Wdrożenie RODO – jakie rozwiązania IT wybrać?

Dodane: 02/03/2022 By:Izabela Kożuch

Od 25 maja 2018, kiedy to weszło w życie RODO (tj. Rozporządzenie o Ochronie Danych Osobowych) minęło już kilka lat. Wszyscy przyzwyczailiśmy się do nowych klauzul, które pojawiają się przy okazji podawania naszych danych osobowych (np. przy zakupach w Internecie, poszukiwaniu pracy, wizyty u lekarza czy po prostu akceptacji plików cookie). Dla osób prywatnych regulacje te są bardzo dobre. W skuteczny sposób, zarówno w naszym kraju, tak jak i w całej Unii Europejskiej, pozwalają na wyegzekwowanie podstawowych praw związanych z danymi osobowymi (np. prawa do zapomnienia). Nie są one oczywiście uniwersalnym panaceum na wszelkie nadużycia związane z naszą prywatnością. Nie dają nam też uniwersalnej wymówki w każdej sytuacji, kiedy chcielibyśmy uniknąć podania naszych danych osobowych. Niemniej jednak wyznaczają one dobre standardy, do których organizacje przetwarzające tego typu dane muszą się stosować. Jest to szczególnie ważne w kontekście ostatnich pandemicznych lat, w których cyfryzacja naszego życia gwałtownie się zwiększyła. Przyjrzyjmy się więc rozwiązaniom IT, których optymalny dobór ułatwi i usprawni wdrożenie RODO w organizacji.

RODO – w to trzeba zainwestować

Naruszenia RODO skutkowały nałożeniem na organizacje realnych kar finansowych. Na publicznie dostępnej stronie Urzędu Ochrony Danych Osobowych, organizacji, która stoi na straży przestrzegania tych regulacji, można znaleźć roczne sprawozdania, w których znajdziemy wykaz nałożonych kar. Nierzadko przekraczają one miliony złotych, a spektrum dotkniętych firm obejmuje zarówno ogromne organizacje, jak i np. szkoły czy przedszkola. Przykładowe incydenty wycieku danych osobowych mogą być skutkiem zarówno ataków, jak i przypadkowych zaniedbań, a liczba zgłoszeń idzie w tysiące roczne. Nietrudno znaleźć też przykłady na świecie, gdzie największe naruszenia i kary w wysokości setek milionów euro trafiły na czołówki wiadomości. Inwestycje we wdrożenie RODO – w udoskonalanie i rozwój systemów bezpieczeństwa teleinformatycznego, ograniczających takie ryzyko – są niezbędne i uzasadnione.

Wdrożenie RODO – pierwsze kroki

Można założyć, że wiele przedsiębiorstw dostosowało się już do podstawowych zapisów przytaczanego rozporządzenia, w tym konieczności zachowania kontroli nad miejscami gromadzenia danych, przygotowania zasad informowania o incydentach naruszeniach bezpieczeństwa, zagwarantowania określonego okresu archiwizowania danych, ich zmieniania i usuwania (także z kopii zapasowych oraz z danych nieustrukturyzowanych) czy procesów związanych z klasyfikacją danych.

Najważniejszy jest efekt końcowy wdrażanych rozwiązań

Rozporządzenie zostało przygotowane w taki sposób, aby nie promować konkretnych rozwiązań czy producentów. Ma to spowodować, że wybrana technologia nie zestarzeje się bardzo szybko w środowisku, w którym spektrum zagrożeń, a co za tym idzie – środków do ochrony – ciągle się zmienia. Neutralność pod względem technicznym sprawia, że nie znajdziemy w zapisach jasnych wytycznych jakie rozwiązanie należy zakupić i wdrożyć. Ważny jest efekt końcowy, cytując motyw 39:

(…) Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Spełnianie wymogów RODO to proces

Tak jak budowanie systemów bezpieczeństwa, jak i polityk dla nich, jest procesem, który nigdy się nie kończy, tak samo wdrożenie RODO i spełnianie jego wymogów musi być ciągłym procesem, z właściwym monitorowaniem, testowaniem i udoskonalaniem. Warto zastanowić się więc, co w tym kontekście dla konkretnej organizacji oznacza sformułowanie „odpowiednie bezpieczeństwo”.

