Jak bezpiecznie przechowywać dokumenty w firmie?
- OpublikowanoOstatnia aktualizacja
- 6 min czytania
Każda firma, niezależnie od branży i skali działania przetwarza i przechowuje ogromne ilości dokumentów. Mowa tu zarówno o dokumentach zewnętrznych, które spływają do firmy jak i tych, które są tworzone wewnątrz organizacji. W każdym z tych przypadków istotne jest zarówno zachowanie bezpieczeństwa w kontekście przechowywania dokumentów jak i zapewnienie szybkiego dostępu do nich, co w przypadku pracy z tradycyjnym, papierowym archiwum jest niezwykle trudne.
Bezpieczna archiwizacja dokumentów – dlaczego jest tak ważna?
Dokumenty, które są gromadzone w firmie zawierają szereg istotnych danych, często poufnych i kluczowych w kontekście prowadzonej działalności. Dzięki przechowywanym informacjom możliwe jest realizowanie podstawowych procesów firmy np. realizacja podpisanych umów, ale również spełnienie wymagań stawianych przez przepisy prawa. Bez właściwego sposobu przechowywania dokumentów te elementy mogą być zaburzone. Brak dostępu do ustaleń z kontrahentami w ramach podpisanych umów czy warunków płatności za faktury może skutkować spadkiem reputacji firmy, a także stratami finansowymi.
DMS – digitalizacja dokumentów
Rozwój technologii, a także rosnąca ilość przetwarzanych danych sprawia, że coraz więcej przedsiębiorstw analizuje możliwości cyfryzacji firmowej dokumentacji. W odpowiedzi na takie potrzeby na rynku oferowane są różne rozwiązania, które wspierają taką digitalizację. Najczęściej są to systemy klasy DMS (Document Management System) czyli systemy do zarządzania dokumentami w wersji elektronicznej. Pozwalają one na przechowywanie, indeksowanie, wyszukiwanie i przetwarzanie dokumentów w uporządkowany, cyfrowy sposób co automatyzuje procesy i poprawia efektywność pracy w organizacji.
Wybierając narzędzie do własnej firmy, warto zwrócić uwagę zarówno na funkcjonalności i intuicyjność, aby praca w cyfrowym archiwum była szybka i łatwa, ale również istotnym elementem jest zapewnienie odpowiedniego bezpieczeństwa dla przechowywanych danych. Aby porównać potencjalne systemy pod tym kątem można posiłkować się weryfikacją audytów, którym systemy zostały poddane.
IDW PS 880 – co oznacza ten skrót?
Jednym z najbardziej znanych standardów weryfikacji oprogramowania pod kątem bezpieczeństwa przechowywania dokumentów jest IDW PS 880. Jest to standard opracowany przez niemiecki Instytut Audytorów Publicznych, który opracowuje różne standardy kontroli już od 1932 roku (IDW PS 880 został zatwierdzony w 2010 r.) Proces audytu wg powyższej normy jest kompleksowy, gdyż jego przedmiotem jest zarówno produkt, jak i proces jego wytwarzania i system zarządzania jakością przez producenta.
Dla systemów klasy DMS, które służą do uporządkowanego przechowywania dokumentów i informacji, ważnymi kryteriami podczas oceny zgodności zarówno ze względu na optymalną pracę jak i zobowiązania prawne są m.in.:
- zasada identyfikowalności,
- zasada kompletności,
- zasada dokładności,
- zasada niezmienności.
Zasada identyfikowalności
Przetwarzanie dokumentów oraz stosowane procedury muszą być identyfikowalne i weryfikowalne. Oznacza to, że transakcje biznesowe muszą umożliwiać śledzenie ich powstawania czyli m.in. przechowywać informacje o tym kto i kiedy dodał dokument lub go zarchiwizował. Logowanie informacji powinno obejmować również ewentualne zmiany, które mogą mieć istotne znaczenie pod kątem poprawności bezpieczeństwa przechowywanych danych np. zmiany w regułach retencji (okresie przechowywania dokumentów).
Zasada kompletności
Ta zasada wymusza przede wszystkim archiwizowanie dokumentów w całości i bez luk. W szczegółach przekłada się to na to, że dokumenty muszą być kompletne, bez żadnych zagubionych stron czy dodatkowych informacji. Kompletność oznacza również to, że dokumenty będą oznaczone unikalnym numerem, a sama numeracja nie będzie zawierała jakichkolwiek luk – ciągłość numeracji. Dlatego też niedopuszczalne jest usuwanie dokumentów, które zostały już zarchiwizowane, a zawierają błędne lub nieistotne dane z perspektywy biznesowej lub podatkowej. W takim przypadku dopuszczalne jest oznaczenie i odpowiednie filtrowanie takich dokumentów, ale ze stałą możliwością ich wyświetlenia i zachowaniem pierwotnego numeru.
