Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

GIODO: instalowanie skryptów na stronach www może być niebezpieczne

Fotolia
Wstawianie skryptów zbierajšcych dane statystyczne czy poœredniczšcych w sprzedaży danych może prowadzić do wykradania danych – ostrzega GIODO.

Generalny Inspektor Ochrony Danych Osobowych uczula administratorów, że wstawianie skryptów, czyli krótkich programów komputerowych, umożliwiajšcych np. zbieranie danych statystycznych czy poœrednictwo w sprzedaży reklam, w prowadzonych przez tych administratorów systemach informatycznych, może prowadzić do wykradania danych.

Ma to potwierdzać przypadek zaobserwowany i zgłoszony administratorowi danych przez klienta jednego z banków.

Otóż klient ten zauważył, że dane dotyczšce kwoty operacji wykonywanych przez niego na rachunku bankowym przekazywane sš z systemu bankowego do firmy, z którš bank zawarł umowę na œwiadczenie usług analitycznych i doradczych zwišzanych z badaniem rynku œwiadczonych usług. Firma miała analizować w tym celu oglšdalnoœć strony internetowej banku, a tymczasem, jak zauważył klient, uzyskiwała również dostęp do szczegółów wykonywanych przez nich operacji finansowych.

Zaistniałe zdarzenie może œwiadczyć o luce w stosowanych przez ten bank procedurach zarzšdzania bezpieczeństwem. Umożliwiła ona bowiem podmiotowi trzeciemu (z którym bank zawarł umowę o współpracy) zmodyfikowanie procesu przetwarzania do postaci wykraczajšcej poza dopuszczalny przez bank zakres – pisze GIODO.

GIODO przypomina, iż obowišzkiem administratorów danych przetwarzajšcych dane osobowe przy użyciu stron internetowych, za poœrednictwem których œwiadczone sš różnego rodzaju publicznie dostępne usługi (m.in. urzędów, banków, sklepów internetowych), jest zapewnienie pełnej kontroli nad tym, jakie dane osobowe, nad którymi sprawujš nadzór, sš przetwarzane oraz komu i w jakim zakresie sš udostępniane. Przy czym pełna kontrola oznacza nie tylko kontrolę odnoszšcš się wyłšcznie do przetwarzania realizowanego przez aplikacje administratora danych (np. banku), ale również kontrolę przetwarzania, do którego dochodzi w wyniku działania programów stron trzecich (skryptów) wstawianych przez administratora danych do swojej aplikacji w celu np. zbierania danych statystycznych, badania rynku lub do zamieszczania reklam przez wyspecjalizowane podmioty w ramach sprzedanej im powierzchni reklamowej. Skrypty takie mogš być umieszczane albo bezpoœrednio w aplikacji administratora danych, co jest często stosowanš praktykš, albo na serwerach podmiotów trzecich i za poœrednictwem odnoœników (linków) łšczone funkcjonalnie z systemem administratora danych. Rozwišzanie takie skutkuje często brakiem kontroli administratora danych nad działaniem tych skryptów, zwłaszcza nad tym, kiedy i w jakim celu kod Ÿródłowy skryptu został zmodyfikowany przez podmiot nim zarzšdzajšcy. Wielu administratorów danych, którzy doœwiadczajš takich sytuacji, usprawiedliwia się tym, że nie majš wpływu na działanie skryptów, którymi zarzšdza firma, której oni udostępnili jedynie miejsce na swojej stronie internetowej (np. na potrzeby zamieszczania reklam). GIODO przypomina jednak, że sytuacja taka nie może mieć miejsca.

ródło: rp.pl

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL