl

do rynku. Ustawa w art. 18 przewiduje środki ochrony osoby, której interesy poprzez popełnienie czynu nieuczciwej konkurencji zostały zagrożone lub naruszone. Należy zatem zauważyć, iż w ewentualnym postępowaniu przed sądem powszechnym czy też sądem polubownym, przed którym dotychczasowy abonent będzie poszukiwał ochrony, nie ma konieczności dowodzenia naruszenia interesów, a wystarczy uprawdopodobnienie ich zagrożenia. W myśl art. 18 ust. 1 uznk można zatem domagać się od osoby, która dopuściła się czynu nieuczciwej konkurencji, zaniechania niedozwolonych działań, usunięcia skutków takich działań, złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie, naprawienia wyrządzonej szkody, na zasadach ogólnych, wydania bezpodstawnie uzyskanych korzyści, na zasadach ogólnych, a także zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze wspieraniem kultury polskiej lub ochroną dziedzictwa narodowego - jeżeli czyn nieuczciwej konkurencji był zawiniony. Dotychczasowy abonent utraconej domeny powinien zatem wykazać, że rejestracja domeny przez osobę trzecią spowodowała wypełnienie przez tą osobę przesłanek z art. 3 ust. 1 uznk oraz dodatkowo może powoływać się na któryś z przepisów szczegółowych uznk – wspomniany art. 5 lub art. 15. Osoba taka może dowodzić, że jej interesy zostały naruszone bądź

też zagrożone z uwagi na pozbawienie jej możliwości dysponowania domeną internetową, którą dotychczas wykorzystywała w działalności gospodarczej, prowadząc pod nią przykładowo serwis internetowy poświęcony swoim produktom. Należy przy tym zauważyć, że w razie uznania zachowania nowego abonenta za czyn nieuczciwej konkurencji, jego ewentualna linia obrony polegająca na argumentacji, że zarejestrował domenę, gdyż została zwolniona przez rejestratora i pojawiła się w puli wolnych domen, nie będzie raczej mogła zostać uznana za wystarczającą do wygrania przez niego sporu. W przeważającej bowiem większości przypadków osoby, które posądzane są o popełnienie czynów nieuczciwej konkurencji, doskonale zdają sobie sprawę z tego, do kogo dotychczas dana domena internetowa należała i do czego była wykorzystywana, a samej rejestracji nie dokonują w celu używania domeny we własnych celach, na przykład w celu promocji własnego przedsięwzięcia gospodarczego, a jedynie w celu dalszej odsprzedaży domeny, najczęściej właśnie dotychczasowemu abonentowi ze znacznym zyskiem. Prawo własności przemysłowej Inną podstawą dochodzenia ochrony przez abonenta utraconej domeny może być powoływanie się na przepisy ustawy z dnia 30 czerwca 2000 r. prawo własności przemysło-

wej – zwanej w dalszej części „pwp”. Należy jednak zauważyć, że z możliwości tej mogą korzystać jedynie osoby, które zarejestrowały znak towarowy i wykorzystywały go w nazwie domeny internetowej, pod którą prowadziły serwis internetowy poświęcony danemu towarowi czy też usłudze chronionej tym znakiem towarowym. W myśl bowiem art. 153 ust. 1 pwp przez uzyskanie prawa ochronnego na znak towarowy nabywa się prawo wyłącznego używania tego znaku towarowego w sposób zarobkowy lub

sobu posługiwania się domeną internetową przez jej nowego abonenta. Zgodnie bowiem z art. 296 ust. 2 do naruszenia prawa ochronnego na znak towarowy dochodzi wyłącznie w przypadku wykorzystywania znaku identycznego lub podobnego do chronionego oznaczenia w obrocie gospodarczym. Zatem w przypadku wykorzystywania przez nowego abonenta domeny internetowej poza obrotem gospodarczym – np. poprzez „bierną” rejestrację – powoływanie się na przepisy pwp może nie być

Utrata domeny przez abonenta nie zawsze musi oznaczać stan nieodwracalny i konieczność jej odkupienia od nowego dysponenta. zawodowy na całym obszarze Rzeczypospolitej Polskiej. Natomiast zgodnie z art. 154 pwp używanie znaku towarowego polega w szczególności na umieszczaniu tego znaku na towarach objętych prawem ochronnym lub ich opakowaniach, oferowaniu i wprowadzaniu tych towarów do obrotu, ich imporcie lub eksporcie oraz składowaniu w celu oferowania i wprowadzania do obrotu, a także oferowaniu lub świadczeniu usług pod tym znakiem oraz na umieszczaniu znaku na dokumentach związanych z wprowadzaniem towarów do obrotu lub związanych ze świad-czeniem usług, a także na posługiwaniu się nim w celu reklamy. Korzystanie z ochrony przewidzianej ustawą prawo własności przemysłowej jest jednak uwarunkowane od spo-

wystarczające. Ponadto domena internetowa zawierająca oznaczenie, na które została przyznana ochrona, musi być wykorzystywana do oznaczania towarów lub usług identycznych w stosunku do których taka ochrona została przyznana. Przykładowo zatem, jeżeli dotychczasowy abonent zarejestrował słowny znak towarowy „XYZ” w celu ochrony towarów w postaci sprzętu komputerowego i posługiwał się domeną internetową „xyz.pl”, którą następnie utracił, a nowy abonent, który zarejestrował tę domenę, wykorzystuje ją do prowadzenia sklepu internetowego, w którym sprzedaje sprzęt motoryzacyjny, powoływanie się na naruszenie znaku towarowego „XYZ” nie będzie zapewne skuteczną metodą odzyskania tej domeny. Gdyby jednak nowy abonent

Biznes i prawo

wykorzystywał domenę w celu ści wykazywania identyczności prowadzenia sklepu internetoczy też podobieństwa towarów wego, w którym sprzedawałby lub usług. Wystarczy wykazać, sprzęt RTV, a przy tym serwis że korzystanie z domeny zawieten byłby podobny w swoim rającej takie oznaczenie przez wyglądzie do dotychczasowego jej nowego abonenta może serwisu prowadzonego przez przynieść używającemu nienapoprzedniego abonenta, który leżną korzyść lub być szkodliwe domenę tę utracił, a przez to dla odróżniającego charakteru nabywcy tego sprzętu mogliby bądź renomy tego znaku. mieć uzasadnioną podstawę Przykłady praktycznego wykodo uznania, że jest to serwis rzystania wyżej omówionych prowadzony przez dotychczakonstrukcji prawnych odnaleźć sowego abonenta i kojarzyliby można w bogatym orzecznicw ten sposób chroniony znak twie Sądu Polubownego ds. towarowy z nowym serwisem, Domen Internetowych przy dotychczasowy abonent dome- Polskiej Izbie Informatyki i Teleny mógłby starać się wykazykomunikacji. Na potrzeby niwać, że doszło jednak do naru- niejszego opracowania poszenia jego prawa ochronnego wołać można jedno z ważniejna znak towarowy. Odrębnym szych orzeczeń z dnia 18 maja przypadkiem byłaby sytuacja, 2011 r. (sygn. akt 73/10/PA) gdyby znak towarowy „XYZ” http://www.piit.org.pl/_gAllebył znakiem renomowanym, to ry/14/38/14380/Wyrok_73.10. jest takim znakiem, który jest PA.pdf, w którym to Sąd uznał powszechnie rozpoznawany prawa dotychczasowego aboprzez odbiorców na danym nenta do utraconej domeny rynku geograficznym, a towary internetowej <<twojstyl.pl>>, czy też usługi opatrywane takim zarejestrowanej następnie przez znakiem uznawane są przez inną osobę i wystawioną przez ich nabywców za wartościowe, nią na sprzedaż. Dotychczasoposiadające wysoką jakość wy abonent powoływał się i cieszą się renomą. W takim przy tym na naruszenie przez przypadku do skorzystania nowego dysponenta praw z ochrony przewidzianej przez do domeny przepisów ustawy przepisy pwp nie ma konieczno- o zwalczaniu nieuczciwej konkurencji oraz przepisów ustawy prawo własności przemysłowej. AUTORZY: Powód utracił domenę na skuIzabela Nowacka, tek pomyłki, gdyż domena nie doktorantka została opłacona. Wcześniej w Katedrze Prawa Cywilnego UJ, pod domeną powód prowadził www.netart.pl serwis będący internetowym odpowiednikiem czasopisma Marcin Polak, „Twój Styl”, co do którego radca prawny, prawa przysługiwały powodowi www.netart.pl jako jego wydawcy. Sąd przyznał ochronę powodowi i uznał,

że poprzez rejestrację domeny <<twojstyl.pl>> pozwany naruszył prawa ochronne powoda do wyłącznego posługiwania się znakiem towarowym „Twój Styl”, który został uznany za znak renomowany. Ponadto Sąd uznał, że poprzez rejestrację domeny pozwany utrudnił powodowi dostęp do rynku, a jego zachowanie było sprzeczne z dobrymi obyczajami. Zdaniem Sądu pozwany, rejestrując domenę, miał świadomość tego, że jej nazwa odpowiada chronionemu oznaczeniu a ponadto, że nazwa ta stanowi tytuł czasopisma, a więc polega dodatkowej ochronie przewidzianej przez przepisy prawa prasowego. Powód został w ten sposób pozbawiony możliwości wykorzystywania domeny w dotychczasowy sposób, to jest do prowadzenia serwisu internetowego poświęconego wydawanemu czasopismu. Podsumowując, uznać należy, że utrata domeny przez jej dotychczasowego abonenta nie zawsze musi oznaczać stan nieodwracalny i konieczność jej odkupienia od nowego dysponenta, przy czym należy odróżnić sytuacje, w których do utraty domeny następuje np. na skutek zapomnienia i nieopłacenia domeny, od sytuacji, w których domena jest „wykradana” np. poprzez uzyskanie kodu autoryzującego domenę przez osobę nieuprawnioną. Te ostatnie sytuacje wykraczają poza ramy tego artykułu i powinny być rozpatrywane w świetle przepisów kodeksu karnego.

Zarządzanie ryzykiem

Platformy

B2B – czy to jest bezpieczne?

Ogromny wzrost popularności, coraz szersze zastosowanie, szansa na uzyskanie dofinansowania w ramach działań 8.2, a także szereg korzyści płynących z użytkowania. Korzystanie z platform B2B rozwija i usprawnia biznes. Jak jednak wygląda kwestia bezpieczeństwa przechowywanych w takich systemach danych?

B2B (nie)bezpieczeństwem w sieci? Platforma B2B, jak każda aplikacja internetowa, stanowi udogodnienie dla biznesu. Źle wdrożona może jednak

być potencjalnym źródłem zagrożenia. Warto podkreślić, że cechą charakterystyczną tej aplikacji internetowej jest specyficzne grono odbiorców – instytucjonalnych, bardziej sformalizowanych, dla których bezpieczeństwo jest szczególnie istotne. Pierwszą grupą ataków, na które może być narażona nasza platforma B2B, jest niebezpieczeństwo związane z adresami i formularzami. Przykładem może tu być problem semantycznych ataków na adresy URL. Polega on na ręcznej modyfikacji adresu URL, następnie obserwacji rezultatów działań. W przypadku aplikacji podatnej na tego typu atak może dojść do podglądu

KWIECIEŃ 2013 www.prevent-magazine.pl

lub zmiany danych przez użytkownika nieuprawnionego. Kolejnym atakiem z tej grupy jest XSS. To najbardziej powszechna forma zagrożenia, która zmusza aplikację do wykonania zewnętrznych skryptów. Obrona przed tą formą ataku polega na filtrowaniu nadchodzących danych oraz dodaniu znaków ucieczki do treści pozyskiwanych ze źródła zewnętrznego. Inną formą ataku jest CRSF, który polega na podrobieniu żądania innego użytkownika. Atak nie jest wymierzony w samą aplikację WWW, a jego celem jest wykorzystanie uprawnień zaatakowanego użytkownika do wykonania

Zdjęcie: Fotolia

ezpieczeństwo w platformach B2B ma podwójne znaczenie – jest nie tylko aspektem ważnym, jest to także czynnik warunkujący nasze relacje z klientami i partnerami. Decydując się na jego wdrożenie, musimy mieć na względzie nie tylko bezpieczeństwo danych swoich, ale także danych naszych kontrahentów. Warto więc poznać potencjalne zagrożenia i sposoby przeciwdziałania im.

określonej akcji. Wówczas, np. po kliknięciu w spreparowany link, użytkownik usuwa swoje wszystkie faktury. Możliwość obrony polega w tym wypadku na każdorazowym uwierzytelnianiu użytkownika podczas wykonywania akcji wymagających zalogowania, np. za pomocą tokena. Podrabianie formularza i żądań HTTP jest równie groźną formą ataku, polegającą na zmianie pól formularza tak, by spełniał on wymagania atakującego, następnie wysłaniu tego rodzaju formularza na nasz adres. Atak ten nie będzie jednak groźny, jeśli filtrujemy przychodzące dane. Drugą grupą zagrożeń są bezpośrednie ataki na bazy

danych. Pierwszym przykładem takiego ataku jest ujawnienie danych uwierzytelniających, czyli umożliwiających dostęp do naszej bazy danych. Najlepszym sposobem uniknięcia takiej sytuacji jest przecho-

które umożliwiają zmianę tego zapytania zgodnie z oczekiwaniami atakującego. Podstawowym sposobem zabezpieczania przed SQL Injection jest niedopuszczenie do nieuprawnionej zmiany wykonywanego