Zasada dokładności
Dokumenty powinny być archiwizowane zgodnie ze stanem faktycznym tj. zachowana pełna zgodność z oryginałem. Dla systemu klasy DMS oznacza to, że nie powinien dopuszczać wprowadzania zmian w zeskanowanym lub otrzymanym drogą elektroniczną pliku. Dzięki temu, organy podatkowe mają pewność, że weryfikowane dokumenty z elektronicznego archiwum w pełni odpowiadają informacjom, które firma otrzymała lub wygenerowała i dane nie uległy zafałszowaniu lub wybrakowaniu.
Zasada niezmienności
W ramach zasady niezmienności system powinien zapewniać szereg mechanizmów, które powinny chronić zarchiwizowane dane przed edycją czy usunięciem. Mowa tu nie tylko o danych rozumianych jako dokument-plik, ale także dane dotyczące osób, które wykonały dane akcje (dodanie, archiwizacja) oraz tzw. metadane czyli wartości opisowe dokumentu. Istotnym elementem w tym zakresie jest również brak możliwości skrócenia okresu przechowywania danego dokumentu. Ewentualne wydłużenia tego terminu są dopuszczalne jako odpowiedź na ewentualne pomyłki czy zmiany w przepisach prawa.
Wskazane kryteria przekładają się na szereg funkcjonalności, które muszą być zapewnione przez system, aby możliwe było stwierdzenie, że spełnia wymagania stawiane przez omawianą normę. Jednym z najistotniejszych mechanizmów, który musi być zaadresowany w systemie klasy DMS jest tzw. retencja. Oznacza ona, że dokumenty muszą być przechowywane w sposób bezpieczny (nie pozwalający na usunięcie, czy zmianę dokumentu) przez określony czas i dopiero po tym okresie powinna być dostępna opcja ich usunięcia. Ma to niebagatelne znaczenie w przypadku dokumentów podatkowych np. faktury, które muszą być przechowywane i dostępne dla audytorów przez min. 5 lat. Niezbędnymi elementami są również takie obszary jak zarządzanie dostępami, czy możliwość weryfikacji tego, przez kogo i kiedy dane dokumenty zostały zarejestrowane.
Docelowo przejście przez audyt wg powyższej normy dokumentuje, że dany produkt zapewnia zestaw funkcjonalności, które umożliwiają odpowiednią jakość pracy i bezpieczeństwo danych.
Repozytorium, czyli archiwizacja dokumentów w Comarch DMS
Rozwój systemu Comarch DMS
System Comarch DMS jest rozwijany przez wiele lat. W pierwszej fazie rozwoju adresował on przede wszystkim potrzeby związane z szeroko pojętym workflow, czyli możliwością procesowania informacji wewnątrz firmy. W kontekście dokumentów często oznacza to zebranie odpowiednich opisów i akceptacji, które są niezbędne dla spełnienia firmowych reguł biznesowych. W ramach przetwarzanych procesów, możliwe było dołączanie różnego typu plików (np. skany dokumentów), ale główny nacisk był położony na ergonomiczne przekazywanie informacji.
Z czasem w ramach systemu Comarch DMS powstały odpowiednie funkcje i mechanizmy, które skupiły się na elementach związanych z archiwizacją dokumentów. W ten sposób powstał moduł Repozytorium.
Funkcjonalności modułu Repozytorium
Podstawą działania nowego modułu Comarch DMS jakim jest Repozytorium jest umożliwienie przechowywania różnego typu dokumentów w formie cyfrowej. Dla ułatwienia pracy z dokumentami w tej formie, istnieje możliwość utworzenia dowolnej struktury katalogów, w których są one przechowywane, dzięki czemu bieżąca praca dla jest łatwiejsza.
Z jednej strony wybrane dokumenty są zgrupowane w jednym, konkretnym miejscu, a z drugiej, zarządzanie uprawnieniami jest realizowane w sposób ergonomiczny tj. możliwość wprowadzania zmian w tym zakresie w sposób seryjny, dla wszystkich dokumentów w katalogu. Oczywiście system zapewnia również możliwość zarządzania dostępami na poziomie pojedynczych dokumentów.
Moduł Repozytorium dostarcza również szeroki zakres funkcjonalności usprawniających bieżącą pracę:
- masowe dodawanie dokumentów,
- podgląd dokumentów (pliki graficzne) bezpośrednio z poziomu systemu,
- tworzenie własnej listy atrybutów (pola opisujące dokumenty),
- tworzenie własnej listy typów dokumentów (określenie głównej kategorii dokumentu i przypisanie domyślnych parametrów),
- intuicyjne opisywanie i indeksowanie dokumentów,
- szybkie i elastyczne wyszukiwanie na podstawie dowolnie określonych kryteriów, co daje możliwość nieporównywalnie szybszego wyszukiwania względem papierowego archiwum,
- masowe pobieranie wskazanych dokumentów (np. na potrzeby udostępnienia organom podatkowym),
- współpraca z modułem Comarch DMS Workflow – automatyczne zapisanie załączników w Repozytorium wraz z uzupełnieniem atrybutów, co znacząco automatyzuje pracę,
- webowy dostęp bez potrzeby instalacji programów na komputerze użytkownika końcowego.