Najważniejszym wyzwaniem dla firm stanowi bezpieczne przechowywanie danych osobowych. W dzisiejszych infrastrukturach, często w różnych stopniu mniej lub bardziej hybrydowych – składających się z lokalnych zasobów, rozwiązań chmurowych różnych dostawców czy komputerów pracowników zdalnych – nie jest zadaniem łatwym. Stabilne i wydajne serwery połączone z systemami gromadzenia, przesyłania i udostępniania danych, a także ich odtworzenia w przypadku awarii są podstawowymi rozwiązaniami zabezpieczającymi posiadane dane lokalnie. Z punktu widzenia przedsiębiorstwa kluczowa jest wiedza, jakie dane osobowe są w podmiocie wytwarzane oraz gdzie są one przechowywane. Nowoczesne rozwiązania pozwalają na lokalizowanie, przeszukiwanie i monitorowanie danych osobowych zlokalizowanych w zasobach serwerowych oraz pamięci masowej. Zaawansowane raportowanie i wizualizacja pozwalają firmom zrozumieć, jakie dane przechowują i w jaki sposób są one wykorzystywane.

Wdrożenie RODO a cyberbezpieczeństwo – rozwiązania IT warte uwagi

Podstawą bezpieczeństwa sieciowego są rozwiązania klasy NGFW (Next Generation Firewall) / UTM (Unified Threat Management). W zależności od infrastruktury mogą to być urządzenia sprzętowe, maszyny wirtualne lokalne lub w chmurach. Trudno udowodnić, że technologicznie stare urządzenia, które nie mają aktualnych subskrypcji lub posiadają polityki ograniczone z powodu wydajności są skuteczne.

Warto zwrócić szczególną uwagę na problem deszyfracji SSL, element bez którego ogromna część komunikacji pozostaje praktycznie bez kontroli. W zależności od szacowanego poziomu ryzyka rozwiązania NGFW/UTM dobrze jest uzupełnić o dedykowane systemy proxy dla ruchu http i https. Ochronę przed nieznanymi zagrożeniami może znacząco podnieść zastosowanie systemów typu sandbox/ATP (Advanced Threat Protection), razem z deszyfracją ruchu SSL). Kontrolę dostępu do sieci w warstwie fizycznej mogą zapewnić produkty typu Network Access Control (NAC). Trzeba też zadbać o kompleksową kontrolę dostępu ruchu – nie tylko z zewnątrz organizacji (North-South), ale też wewnątrz, między użytkownikami i aplikacjami komunikującymi się wzajemnie (East-West).

Skuteczna ochrona powinna być uzupełniona o cykliczny audyt polityk bezpieczeństwa zgodnie z najlepszymi praktykami oraz analizę logów. Dzięki temu zyskujemy ochronę przy równoczesnym wykrywaniu ewentualnych incydentów związanych z bezpieczeństwem.

Kolejnym ważnym elementem jest ochrona stacji końcowych – szczególnie tych, które mają dostęp do wrażliwych danych. Współczesne rozwiązania łączą w sobie moduły, które nie tylko chronią przed znanymi i nieznanymi atakami, ale także zapewniają zgodność z regulacjami, wykrywają potencjalne anomalie i wycieki danych. Warto pamiętać, że podobne środki ochrony można znaleźć także dla serwerów, również w środowiskach wirtualnych, nie tylko dla stacji końcowych z typowo klienckimi systemami operacyjnymi.

Przetwarzanie danych osobowych jest nieodłącznie związane z aplikacjami, gdzie interfejsem użytkownika jest zazwyczaj przeglądarka internetowa. Niezależnie od tego, czy są one dostępne tylko wewnętrznie czy również dla klientów, wymagają szczególnej ochrony. Ataki na aplikacje w ostatnim czasie są najczęstszym wektorem ataku przy znanych opinii publicznej wyciekach danych osobowych. Zastosowanie rozwiązań Web Application Firewall (WAF) w znaczący sposób podnosi bezpieczeństwo aplikacji, równocześnie zapewniając ochronę przed atakami typu DDoS (Distributed Denial od Service).

Kolejnym istotnym obszarem bezpieczeństwa jest zapewnienie odpowiedniego poziomu uwierzytelniania. Często statyczne hasło nie jest już skutecznym zabezpieczeniem, szczególnie dla roli administracyjnych (dla systemów i dla danych) i zdalnego dostępu. Odpowiednim wyborem w tym przypadku są produkty zapewniające uwierzytelnianie i autoryzację w oparciu o hasła dynamiczne (tokeny) lub certyfikaty. Zdalny dostęp pracowników, tak popularny w ostatnich pandemicznych latach musi być zabezpieczany przez rozwiązania klasy SASE (Secure Access Service Edge) i ZTNA (Zero Trust Network Access).

Niezależnie od tego czy mówimy o stacjach końcowych (szczególnie laptopach) czy serwerach, warto rozważyć szyfrowanie dysków i przenośnych mediów. Może to uchronić przed wyciekiem danych w przypadku fizycznej kradzieży sprzętu. Osobnym tematem jest też szyfrowanie i pseudonimizacja danych (wymieniona z nazwy w rozporządzeniu, jednak niezapewniająca automatycznie zgodności z RODO), realizowana już na poziomie aplikacji. Z drugiej strony systemy typu Data Loss Prevention (DLP) mogą kontrolować różne kanały komunikacyjne i przeciwdziałać wyciekom wrażliwych informacji, zarówno na poziomie sieciowym jak i urządzeń końcowych.

Kluczowe technologie i produkty umożliwiające skuteczne wdrożenie RODO

Poniżej zebraliśmy zestaw przykładowych technologii i konkretnych produktów IT, które wg naszego doświadczenia zdecydowanie warto wziąć pod uwagę, planując wdrożenie RODO:

Kategoria rozwiązań	PRZYKŁADOWE Produkty	KLUCZOWE FUNKCJE I Korzyści z zastosowania
Ochrona stacji roboczych	FortiClient FortiEDR Symantec Endpoint Protection CrowdStrike	zapewnienie precyzyjnej ochrony pojedynczym stacjom zabezpieczenie przed znanymi i nieznanymi atakami wykrywanie incydentów bezpieczeństwa wymuszenie zgodności z regulacjami
UTM/NGFW/Web Proxy/Sandbox/ATP	FortiGate FortiSandboxWatchguard Guardicore Symantec/Broadcom Proofpoint	określenie zasad kontroli dostępu do zasobów dla aplikacji i użytkowników segmentacja/mikrosegmentacja wykrywanie aktywności złośliwego oprogramowania, którego działanie może doprowadzić do wycieku informacji ochrona przed znanymi i nieznanymi atakami wykrywanie incydentów bezpieczeństwa zdalny dostęp SASE/ZTNA
WAF	F5 Citrix Radware FortiWeb	zabezpieczenie aplikacji webowych przed włamaniami ochrona przed nieautoryzowanym dostępem, atakami typu DDoS oraz przed wyciekiem danych wrażliwych ochrona przed botami wykrywanie incydentów bezpieczeństwa związanych z aplikacjami
DLP	Symantec FortiGate (na poziomie sieciowym) FortiMail (na poziomie maila) Proofpoint (na poziomie maila)	klasyfikacja i kontrola przepływu treści (w szczególności danych osobowych) w różnych kanałach komunikacji zabezpieczenie przed wyciekiem danych w różnych miejscach infrastruktury organizacji
Szyfrowanie stacji roboczych/nośników	Symantec Endpoint Encryption	zabezpieczenie systemów i danych w przypadku kradzieży lub zgubienia komputera (np. laptopa), nośników danych (dyski twarde, pamięci przenośne) zabezpieczenie przed wyciekiem danych w przypadku złomowania czy serwisowania pamięci masowych
Ochrona poczty	FortiMail Proofpoint Email Security	zabezpieczenie przed wektorami ataków w mailach (np. phising) skutkujących wyciekiem danych antyspam ochrona usług on site i hostowanych (np. Office 365)
Szyfrowanie maili	Symantec (PGP) FortiMail Proofpoint Email Security	ochrona przed przypadkowym wyciekiem danych wskutek podsłuchiwania ruchu pocztowego, który może zawierać wrażliwe dane weryfikacja nadawcy w celu zabezpieczenia przed incydentami bezpieczeństwa (przy użyciu maila jako wektora ataku)
Korelacja zdarzeń, przechowywanie logów, raportowanie	FortiAnalyzer FortiSiem Symantec/Broadcom (Security Analytics, compliance)ArcSight	możliwość wychwytywania ze wszystkich systemów bezpieczeństwa istotnych, skorelowanych zdarzeń, incydentów bezpieczeństwa, niebezpiecznych trendów oraz wycieków informacji niezbędny element strategii zabezpieczenia zasobów organizacji
Audyt, zgodność z regulacjami (compliance)	Infoblox (audyt zasobów sieciowych) Tenable/Nessus (analiza podatności stacji roboczych i serwerów) FortiWeb (analiza aplikacji webowych) MicroFocus Fortify (analiza kodu aplikacji)	analiza konfiguracji systemów zabezpieczeń oraz systemów operacyjnych analiza aplikacji znajdujących się na serwerach i stacjach klienckich w oparciu o wiedzę ekspercką, raporty oraz dobre praktyki, pomagające osiągnąć i utrzymać zgodność z branżowymi regulacjami i wymaganym poziomem bezpieczeństwa
Kontrola dostępu użytkowników	F5 Citrix Radware Entrust FortiAuthenticator/FortiToken Symantec/Broadcom WatchGuard Wallix	uwierzytelnianie zarówno administratorów, jak i klientów w oparciu o silniejsze technologie niż hasło (np. hasła jednorazowe, certyfikaty) obsługa bezpiecznych procedur zmiany, przypomnienia hasła oraz zakładania kont
NAC – network access control	Extreme NAC Aruba ClearPass by HPE FortiNAC	zabezpieczenie zasobów sieciowych przed obcymi urządzeniami mogącymi próbować dołączyć się do sieci przedsiębiorstwa (goście, Wi-Fi, dostępność kabli) kontrola przed uzyskaniem dostępu do fizycznej sieci w oparciu o bardziej zaawansowane mechanizmy niż hasło statyczne- wymuszenie odpowiedniego poziomu zabezpieczeń stacji przed dostępem do konkretnych danych
Deszyfracja SSL	Symantec/Broadcom F5 Citrix Radware FortiGate Gigamon	kontrolowany wgląd w szyfrowaną transmisję pomiędzy stacjami i serwerami (chmurą), w celu wykrywania ataków, zagrożeń i wycieków informacji utrzymywanie zadanego poziomu szyfrowania
Audyt ruchu do chmury	Symantec/Broadcom (CASB) FortiCASB	kontrola aplikacji chmurowych, bardziej zaawansowana niż na poziomie URL, uwzględniająca wiele atrybutów (np. zgodność z regulacjami)
Maskowanie, anonimizacja danych, antifraud	HPE SecureData F5 WebSafe	zaawansowane technologie oddzielające dane od informacji o użytkowniku zabezpieczenie przed kradzieżą danych już od strony aplikacji
Klasyfikacja	Symantec/Broadcom	wspieranie audytów dotyczących przechowywania określonych rodzajów danych zabezpieczenie przed nieuprawnionym dostępem do wrażliwych informacji
Zbieranie ruchu do analizy/deszyfracji	Gigamon	wygodne i elastyczne kopiowanie wybranych rodzajów ruchu do dalszej analizy, bez naruszania struktury sieci (w przypadku awarii umożliwia dalszą pracę, również w mediach światłowodowych)
Backup i archiwizacja	BackBox Commvault Veritas (NetBackup, BackupExec, Enterprise Vault) Arcserve UDP Veeam Backup and Replication SEP Seazam vProtect	tworzenie kopii zapasowych i awaryjnego odzyskiwania danych w przypadku ich utraty przenoszenie „starych” danych, ważnych z punktu widzenia polityki firmy i regulacji prawnych
Lokalizacja danych	Veritas Information Map	dostarczanie szczegółowej informacji o posiadanych danych, wgląd w ich strukturę oraz lokalizację w zasobach serwerowych i pamięci masowej
Przeszukiwanie danych	Veritas eDiscovery Platform Commvault Activate	przeszukiwanie zarchiwizowanych danych pod kątem ich zgodności z polityką bezpieczeństwa
Monitorowanie danych	Veritas Data Insight Veritas Enterprise Commvault Activate	kopiowanie, przenoszenie i usuwanie danych z różnych źródeł zarządzanie przyrostem ilości danych wykrywanie anomalii związanych z dostępem do określonego rodzaju danych podstawowe narzędzie w zakresie przystosowania do rozporządzenia RODO, które pozwala na zredukowanie ryzyka i zachowanie zgodności z aktem prawnym zaawansowane raportowanie i wizualizacja umożliwia firmom zrozumieć, jakie dane przechowują i w jaki sposób są one wykorzystywane
Bezpieczne składowanie danych	Systemy dyskowe: HPE, Fujitsu, Huawei, Quantum Oprogramowanie: Veritas Netbackup, Veritas Infoscale, Veritas Resliency Platform, Veritas Access	bezpiecznie gromadzenie i przechowywanie danych

Wdrożenie RODO w praktyce – przykładowe scenariusze zastosowań

Scenariusz #1: śledzony formularz

Administrator IT w firmie handlowej zarządza systemem, który przetwarza dane osobowe. Dane wrażliwe osadzane są w szablonach ustandaryzowanych dokumentów, potrzebnych tylko do użytku wewnętrznego.

System pozwala na zaimportowanie dokumentów z formularzem ze standardowych plików .odt, .rtf, .docx. Szablon, zanim trafi do systemu, zostaje oznaczony przez administratora tzw. fingerprint’em – za pomocą funkcjonalności w rozwiązaniu FortiMail. Dzięki temu, każdy dokument wygenerowany z systemu jest śledzony przez mechanizmy DLP (Data Leak Prevention), co nie pozwala na wysyłanie tych plików poza domenę firmową.

Administrator zarekomendował zarządowi firmy zakup urządzenia FortiMail 60D, które zawiera w pakiecie roczne usługi: serwisowe FortiCare oraz FortiGuard Antispam i Antivirus.

Scenariusz #2: chronimy PESEL

W pewnej firmie branży finansowej dane o płacach oraz innego rodzaju dokumenty zawierające dane osobowe są przesyłane e-mailem pomiędzy działem księgowości i zarządem. Dane pracowników uczestniczące w tym procesie nie mogą trafić do żadnego innego adresata poza wymienionymi działami.

Aby zapewnić taki przebieg informacji, wykorzystano funkcjonalność niedawno wdrożonego rozwiązania FortiMail. Grupa odbiorców z działów księgowości oraz zarządu, to jedyne dopuszczone adresy e-mail do komunikacji zawierającej numer Pesel, frazę: imię, nazwisko oraz dokumenty oznaczone przez system księgowy. Jeżeli zostanie wprowadzony adres e-mail nie będący w tych grupach, wiadomość zawierająca określone informacje zostanie zatrzymana, a użytkownik poinformowany o zadziałaniu mechanizmu zapobiegania wyciekowi danych.

Powyższy scenariusz umożliwia technologia DLP (Data Leak Prevention) zastosowana m.in. w urządzeniach FortiMail-60D oraz FortiMail-200E.

Scenariusz #3: masowa wysyłka (DW zamiast UDW…)

W firmie produkującej oprogramowanie do obsługi biura została przyjęta nowa osoba. Przydzielono jej zadanie informowania klientów i firm współpracujących o zmianach w nowej wersji aplikacji. Mimo szkolenia osoba ta, zamiast użyć pola „Ukryte do Wiadomości” (BCC) dołączyła listę czterystu odbiorców w polu „Do wiadomości” (CC).

Producent oprogramowania posiada w swojej infrastrukturze IT rozwiązanie FortiMail, którego mechanizmy wykryły, iż w wiadomości e-mail znajduje się więcej niż 5 odbiorców nie będących w domenie firmowej. Technologia DLP (Data Leak Prevention), obecna w FortiMail-u, również tym razem nie zawiodła, bo system nie zezwolił na wysyłkę, informując o zadziałaniu mechanizmu. Urządzenie nie dopuściło do ujawnienia 400 adresów e-mail klientów, stanowiących zarówno chronione dane osobowe, jak też wartość firmy i nie spowodowało kompromitacji.

Mechanizmy Data Leak Prevention dostępne we wszystkich urządzeniach FortiMail pozwalają na rozpoznawanie oznaczonych dokumentów, fraz i wyrazów kluczowych (np. Imię, Nazwisko, PESEL itp.). Możliwość zaaplikowania w posiadanym systemie, w którym przetwarzane są dane osobowe, ukrytego znacznika pozwala uzyskać widoczność w zakresie przemieszczania się dokumentów w strukturach informatycznych przedsiębiorstwa.

Wykrywanie haseł w treści mail i załączników pomaga uchronić przedsiębiorstwo przed groźnym atakiem, zaszyfrowaniem danych lub w ujęciu normatywnym utratą poufności, integralności lub dostępności danych osobowych.

Monitorowanie wysyłanych wiadomości e-mail z kont użytkowników, poprzez zdefiniowaną politykę na urządzeniu, może uchronić przed (niestety nierzadko spotykanym) błędem ludzkim, skutkującym wyciekiem bazy e-mail kontaktów i klientów: zamiast UDW wysłane jako DW. Polityka zadziała również w przypadku korespondencji wysłanej z błędnie skonfigurowanego systemu CRM/ERP lub innego systemu automatyzacji korespondencji, chroniąc przed dotkliwymi konsekwencjami finansowymi.

Silniki Antispam i Antivirus zapewniają dwustronne bezpieczeństwo korespondencji (dla poczty przychodzącej i wychodzącej). Dzięki temu korespondencja do wielu odbiorców zostanie przez silnik Antispam rozesłana tak, aby nasza domena nie została uznana za SPAM przez inne serwery pocztowe. Dodatkowo, jeżeli przypadkiem w naszej firmie użytkownik zdalny zostałby zarażony i rozpoczął rozsyłanie złośliwego oprogramowania do listy adresów e-mali z klienta poczty (na komputerze „ofiary”), to również tę, wysyłaną korespondencję silnik Antivirus na FortiMail wykryje i zablokuje, informując administratora.

Kluczowe wyróżniki rozwiązania FortiMail, które w szczególności ułatwiają wdrożenie RODO, to:

– brak licencjonowania na ilość chronionych użytkowników, skrzynek pocztowych czy adresów e-mail
– wymiarowanie tylko i wyłącznie w oparciu o wydajność oraz z góry znaną liczbę obiektów danego rodzaju (domeny)
– możliwość pracy w trybie serwera – pełne administrowanie kontami użytkowników wewnątrz infrastruktury przedsiębiorstwa (nie trzeba podpisywać umowy powierzenia przetwarzania danych podmiotowi trzeciemu, u którego pocztę hostujemy bo wszystkie maile i dane przetwarzane są lokalnie)
– Identity Based Encryption – wysyłanie bezpiecznej szyfrowanej poczty
– synchronizacja kalendarzy z różnymi klientami poczty, w tym również mobilnymi
– możliwość klastrowania urządzeń w celu zapewnienia wysokiej dostępności usługi
– możliwość konfiguracji indywidualnych ustawień dla chronionych domen
– wsparcie dla mechanizmów pojedynczego logowania (SSO)
– wszystkie wysokiej klasy funkcjonalności dostępne niezależnie od wielkości platformy (ta sama wersja OS), pozwalają komfortowo poruszać się pomiędzy różnymi modelami
– własne silniki Antispam i Antivirus zasilane z FortiGuard
– możliwość podłączenia do Sandbox klasy Enterprise w chmurze FortiCloud lub lokalnego urządzenia FortiSandbox
– rozbudowane i zaawansowane funkcje Data Leak Prevention takie jak: znaki wodne, zestawy predefiniowanych reguł wyszukiwania (np. numerów kart kredytowych), słowa kluczowe oraz wsparcie różnego rodzaju plików (od PDF poprzez pliki pakietów biurowych po pliki tekstowe)
– mechanizmy wyszukiwania haseł w treści wiadomości w celu rozpakowania i analizy załącznika silnikami AntiVirus, Antispam czy Sandbox
– różne tryby wdrożenia (Serwer, Gateway, Transparent)
– szyfrowanie komunikacji, nie tylko typu PULL, ale również PUSH
– integracja z LDAP
– wysoko oceniana skuteczność długoterminowa w testach niezależnych laboratoriów (m.in. Virus Bulletin, ICSA Labs).

Kompleksowe spojrzenie na wdrożenie RODO

Jak widać z powyższych rozważań zapewne w większości organizacji można znaleźć obszary, które wymagają poprawy. Żaden produkt nie zapewni nam jednak samodzielnie pełnej zgodności z rozporządzeniem. Warto więc potraktować wdrożenie RODO jako okazję do świeżego spojrzenia na problem zarządzania, audytowania i monitorowania infrastruktury IT.

W ofercie Exclusive Networks Poland znajdują się rozwiązania wiodących producentów, które pomogą przedsiębiorcom – niezależnie od profilu i skali ich działalności – odpowiednio dostosowywać się do przepisów prawnych RODO (zachęcamy również do zapoznania się z naszym opracowaniem pt. RODO – najważniejsze regulacje prawne z punktu widzenia IT).

Skorzystaj z naszego doświadczenia oraz wiedzy w zakresie optymalnego doboru rozwiązań IT na potrzeby wdrożenia RODO:

skontaktuj się z nami >>

Cookie	Czas przechowywania	Opis
_GRECAPTCHA	5 miesięcy 27 dni	Taki plik cookie jest wykorzystywany przez usługę Google recaptcha do identyfikacji botów i ochrony strony internetowej przed złośliwymi atakami w formie spamu.
ASP.NET_SessionId	session	Taki plik cookie wydany przez Aplikację ASP.NET firmy Microsoft przechowuje dane sesyjne podczas wizyty użytkownika na stronie internetowej.
cookielawinfo-checbox-analytics	11 miesięcy	Taki plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO. Plik cookie jest wykorzystywany do przechowywania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checbox-functional	11 miesięcy	Plik cookie jest wykorzystywany przez zgodę na pliki cookie według RODO do zapisu zgody użytkownika na pliki cookie w kategorii „Funkcjonalne”.
cookielawinfo-checbox-others	11 miesięcy	Taki plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO. Plik cookie jest wykorzystywany do przechowywania zgody użytkownika na pliki cookie w kategorii „Inne”.
cookielawinfo-checkbox-advertisement	1 miesiąc	Taki plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO do zapisu zgody użytkownika na pliki w kategorii „Reklamowe”.
cookielawinfo-checkbox-necessary	11 miesięcy	Taki plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO. Plik cookie jest wykorzystywany do przechowywania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
cookielawinfo-checkbox-performance	11 miesięcy	Taki plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO. Plik cookie jest wykorzystywany do przechowywania zgody użytkownika na pliki cookie w kategorii „Wydajnościowe”.
SGPBShowingLimitationDomain20645	sesja	Brak opisu
viewed_cookie_policy	11 miesięcy	Plik cookie jest wykorzystywany przez wtyczkę Zgody na pliki cookie według RODO (ang. GDPR Cookie Consent) do przechowywania informacji, czy użytkownik wyraził zgodę na wykorzystywanie plików cookie. Nie przechowuje on żadnych danych osobowych.