Źle wdrożona platforma B2B może być potencjalnym źródłem zagrożenia. Bezpieczeństwo jest tutaj bardzo istotne! wywanie plików poza katalogiem dokumentów WWW. Jeżeli jest to niemożliwe, należy zabezpieczyć katalog przed dostępem z zewnątrz. SQL Injection to jedna z najczęstszych słabości wszelkiego rodzaju aplikacji WWW. Atak polega na przekazaniu do zapytania parametrów,

zapytania. Można to zrobić na poziomie aplikacji (filtrowanie danych i znaki ucieczki), bazy danych (uprawnienia, procedury składowane) bądź serwera www. Kolejna grupa ataków jest związana z uwierzytelnianiem i autoryzacją. Jednym z przykładów tego rodzaju działań jest

Zarządzanie ryzykiem

łamanie haseł. Najczęstszymi atakami są tutaj ataki wyliczeniowe (brute force) i słownikowe. W pierwszym z nich atakujący, próbując zalogować się, sprawdza wszystkie możliwe kombinacje hasła. Druga metoda jest skuteczniejsza – nie sprawdza wszystkich dostępnych możliwości, lecz te z listy najbardziej prawdopodobnych haseł (ze słownika). Skuteczną obroną przed tym atakiem jest ograniczenie ilości oraz częstotliwości prób logowania z tymczasową blokadą dostępu do konta po przekroczeniu liczby dostępnych prób. Do systemu B2B możemy dodać także „hakerski” słownik zbudowany z popularnie

zmienić hasło, nie zmieniali go na „test123!@”, a potem ponownie wracali do tego, które pamiętają). W systemach wysokiej poufności należy także dywersyfikować kanały komunikacyjne krytycznych operacji. Idealnym przykładem będzie dostęp do listy wszystkich faktur kontrahenta autoryzowany poprzez podanie wybranych 4 znaków z hasła + 5 znaków przepisanych z wysłanego SMS na określony nr telefonu (ważny przez 3 minuty). W tym wypadku możemy także nie prosić nigdy o podanie całego hasła, a jedynie wybranych losowo 5 znaków.

Decydują się na wdrożenie platformy B2B, konieczna jest wcześniejsza analiza czynników wpływających na jej bezpieczeństwo. Warto skorzystać tutaj z pomocy eksperta. dostępnych w internecie źródeł i sprawdzać, czy ustawiane przez użytkownika hasło przez przypadek się na nim nie znajduje – jeżeli tak, odmawiamy utworzenia takowego. Dodatkowo możemy stosować wymogi bezpieczeństwa wobec samego hasła – musi się ono składać z małych/dużych liter, co najmniej 1 cyfry i znaku specjalnego. Istotna jest także polityka zmiany hasła po określonym terminie oraz zabezpieczenie przed ponownym ustawieniem hasła, którego kiedyś używaliśmy (aby użytkownicy, którzy muszą

Warto jednak zauważyć, że doświadczeni twórcy aplikacji internetowych, w tym platform B2B, zdają sobie sprawę z tego, że nie jest sztuką stworzenie bardzo długiego i skomplikowanego hasła. Paradoksalnie im dłuższe, tym mniej bezpieczne. To tylko wrażenie psychologiczne, które niestety nie jest współmierne z realnymi skutkami. Najczęściej efektem długiego i skomplikowanego hasła jest to, że użytkownik bojąc się utracenia dostępu do konta, trzyma hasło w widocznym miejscu, a zabezpieczenie... mija się z celem.

KWIECIEŃ 2013 www.prevent-magazine.pl

Podsłuchiwanie haseł to kolejna możliwość przechwycenia danych. W tym przypadku atakujący stara się obserwować i podsłuchać komunikację między użytkownikiem a aplikacją, starając się zdobyć interesujące go informacje. Skutecznie przeciwdziała temu połączenie szyfrowane SSL. Zaleca się, aby przynajmniej podczas uwierzytelnień szyfrować połączenia. Ma to też aspekt psychologiczny. Użytkownik, widząc szyfrowaną komunikację, czuje się pewniej i nabiera większego zaufania do aplikacji. Atak metodą powtórzenia to z kolei podstawienie przez atakującego prawidłowych danych użytkownika (np. podsłuchanych). Aby uniemożliwić przeprowadzenie takiego ataku, należy przede wszystkim starać się unikać niepotrzebnej ekspozycji danych dających dostęp do zasobów oraz korzystania z danych umożliwiających trwały dostęp do zasobu. Trwały login to mechanizm, który pozwala użytkownikom na pozostanie zalogowanymi nawet podczas innych sesji przeglądarki. Zwiększa on znacząco wygodę użytkownika, jednak zmniejsza bezpieczeństwo naszej aplikacji (nawet jeżeli jest dobrze zaimplementowany), dlatego nie powinien zawierać żadnych informacji, które umożliwiałyby trwały dostęp (login, hasło), a uwierzytelnianie powinien przeprowadzać np. na podstawie czasowo ograniczonego tokena.

Jak więc zapobiegać zagrożeniom? Po pierwsze: Równowaga. Rozwiązania podnoszące bezpieczeństwo, a wygoda użytkownika to niestety często wykluczające się pojęcia. Szczególnie ważnym aspektem projektowania platformy B2B jest więc odnalezienie równowagi. Przede wszystkim należy używać zabezpieczeń transparentnych dla użytkownika, a jeżeli jest to z jakichś względów niemożliwe, takich, które są użytkownikowi znane. Sytuacje potencjalnie niebezpieczne staramy się rozwiązać łagodnie, nie utrudniając użytkownikowi korzystania z platformy. Po drugie: Śledzenie przepływu danych. Z punktu widzenia bezpieczeństwa jest to jedna z najważniejszych rzeczy, o jakich musi pamiętać programista. Powinien on zawsze wiedzieć, skąd dane przychodzą, gdzie i w jakim stanie się znajdują oraz dokąd zostają wysłane. Musimy wiedzieć, którym danym możemy zaufać, a które traktować jako potencjalnie podejrzane. Źródło pochodzenia i przeznaczenie danych bardzo ułatwia ścisłe trzymanie się ustalonych jasnych konwencji nazewniczych. Większość luk w systemach jest efektem braku śledzenia przepływu danych. Po trzecie: Filtrowanie danych przychodzących. Jest to najważniejszy proces dotyczący bezpieczeństwa

platformy B2B. Upewniamy się tutaj, czy dane, które do nas docierają, są prawidłowe, i odpowiednio je filtrując, znacząco zmniejszamy ryzyko, że do aplikacji trafią dane „skażone”, mogące mieć wpływ na późniejsze działanie naszego systemu. Należy zakładać, że każde dane wymagają przefiltrowania. Wszystkie traktujmy więc jak niepoprawne, dopóki nie zostaną sprawdzone.

działania aplikacji. Nigdy nie jesteśmy w stanie przewidzieć wszystkich możliwych sposobów, jakich użyje potencjalny atakujący, a to zdecydowanie zmniejszy ryzyko i podniesie bezpieczeństwo. Ważne, aby stosowane przez nas zabezpieczenia były proste – prostota kodu jest jedną z najważniejszych determinant bezpiecznej aplikacji, komplikacja powoduje często niebezpieczne luki.

Po czwarte: Znaki ucieczki Kolejną ważną kwestią zabezpieczeń jest „escapowanie” danych wyjściowych podczas wysyłania ich do odbiorcy, tak aby zachować ich oryginalne znaczenie. Pod pojęciem odbiorcy danych rozumiemy tutaj zarówno przeglądarki, jak i np. bazy danych. Podobnie jak w przypadku filtrowania danych wejściowych, tak i tutaj proces ten przebiega różnie, w zależności od sytuacji czy środowiska, w jakim działamy.

Działaj rozważnie!

Strategicznie? Dość powszechnie stosowana praktyka polega na duplikowaniu różnych zabezpieczeń. Istotą tego jest posiadanie „planu awaryjnego” w sytuacji, w której podstawowe zabezpieczenie zawiedzie. Przykładem może być dodatkowe uwierzytelnienie się użytkownika przed wykonaniem jakichś istotnych operacji lub przed dostępem w szczególnie chronione miejsca. Zawsze przyznajemy minimum możliwych uprawnień wymaganych do poprawnego

Decydując się na korzystanie z platformy B2B,warto rozważnie podejść do zagadnienia. Korzyści płynące ze stosowania tego rozwiązania zdecydowanie przeważają. Nie można jednak zapomnieć o tym, że najważniejsze jest bezpieczeństwo przechowywanych w nim danych. Nie decydujmy się więc na wdrożenie platformy B2B bez wcześniejszej analizy czynników wpływających na jej bezpieczeństwo. Warto współpracować w tym zakresie z profesjonalistą, który zrozumie wagę tego czynnika i położy szczególny nacisk na to, żebyśmy zarówno my, jak i nasi klienci mogli czuć się bezpiecznie, a przy okazji mogli sprawniej i szybciej rozwiązywać interesujące nas kwestie. AUTOR: Anna Moucka,

Project Manager w firmie Positive Power. Artykuł powstał w konsultacji z Bartłomiejem Paulem, programistą w firmie Positive Power, www.positive-power.pl