23.11.2012

Gazeta Finansowa, Jak są chronione dane przekazywane firmie zewnętrznej?

W outsourcingu zarządzania dokumentami i obsługi back-office bezpieczeństwo danych jest sprawą priorytetową. Dlaczego? Tego typu usługi najczęściej dotyczą takich obszarów działania firm jak obsługa klienta, sprzedaż, marketing, administracja czy HR.

W outsourcingu zarządzania dokumentami i obsługi back-office bezpieczeństwo danych jest sprawą priorytetową. Dlaczego? Tego typu usługi najczęściej dotyczą takich obszarów działania firm jak obsługa klienta, sprzedaż, marketing, administracja czy HR.

Wśród powierzanych zewnętrznemu partnerowi dokumentów są zarówno umowy, faktury oraz dokumentacja kadrowa. Dostawca zewnętrzny często więc ma dostęp do informacji poufnych czy też wymagających szczególnej ochrony, jak np. dane osobowe.
Z tego właśnie powodu bezpieczeństwo danych to najczęstsza obawa firm rozważających powierzenie swojej dokumentacji zewnętrznemu partnerowi. W badaniu zrealizowanym w 2010 roku na zlecenie ArchiDoc przez firmę Ipsos aż 47 proc. respondentów wskazało ten obszar jako wzbudzający ich największy niepokój. Dodatkowo trend ten ma charakter rosnący, dlatego przy nawiązywaniu współpracy z outsourcerem tak ważny jest wybór dostawcy, który zagwarantuje poziom ochrony danych zgodny z oczekiwaniami klienta.

Bez technologii ani rusz

Zapewnienie właściwego bezpieczeństwa przejmowanym od klienta dokumentom wymaga wielowymiarowego podejścia do tego tematu. Podstawowa kwestia to ochrona na poziomie fizycznym i logistycznym, czyli bezpieczny transport oraz odpowiednio przygotowany magazyn, zabezpieczony przed działaniem żywiołów, czynników atmosferycznych i dostępem nieuprawnionych osób. Obecnie, kiedy duża część dokumentów jest digitalizowana, dominującą rolę odgrywa jednak ochrona na poziomie IT. Najczęściej stosuje się zabezpieczenia sieci informatycznej przed atakami z zewnątrz oraz szyfrowanie połączeń (VPN). Wszelka komunikacja z klientem odbywać się powinna za pomocą dedykowanych łączy (point to point). Standardowo stosowana jest także separacja w obrębie sieci VLAN, co z jednej strony zmniejsza podatność na awarie, a z drugiej skutecznie zabezpiecza same dane.
Ważne jest również umiejętne zarządzanie poziomem uprawnień użytkowników. Podstawowa zasada to ich dywersyfikacja, w zależności od roli danego pracownika w procesie oraz ograniczenie dostępu do danych do koniecznego minimum.

Zabezpieczenie ciągłości dostępu do danych

Bardzo istotne jest zapewnienie klientowi ciągłego dostępu do dokumentów w przypadku wystąpienia awarii lub innych zdarzeń losowych. Zakres takiej ciągłości najczęściej określają plany awaryjne i zawarte w nich zapisy SLA. Dziś coraz częściej poziom dostępności danych wynosi około 99 proc., w niektórych przypadkach nawet do 99,9 proc., dzięki czemu praca klienta korzystającego z usługi firmy outsourcingowej przebiega bez żadnych zakłóceń.

Do zapewnienia ciągłości służy redundantna infrastruktura serwerowa, utrzymywana w oparciu o replikację macierzową, co umożliwia optymalizację przesyłania danych do środowisk zapasowych i tym samym zwiększa dostępność informacji w przypadku awarii. Bardzo istotne jest także regularne wykonywanie kopii bezpieczeństwa składowanych plików elektronicznych. Zarówno łącza teleinformatyczne, jak i same aplikacje powinny podlegać całodobowemu monitoringowi.

Procedury przede wszystkim

Nawet najbardziej zaawansowane rozwiązania technologiczne nie zapewnią bezpieczeństwa, jeśli nie zadbamy o czynnik ludzki, czyli zasady bezpiecznego postępowania z dokumentacją przez pracowników firmy outsourcingowej. Zespół ArchiDoc każdorazowo przechodzi odpowiednie szkolenia w zakresie znajomości wewnętrznych rozwiązań bezpieczeństwa oraz "Ochrony Informacji Niejawnych". Część z pracowników posiada certyfikaty "Poświadczenia Bezpieczeństwa" wydane przez Agencję Bezpieczeństwa Wewnętrznego. Dodatkowo każda z zatrudnionych osób podpisuje klauzulę poufności o ochronie tajemnicy służbowej.

Warto zwracać uwagę na to, czy partner biznesowy spełnia wszystkie wymogi bezpieczeństwa danych, określone polskimi normami prawnymi (w tym Ustawy o rachunkowości, Ochronie Danych Osobowych czy Rozporządzenia Ministra Kultury w sprawie zasad przechowywania dokumentacji osobowej i płacowej pracodawców). Ponadto zbiór przechowywanych danych powinien zostać zgłoszony Generalnego Inspektora Ochrony Danych Osobowych. Jeśli firma obsługuje dokumentację kadrową musi dodatkowo spełniać wymogi wpisu do rejestru przechowawców akt osobowych i płacowych.

Bezpieczeństwo szyte na miarę

Zakres stosowanych zabezpieczeń dokumentów i procesów back-office powinien być każdorazowo dopasowywany do potrzeb i wymagań usługobiorcy. Nie ma bowiem zbioru standardowych procedur i rozwiązań, które sprawdzą się w przypadku każdego klienta. Odbiorcy usług najczęściej mają z góry zdefiniowany zakres wymagań w zakresie bezpieczeństwa. Rolą firmy outsourcingowej jest dostosowanie infrastruktury i procedur do ich oczekiwań, a równocześnie pomoc w optymalizacji stosowanych rozwiązań, tak aby proces realizowany był w jak najbezpieczniejszy i jednocześnie najefektywniejszy sposób.

Piotr Kaliś, Manager Zespołu Infrastruktury IT, ArchiDoc SA

Udostępnij