Категории

Публична
секция
 
     

Съвместимост на BORA Business Suite с GDPR

май 18 2018

BORA Business Suite  версия 8.1 е развита за съвместимост с изискванията на  РЕГЛАМЕНТ (ЕС) 2016/679 на ЕВРОПЕЙСКИЯ ПАРЛАМЕНТ И НА СЪВЕТА от 27 април 2016 година, относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни (GDPR).

Привеждането в действие на новите функционалности е представена като:

 

Тема 

Инструкция
Експлоатация

 

Основни участници в GDPR, като роли в BORA BS 

 

BORA BS, като разгърната ERP Система, отразява изискванията на GDPR, чрез роли на потребители, както следва:

Предмет на данните      

Лични данни на физически лица се съхраняват в три тематични  области:

  • Клиенти и доставчици като физически /юридически лица
  • Лица за контакт на юридически лица
  • Служители

Лични данни

Събираните лични данни в BORA BS  са изискуемите проблемно ориентирани данни за целите на търговските операции или обслужване на Персонала.     

 

Администратор на лични данни

За изпълнение на вътрешните контролни функции  на Администратор на лични данни е достатъчно да има достъп до Администрация/Регистър на достъпа/Събития .

Инструкция: Направете избраното от вас лице(a)  с роля „Администратор на лични данни“,  член на група :(9)-„GDPR Надзорен орган“ за вътрешен одит.

Администрация/Потребители/Права по групи- GDPR Надзорен орган

Инструкция: Настройте имейл на група или лице, за  получаване на съобщения за събития, свързани с промяна на обстоятелствата по права за достъп, DSR статуса на лицата, събития по Анонимизирането и Псевдонимизирането и пр.

Администрация/Глобална настройка/Администрация-”014-02 Група за изпращане на съобщение за събития в Event Log-a (GrpMailTraceLog)“

 

Служител по защита на данни

Създадена е нова функция: (DPO)-„Служител по защита на данни“ , преди всичко  в персоналния профил на потребителите (3)- „Въвеждане на контрагенти“ за “Задаване на права за поддържане лични данни съгласно GDPR”

Инструкция: Разрешете в профила на  избраните от вас лица функция за (DPO)-„Служител по защита на данни“

Администрация/Потребители/Функции-Служител по защита на данни

Надзорен орган

Създадена е нова Група потребители:(9)-„GDPR Надзорен орган „ за предоставяне на достъп, с цел  одит от „Независим публичен орган“,  с правомощията на „Национален Орган за защита на данните, съгласно настоящата директива на ЕС за защита на данните“

 

Инструкция: Създайте потребител за Надзорен орган и го направете член на група : (9)-„GDPR Надзорен орган“ за външен одит.

Администрация/Потребители/ Права по групи- GDPR Надзорен орган

Технически мерки за защита на личните данни в BORA BS

BORA BS  покрива GDPR препоръките като технически средства, като осигурява няколко слоя за защита на личните данни, когато са в покой или в обмен с потребителите.

Шифроване

BORA BS осигурява шифроване (хеширане и криптиране)  на ниво:

  • Мрежова структура -  чрез защитни стени и криптиране на данните по обмена на данни между клиента и базата данни.
  • База данни – Критични данни за предотвратяване на неоторизиран достъп на потребители до функционалностите на BORA BS

     

    BORA BS съхранява лични данни за осъществяване на деловата активност, основно в два пула: Потребители(Users), Контрагенти(Contragents) и Персони(Persons)  и за обслужване на служителите в пулове: Кадри (Employee) и Заплати (Salary), Ведомости(Payroll)

Анонимизация и псевдонимизация

Анонимизирането и Псевдонимизирането в BORA BS са реализирани върху копия на базата данни, за целите на разработката, теста и поддръжката на Системата.

Всяка експлоатационна база  данни има копие, съдържащо в наименованието _DEMO  за обучение и тестови цели на инсталацията на  Потребителя, която е пълнофункционална за ограничен брой потребители.

DEMO базата се анонимизира или псевдонимизира,в случаите, при които е необходимо  да бъде пренесена в развойната среда на фирмата производител на продукта. БОРА Солюшънс  не поддържа копия на експлоатационни бази данни на Потребители.

Инструкция: Направете копие на BORA BS … Production DB, съгласно действащите инструкции като BORA BS … DEMO DB. Изпълнете в … DEMO DB анонимизиране или псевдонимизиране.

 

Администрация/Регистър на достъпа\ Анонимизация и псевдонимизация

Привилегирован контрол на достъпа на потребители

Потребителите на BORA BS за достъп до лични данни са в групи:

  • Активни - създаване, актуализация на лични данни
  • Пасивни – преглед на данните за обезпечаване на търговски процеси или обслужване на лицето.

Активните потребители обикновено са свързани с търговски или финансови процеси, касаещи лицето и създават записи.

Друга група потребители е свързана с уреждане на трудово-правните отношения с персонала.

Политиката в BORS BS за контрол на достъпа до функционалностите на системата е сериозно организирана за предотвратяване на нерегламентиран достъп  до функционалности, и от там достъп до данни.

