Bernadeta Gronowska, Jacek Rembikowski, e-QSM Consulting Sp. z o.o. Poznań, dn. 19-11-2020

Kwestia rozliczalności stanowi jeden z istotniejszych elementów RODO ale nie tylko, gdyż stanowi też podstawę PBI.

System uprawnień bez jednoczesnego systemu rozliczeń nie może stanowić podstawy oceny zdarzenia. To trochę jak system kontroli dostępu bez systemu monitoringu - ten pierwszy wskazuje na możliwość, a drugi na faktyczne wykorzystanie uprawnień przez określoną osobę.

Zarówno skan wzoru podpisu, a już w szczególności skan 'wzbogacony' o skan dokumentu tożsamości stanowi bardzo istotny zbiór danych osobowych, których wyciek będzie rodzić wysokie ryzyko naruszenia praw i wolności osoby, której dane wypłyną.

Tak naprawdę, to sam już skan podpisu daje w obecnych czasach szerokie pole do popisu dla przestępców.

Samo nadanie komuś uprawnień do jakiegokolwiek modułu to informacja o tym, jakie otrzymał prawa, a dopiero informacja z logów powie nam, czy z tego prawa skorzystał.

Jednej z głównych zasad PBI mówi, że w przypadku stwierdzenia uzyskania nadmiarowych uprawnień w systemie, zobowiązani jesteśmy powiadomić o tym zdarzeniu odpowiednie służby, z jednoczesnym zakazem wykorzystania z tych uprawnień. A to oznacza, że jeżeli nie logujemy operacji z danego obszaru, to nie mamy możliwości stwierdzenia, że postąpiliśmy inaczej, czyli niezgodnie z ową regułą, czyli nie mamy dowodu na wystąpienie incydentu, polegającego na niewłaściwym wykorzystaniu uzyskanych mniej lub bardziej przypadkowo uprawnień.

Jeżeli połączyć dwa elementy: konieczność potwierdzenia wykonania czynności w danym obszarze oraz rangę aktywa jakim jest skan podpisu, to już na tym etapie powinna być możliwość zweryfikowania kto i kiedy uzyskał dostęp do skanu i przede wszystkim, kto i kiedy dokonał wydruku.. Ale w przypadku chęci rozszerzenia skanu wzoru podpisu o skan dokumentu tożsamości funkcjonalność ta musi być bezwzględnie zagwarantowana.