Więcej informacji o funkcjonalnościach Comarch DMS Repozytorium znajdziesz na stronie produktu.
Szyfrowanie danych i kontrola dostępów
W zakresie uprawnień, ważną kwestią jest to, że system umożliwia nie tylko nadanie lub odebranie dostępu do dokumentów, ale również stopniowanie poziomu dostępu tj. określenie, że wybrani użytkownicy mają opcję przeglądania (dostęp w trybie do odczytu, bez wprowadzania zmian), edycji (dodawanie, opisywanie i usuwanie dokumentów), czy administracji (dodatkowo zarządzanie uprawnieniami). Umożliwia to pełną kontrolę nad dostępem do dokumentów, co pozwala na zabezpieczenie dokumentów przed zmianami, czy odczytem danych przez nieupoważnione osoby.
Każdy użytkownik loguje się do systemu na podstawie określonego unikalnego loginu i hasła. Dzięki temu różnego typu akcje, które zostały zrealizowane w systemie są łatwe do weryfikacji w kontekście osoby, która je zrealizowała. W zakresie haseł, Comarch DMS zapewnia możliwość włączenia polityki silnych haseł, aby uniknąć sytuacji, w których pracownicy mający dostęp do systemu narażą dane na wyciek lub nieuprawniony dostęp przez ustawienie prostych do złamania haseł.
Dla podwyższenia bezpieczeństwa przechowywanych danych możliwe jest uruchomienie szyfrowania przepływu informacji między komponentami sieciowymi. Jest to realizowane przez protokół https, czyli dodatkowy poziom bezpieczeństwa (TLS/SSL) w standardowym protokole http. Uniemożliwia on również hakerom przechwytywanie poufnych informacji i dokumentów firmy, takich jak hasła, informacje o użytkownikach i dane finansowe.
Zarządzanie zmianami i retencją
Poza zapewnieniem ergonomii pracy i kontroli dostępów, cyfrowe archiwum w postaci Repozytorium umożliwia zaadresowanie wymagań związanych z zapewnieniem niezmienności dokumentów i okresów przechowywania wynikających z przepisów prawa. Dla każdego typu dokumentu możliwe jest określenie tzw. retencji, czyli minimalnego okresu przechowywania dokumentów, a wprowadzone już dane mogą być oznaczone jako archiwalne. W ten sposób dokumenty są w pełni zabezpieczone przed edycją czy usunięciem, niezależnie od uprawnień użytkowników.
Tworząc system Comarch DMS nie tylko dostarczamy funkcjonalności usprawniające pracę z dokumentami i spełniające wymagania instytucji podatkowych i audytorskich, ale również sam proces wytwarzania oprogramowania jest realizowany wg najwyższych standardów związanych z zarządzaniem jakością.
Certyfikacja z KPMG
Dla potwierdzenia właściwego zaadresowania wymagań standardu IDW PS 880 w systemie Comarch DMS, moduł Repozytorium został poddany szczegółowemu audytowi przez jedną z największych firm audytorskich na świecie – KPMG. Realizowany audyt kompleksowo badał różne obszary systemu pod kątem pełnego zabezpieczenia przechowywanych i przetwarzanych dokumentów.
Jednym z obszarów, który został poddany szczegółowej analizie był proces produkcji oprogramowania, począwszy od definiowania i projektowania poszczególnych funkcji, a kończąc na ich testowaniu i udostępnianiu. Poszczególne elementy procesy były odpowiednio weryfikowane, aby potwierdzić, że nie istnieją luki, które mogą finalnie doprowadzić do sytuacji, w których dokumenty będą narażone na potencjalne ryzyko zafałszowania, czy usunięcia. Badaniu podlegały również funkcjonalności wykorzystywane z poziomu interfejsu systemu. Różne scenariusze, które mogą być zrealizowane przez użytkowników na różnym poziomie dostępów były odtwarzane i weryfikowane pod kątem zgodności z wymaganiem normy. Obejmowały one .in.. takie działania jak możliwość, czy blokada możliwości wykonania takich akcji jak dodanie, edytowanie czy usuwanie dokumentów, kontrola okresu przechowywania, wpływ zmian uprawnień czy zapewnienie identyfikowalności dokumentów.
Comarch DMS przeszedł audyt realizowany przez KPMG, a jego finalnym efektem jest obszerny raport, opisujący jak system odpowiada na ściśle zdefiniowane i wysokie wymagania standardu IDW PS 880.
Skomentuj
Brak komentarzy