Cookie	Czas przechowywania	Opis
bcookie	2 lata	LinkedIn wykorzystuje taki plik cookie na podstawie przycisków udostępniania i znaczników reklam na LinkedIn do rozpoznawania identyfikatora przeglądarki.
bscookie	2 lata	LinkedIn wykorzystuje taki plik cookie do przechowywania czynności wykonywanych na stronie internetowej.
ELOQUA	1 rok 27 dni	Domena takiego pliku cookie należy do Oracle Eloqua. Taki plik cookie jest wykorzystywany na potrzeby usług poczty elektronicznej. Jest również pomocny przy rozwiązaniu do automatyzacji marketingu dla marketerów B2B do śledzenia klientów na wszystkich etapach cyklu zakupowego.
lang	sesja	LinkedIn wykorzystuje taki plik cookie, aby zapamiętać ustawienia użytkownika dotyczące języka.
lidc	1 dzień	LinkedIn wykorzystuje plik cookie lidc w celu ułatwienia wyboru centrum danych.
UserMatchHistory	1 miesiąc	LinkedIn wykorzystuje taki plik cookie do synchronizacji identyfikatorów reklam na LinkedIn.
VISITOR_INFO1_LIVE	5 miesięcy 27 dni	Plik cookie wykorzystywany przez YouTube do pomiaru szerokości pasma, który określa, czy użytkownik korzysta z nowego czy starego interfejsu odtwarzania.
YSC	sesja	Plik cookie YSC jest wykorzystywany przez YouTube do śledzenia wyświetleń osadzonych nagrań wideo na stronach YouTube.
yt-remote-connected-devices	nigdy	YouTube wykorzystuje taki plik cookie do przechowywania preferencji wideo użytkownika za pomocą osadzonych nagrań wideo w serwisie YouTube.
yt-remote-device-id	nigdy	YouTube wykorzystuje taki plik cookie do przechowywania preferencji wideo użytkownika za pomocą osadzonych nagrań wideo w serwisie YouTube.

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga instalowany przez Google Analytics przelicza dane na temat odwiedzających, sesji i kampanii, a także śledzi wykorzystanie strony na potrzeby raportu analitycznego dla strony. Plik cookie przechowuje informacje anonimowo i przypisuje losowo generowane numery w celu rozpoznania unikatowych odwiedzających.
_gat_gtag_UA_154241828_1	1 minuta	Wykorzystywane przez Google do rozróżniania użytkowników.
_gat_gtag_UA_216942898_1	1 minuta	Wykorzystywane przez Google do rozróżniania użytkowników.
_gcl_au	3 miesiące	Zapewniany przez Google Tag Manager do badania skuteczności reklamowej stron internetowych wykorzystujących usługi oferowane przez to narzędzie.
_gid	1 dzień	Plik cookie _gid instalowany przez Google Analytics przechowuje informacje na temat tego, w jaki sposób odwiedzający korzystają ze strony internetowej, a jednocześnie tworzy raport analityczny na temat wydajności strony internetowej. Niektóre dane, które są gromadzone, obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.
CONSENT	2 years	YouTube wykorzystuje taki plik cookie poprzez osadzone nagrania wideo dla YouTube i rejestruje anonimowe dane statystyczne.
ELQSTATUS	1 rok 27 dni	Taki plik cookie jest wykorzystywany przez Eloqua. Taki plik cookie jest wykorzystywany przez PwC do śledzenia poszczególnych odwiedzających i sposobu, w jaki korzystają oni ze strony. Jest on wykorzystywany przy pierwszej wizycie odwiedzającego na stronie i aktualizowany przy kolejnych wizytach.

Cookie	Czas przechowywania	Opis
AnalyticsSyncHistory	1 miesiąc	Brak opisu
li_gc	2 lata	Brak opisu
t_rnd2	1 miesiąc	Opis niedostępny.
t_sid	sesja	Opis niedostępny.

Cookie	Czas przechowywania	Opis
_fbp	3 miesiące	Taki plik cookie jest wykorzystywany przez Facebook do wyświetlania reklam podczas wizyty na Facebooku lub cyfrowej platformie obsługiwanej przez reklamy Facebooka po odwiedzeniu strony.
fr	3 miesiące	Facebook wykorzystuje taki plik cookie do wyświetlania użytkownikom odpowiednich reklam poprzez śledzenie zachowania użytkowników w sieci, na stronach z usługą Facebook Pixel lub wtyczką mediów społecznościowych Facebook.
test_cookie	15 minut	Testowy plik cookie jest wykorzystywany przez doubleclick.net do ustalenia, czy przeglądarka użytkownika obsługuje pliki cookie.
yt.innertube::nextId	nigdy	Taki plik cookie wykorzystywany przez YouTube rejestruje unikatowy identyfikator do przechowywania danych na temat tego, jakie nagrania wideo z serwisu YouTube użytkownik wyświetlał.
yt.innertube::requests	nigdy	Taki plik cookie wykorzystywany przez YouTube rejestruje unikatowy identyfikator do przechowywania danych na temat tego, jakie nagrania wideo z serwisu YouTube użytkownik wyświetlał.