  • Достъпът  до системата е защитен с парола, която е криптирана и управляема по сложност.  Свързването на потребителското име (User Id) с конкретен служител и всички промени в потребителският профил, като блокиране на достъпа, определяне на времеви интервал за работа и пр. се записват в „Регистър на събитията“
  • Функционалностите са тематично подбрани в „Групи потребители“ и се ползват ограничено във вид на лицензии, които се  контролират в  криптирана таблица.
  • Приложенията – меню системата, за обслужване на дадена група потребители  на BORA BS са организирани в контролирани криптирани таблици.
  • Нарушаването на целостта на средата за контрол на достъпа, води до блокиране на системата.

Прецизно контролирано управление на достъпа

„Служителят по защита на данни“ в BORA BS,  единствен има достъп да управлява статуса на основните записи по писмени  инструкции от Администратор на лични данни като: 

  • Редакция на лични данни
  • Скриване  на лични данни
  • Ограничаване на обработката
  • Изтриване  на лични данни

Номенклатури/Контрагенти-Лични данни

Номенклатури/Лица-Лични данни

Минимизиране на данните

Личните данни,въвеждани и съхранявани  в BORA BS касаят само изискуемите от националното законодателство и разпоредби:

  • Данни за обслужване на търговските и финансови потоци от информация
  • Данни за  обслужване на трудовите правоотношения със служителите

Aдминистрация/Регистър на достъпа 

Администрация/Продуктивност на потребителите

Администрация/Регистър на събитията

Мониторинг за откриване на нарушения

Експлоатацията на BORA BS е свързана с непрекъснато създаване и актуализация на записи в базата данни, трансфер на данни от и към външни среди (В2В).

Мониторинг и навременно предупреждение

За целите на мониторинг на процесите и контрол на личите данни, всеки запис е авторизиран със създател и време, както и последната актуализация. За данни, определени като критични се извършват записи в „История на събитията“ и предупреждение към Администратор на лични данни  и касещото го лице за разкриване на неоторизиран достъп.

 

На следващо ниво- трасира се достъпването до дадена функционалност, за всеки потребител, с анализ на производителността.

Данни от одита

BORA BS предоставя достъп на Одитор за преглед на „Регистър за достъп“ и „Регистър на събития“ за разкриване на нарушения

Администрация/Регистър на достъпа

Администрация/Продуктивност на потребителите

Администрация/Регистър на събитията

Електронна поща

Права на субекта на данни (DSR)

GDPR позволява на субектите на данни да упражняват различни права (DSR), спрямо личните им данни и могат да

изискват по-добра видимост на данните за клиентите в системите, така че всички данни да бъдат намерени и премахнати при поискване.

Промяна на личните данни на субекта на данните

BORA BS поддържа основните лични данни, като Контрагенти-Физически лица; Лица за контакт с общо предназначение по реализирането на стопанските операции.  

Инструкция: 1.Ограничете  потребителите на BORA BS като членове на група : (3)-„Въвеждане на контрагенти“ само до отговорните за стопанските операции, свързани с поддържане на лични данни за физически лица-клиенти или  доставчици и лица.

                                2. Предоставете права за група (7)-„Въвеждане на служители“  само на потребители, свързани с обслужване на Човешките ресурси.

Администрация/Номенклатури/Контрагенти

Администрация/ Номенклатури/Лица

BORA HR поддържа „Картотеката на Служителите“, където ролите са прецизно дефинирани по поддържане на кадрова информация, заплати и ведомости. Средата е силно дефинируема, не само по достъп до функционалности, така също и  достъп до област от данни – „Права по Обекти“

 

Администрация/Потребители/ Права по Групи потребители:

(31)-Планиране на труда; 

(32)-Кадри;

(33)-ТРЗ;

(34)-Счетоводство Заплати;

(35)-Отчетник по труда;

(36)-Подбор на персонала и Обучение

Администрация/Потребители/ Права по Обекти

Маркиране на записи, като блокирани за преглед и експорт

Потребителите на BORA BS, членове на група : (3)-„Въвеждане на контрагенти“  с функция DPO – “Служител по защита на данни” има достъп (DSR)- Състояние на записа на Лицата.

Инструкция: (DPO) Служителят по защита на данни обработва исканията на Лицата, като поставя записа за личните данни в  състояния:

 

(1)-Редакция на лични данни – нормално поставено

(2)-Скриване  на лични данни

(3)-Ограничаване на обработката

(9)-Изтриване на лични данни

Администрация/Номенклатури/Контрагенти

Администрация/ Номенклатури/Лица

Изнасяне на лични данни на субекта на данните

BORA BS  предоставя  възможност за експортиране в Ексел и по този начин достъп до лични данни за преглед,  редакция и импорт

Администрация/Номенклатури/Контрагенти~Среда-Експорт-Ексел

Администрация/ Номенклатури/Лица~Среда-Експорт-Ексел

Предоставя известие за обработката на дейностите на субектите на данни 

Действията на Служителя по защита на данни (DPO) по промяна на записа - Състоянието на записа на Лицата (DSR), се записват в  „Регистъра на събитията“ , с тип „GDPR  Мониторинг и се изпращат като съобщение по електронна поща до двама получатели:

 

1. Група (лице) за изпращане на съобщение за трасиране на GDPR събития

2. Лицето, обект на мониторинга: Лице- субекта на данни или Потребител на BORA BS