E-teczki, jako dokumenty zawierające szereg danych osobowych, w tym nierzadko danych wrażliwych, podlegają szczególnej ochronie przewidzianej nie tylko w ustawodawstwie krajowym, ale i przepisach unijnych (RODO). Pracodawcy, którzy jeszcze do niedawna, w związku z nadrzędnością akt osobowych w formie papierowej, byli przyzwyczajeni do innych, tradycyjnych środków bezpieczeństwa, w obliczu pojawienia się szybko zyskującej na popularności dokumentacji cyfrowej, zostali zmuszeni do poszukiwania nowych rozwiązań i zwracania uwagi na zgoła odmienne kwestie. Jednak w przypadku, gdy obsługą e-teczek zajmują się firmy outsourcingowe, takie jak payroll360, to one stają się w pełni odpowiedzialne za zagwarantowanie bezpieczeństwa danych i ochronę informacji pracowniczych, ściągając w ten sposób spory ciężar z barków pracodawców.

Poniżej przedstawiamy więc praktyczne wskazówki i rozwiązania, jakie firmy outsourcingowe mogą zastosować w celu zwiększenia bezpieczeństwa danych w e-teczkach. Wszystkie z poniższych zabezpieczeń oferujemy także naszym klientom, którzy korzystają z usług outsourcingu kadr i płac payroll360.

Ustalenie polityki dostępu i uprawnień użytkowników

Dokumentacja pracownicza w postaci elektronicznej powinna być prowadzona i przechowywana w systemie teleinformatycznym, który zapewnia w szczególności jej zabezpieczenie przed nieuprawnionym dostępem. Stały dostęp do e-teczek mogą uzyskać tylko osoby do tego upoważnione, przy jednoczesnym umożliwieniu szybkiej identyfikacji takich użytkowników oraz rejestrowaniu dokonywanych przez nich zmian w dokumentacji.

Mówiąc o polityce dostępu i uprawnieniach użytkowników, możemy wyodrębnić tu dwa podstawowe modele kontroli:

• kontrola dostępu oparta na rolach (RBAC) oraz
• kontrola dostępu oparta na zasobach (ABAC).

Kontrola RBAC (Role-Based Access Control) to model kontroli dostępu do zasobów w systemach informatycznych. W modelu RBAC uprawnienia są przydzielane na podstawie ról, a nie indywidualnych użytkowników. Każdej roli przypisuje się następnie zestaw uprawnień do wykonania określonych działań. Jedną z przykładowych ról wyodrębnionych w tym modelu może być m.in. „Kierownik” z uprawnieniami w postaci dostępu do wszystkich dokumentów, ich edycji i zatwierdzania, a także przydzielania odpowiednich kompetencji pozostałym użytkownikom systemu. Główną zaletą modelu RBAC jest łatwość zarządzania uprawnieniami dla większej liczby osób, ponieważ można je przypisywać i kontrolować na poziomie ról, a nie indywidualnych użytkowników.

Kontrola ABAC (Attribute-Based Access Control) jest natomiast modelem kontroli dostępu do zasobów w systemach informatycznych opartym nie na rolach, a atrybutach, odnoszących się do użytkowników, zasobów lub innych warunków kontekstowych. Takim atrybutem może być m.in. rola, poziom uprawnień, czas lub miejsce dostępu. W odróżnieniu od RBAC kontrola ABAC cechuje się większą elastycznością i szczegółowością, ponieważ umożliwia konfigurację wielu różnych atrybutów oraz zastosowanie bardziej złożonych reguł. Pozwala m.in. na to, aby pracownicy działu HR mogli korzystać z dostępu do e-teczek pracowników tylko w godzinach pracy i tylko z siedziby firmy.

Regularne tworzenie kopii zapasowych i planowanie awaryjne

Regularne tworzenie kopii zapasowej, nazywane także backup’em, to jeden z podstawowych, najważniejszych nawyków, który powinna wyrobić w sobie każda osoba pracująca na komputerze i przechowująca tam lub na serwerach efekty swojej pracy (pliki, dokumenty, zdjęcia etc.). Nie inaczej jest w przypadku e-teczek. One również podlegają obowiązkowemu backup’owi (backup to jednak nie to samo co archiwizacja e-teczek). W payroll360 posiadamy w związku z tym specjalną politykę tworzenia kopii zapasowych. Dzięki regularnej kopii zapasowej dane przechowywane w postaci elektronicznej są zabezpieczone na wypadek ich przypadkowego usunięcia (zniszczenia), nagłej usterki sprzętu, czy ataku hakerskiego.

Przy tego rodzaju działaniach również należy pamiętać o kwestiach bezpieczeństwa, takich jak wykonywanie kilku kopii oraz przechowywanie ich w różnych miejscach. Zdecydowanie odradza się, aby był to ten sam komputer lub dysk twardy. Obecnie za najbezpieczniejsze lokalizacje uznaje się tak zwane lokalizacje off-site lub chmurę.

Mówiąc o backup’ie, nie wolno zapominać ponadto, że na wypadek zdarzeń nagłych konieczne jest w dodatku planowanie awaryjne oraz określenie procedur odtwarzania danych w przypadku naruszenia bezpieczeństwa lub awarii systemów.

Szczegółowa analiza ryzyka i audyty bezpieczeństwa

Na kolejne z działań niezbędnych w zakresie bezpieczeństwa danych pracowniczych składają się:

• Regularnie przeprowadzane audyty bezpieczeństwa – przeprowadza się je w celu identyfikacji potencjalnych zagrożeń, zarówno zewnętrznych, jak i wewnętrznych, a także ewentualnych uchybień i nieprawidłowości. Audytom powinno poddawać się nawet najlepsze, najnowocześniejsze i certyfikowane systemy wykorzystywane w firmie do przechowywania i zarządzania e-teczkami.
• Zgodne z międzynarodowymi standardami (w szczególności normą ISO 27001) strategie zarządzania ryzykiem – opracowanie określonych procedur postępowania z ryzykiem, z uwzględnieniem m.in. indywidualnych obowiązków, ról, akceptowalnego poziomu ryzyka, klasyfikacji ryzyka.
• Cykliczne szkolenia dla pracowników oraz budowanie ich świadomości w zakresie bezpieczeństwa informacji – o bezpieczeństwo informacji w firmie powinni dbać nie tylko specjaliści, ale i każdy z pracowników mający na co dzień dostęp do określonej kategorii danych. Z tego względu tak ważne jest, aby zapewnić im odpowiednią edukację z tego zakresu. W związku z tym, że wraz z rozwojem technologii pojawia się niestety również coraz to więcej różnego rodzaju cyberzagrożeń, nie można poprzestać tylko na jednym szkoleniu. Wiedzę tę należy aktualizować. Dobrze przeszkolony i świadomy czyhających niebezpieczeństw i pułapek personel znacząco podnosi standardy bezpieczeństwa w przedsiębiorstwie.

Gwarancje ISO w payroll360

Współpraca z profesjonalistami ds. bezpieczeństwa danych

Firmy wchodzące w posiadanie setek, a nawet tysięcy danych osobowych i wrażliwych swoich pracowników powinny obowiązkowo współpracować z ekspertami ds. bezpieczeństwa danych, czy to w postaci wewnętrznego zatrudnienia takich specjalistów, czy też usługi outsourcingu. W payroll360 mamy stałego opiekuna ds. ochrony danych osobowych, procedur RODO i ISO. Dzięki temu możemy regularnie odbywać z nim niezbędne konsultacje, a także błyskawicznie reagować na wypadek ewentualnych naruszeń lub nieprawidłowości, otrzymując jego wsparcie w każdym momencie.

Bezpieczne zarządzanie e-teczkami w ramach usługi outsourcingu kadr i płac payroll360

Prowadzenie e-teczek mieści się w dodatkowych usługach outsourcingu kadr i płac payroll360. Wchodząc w posiadanie licznych danych osobowych, dokładamy dlatego najwyższych starań, aby zagwarantować naszym klientom ich maksymalny poziom bezpieczeństwa. 

W codziennych działaniach koncentrujemy się na trzech atrybutach ochrony: poufności, integralności i dostępności. Wdrożyliśmy w tym celu normę ISO 27001 oraz indywidualnie opracowaną politykę dostępu do danych i strategię zarządzania ryzykiem. W ramach działań mających na celu zwiększenie bezpieczeństwa e-teczek stale współpracujemy także z opiekunem ds. ochrony danych osobowych, dbamy o cykliczne audyty bezpieczeństwa, szkolenia naszych pracowników oraz wykonywanie niezbędnych kopii zapasowych wszystkich akt elektronicznych.

W praktyce oznacza to, że jako profesjonaliści przejmujemy na siebie wszelkie obowiązki związane z bezpieczeństwem e-teczek i odpowiedzialność za powierzone nam zadania. Możemy tym samym zagwarantować naszym klientom najwyższy standard obsługi i uwolnić ich od ciążących na nich powinności. Jeśli Państwo również chcą dołączyć do tego grona i przestać martwić się o bezpieczeństwo danych osobowych swoich pracowników, zapraszamy do kontaktu!

Poznaj usługi digitalizacji akt osobowych pracowników w payroll360