Procedura przesyłania danych osobowych w komunikacji elektronicznej

1.  Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych, w szczególności poprzez hasło dostępu i szyf­rowanie.

2.  Korzystanie ze służbowej poczty elektronicznej jest możliwe z konta klienta pocztowego zainstalowanego na każdym stanowisku komputerowym, ze służbowych urządzeń mobilnych zweryfikowanych przez administratora systemu oraz przez dedykowany portal WWW.

3.  Dostęp do poczty jest możliwy po pomyślnym uwierzytelnieniu przy użyciu przynajmniej loginu i hasła użytkownika.

4.  Użytkownicy muszą traktować pocztę elektroniczną jako medium niegwarantujące każdorazowo pomyślnego przesłania korespondencji. Wynika to z wielu elementów zależnych od wykorzystywanych rozwiązań bezpieczeństwa organizacji oraz podmiotów, do których kierowana jest korespondencja. Wynikiem tego jest:

–   brak gwarancji dostarczenia do wskazanego odbiorcy,

–   brak gwarancji dostarczenia tylko do wskazanego odbiorcy,

–   brak gwarancji terminowości dostarczenia,

–   brak poufności (oprócz zabezpieczeń trzecich, np. szyfrowania załączników),

–   brak gwarancji integralności dostarczenia.

5.  W uzasadnionych przypadkach dopuszczalne jest kontrolowanie poczty przychodzącej, wychodzącej z okreś­lonego konta oraz wgląd do otrzymanych i wysłanych wiadomości.

6.  Poczta przychodząca i wychodząca sprawdzana jest przez oprogramowanie antywirusowe oraz antyspamowe. W przypadku wykrycia potencjalnie niebezpiecznego pliku wiadomość może być nieodwracalnie usunięta, o czym użytkownik otrzymuje stosowne powiadomienie. Dla wiadomości, które mogą być tylko potencjalnie spamem, dopisuje w tytule „SPAM” oraz przenosi do folderu „Wiadomości-śmieci” w celu dalszej weryfikacji przez użytkownika. Na podstawie wniosku użytkownika istnieje możliwość odblokowania wskazanego adresu lub domeny, by nie były dalej przenoszone do wspomnianego folderu.

7.  Zabrania się wykorzystywania służbowej poczty elektronicznej do:

–   przesyłania wiadomości o charakterze innym niż służbowy,

–   wysyłania masowej poczty kierowanej do losowych odbiorców, tzw. spamu,

–   przesyłania plików firmowych celem pobrania ich na prywatnym urządzeniu.

8.  Poza zastosowanymi zabezpieczeniami użytkownik powinien samodzielnie weryfikować przychodzące wiadomości pod kątem bezpieczeństwa. Użytkownik może zgłosić się do administratora systemu w celu weryfikacji, czy wiadomość pocztowa, którą otrzymał, może być niebezpieczna. Wiadomości uznane za niebezpieczne powinny zostać usunięte. W celu samodzielnej weryfikacji wiadomości należy zwracać uwagę na:

–   nadawcę wiadomości – nazwę wyświetlaną oraz faktyczny adres, z którego przyszła wiadomość;

–   listę załączników – każdy załącznik, m.in.: exe, zip, 7zip, PDF, pliki Word, Excel czy zdjęcia, może zawierać niebezpieczną zawartość; najczęściej występujące próby ataku polegają na podszywaniu się pod banki czy firmy kurierskie i zachęcanie do otwarcia pliku, który wygląda np. jak faktura;

–   tytuł i treść wiadomości – brak polskich znaków, błędy gramatyczne i interpunkcyjne, język;

–   instrukcję otwarcia załącznika – polecenia otwarcia załącznika, uruchomienia makr w załączonym pliku excel lub kliknięcia na zamieszczony w treści odsyłacz;

–   prośby o przesłanie danych osobowych czy swojego dostępu do konta imiennego w postaci loginu czy hasła;

–   wszelkie inne przesłanki sugerujące, że wiadomość może być próbą ataku lub wyłudzenia danych.