Zmiany dotyczące zabezpieczenia cyfrowego dla firm zajmujących się działalnością online
Wraz z wejściem w życie nowej wersji Ustawy o ochronie danych osobowych i bezpieczeństwie elektronicznym, wprowadzono nie tylko zmiany dotyczące zbierania i przechowywania informacji uczestników rynku. Dodatkowo firmy zajmujące się działalnością online muszą spełnić nowe wymogi związane z cyberbezpieczeństwem, które zawarte są w artykule 33f Ustawy o obrotach na rynku elektronicznym.
Wymagania dotyczące spisu cyfrowego
Każda firma zajmująca się działalnością online musi zapewnić własny spis obowiązujących norm dotyczących cyberbezpieczeństwa. Spis ten powinien zawierać szczegółowe informacje na temat bezpieczeństwa elektronicznego, jakie zastosowano w firmie, a także procedur i mechanizmów, które firma wykorzystuje w celu ochrony swoich danych.
Spis musi być udostępniony publicznie nie później niż do 3 października 2021 roku i zostanie umieszczony na oficjalnej stronie firmy.
Spisane szczegółowo
Spis cyfrowy powinien zawierać następujące informacje:
- Cel spisu: Opisanie zastosowanych procedur i mechanizmów, które mają na celu ochronę danych firmy przed nielegalnymi działaniami, takimi jak kradzież danych czy ataki sieciowe.
- Polityka bezpieczeństwa: Opisanie wszystkich zastosowanych środków ochrony informacji, w tym:
- Zabezpieczenia danych: Zestaw sprawdzonych metod i narzędzi do ochrony danych, takich jak hasła silne, systemy kontroli dostępu czy stosowanie szyfrowania.
- Systemy alarmowe: Systemy monitorujące działalność na platformie internetowej firmy i wykrywające podejrzane działania, takie jak próby kradzieży danych lub ataków sieciowych.
- Przedsiębiorstwa zatrudnione do ochrony: Nazwy przedsiębiorstw zatrudnionych przez firmę do ochrony swoich danych, wraz z opisem ich funkcji i długości kontraktów.
- Procedury działania w przypadku ataku: Opisanie sposobu reagowania firmy na sytuacje zagrożenia, takie jak ataki sieciowe czy próby kradzieży danych, w tym:
- Sposób alarmowania: Sposób, w jaki pracownicy firmy powinni reagować na sytuacje zagrożenia i komunikować się z zatrudnionymi przedsiębiorstwami.
- Procedury awaryjne: Procedury, które mają zastosowanie w przypadku ataku na systemy firmy, takie jak dezaktywacja konta użytkownika, czy przeniesienie danych do innego systemu bezpiecznego.
- Procedury oceny: Opisanie sposobu określania poziomu ochrony firmy przed nielegalnymi działaniami, w tym: