Zaczęło się od PUE ZUS. A właściwie od kary dla Banku Santander związanego z dostępem byłego pracownika do PUE ZUS. Jednak okazało się, że ustalanie użytkowników tego systemu, jest otwarciem puszki Pandory. Czytaj do końca, bo ten wpis jest bardzo pouczający i zapewne dowiesz się z niego, jak zrobić najbliższy audyt uprawnień do systemów informatycznych. I zdziwisz się, że wcześniej pewne rzeczy „nie przyszły Ci do głowy”.
Danie pracownikom dostępu do PUE ZUS, to tykająca bomba?
Niedawno zadzwonił do mnie kolega i poinformował o niezwykłym odkryciu. Okazało się, że w PUE ZUS nie ma możliwości sprawdzenia kto z naszej firmy ma aktywne lub nieaktywne konto użytkownika. Niby nic, ale jest to dość istotne, bo w praktyce jako IOD / administrator nie mamy możliwości zweryfikowania, czy dostępy użytkowników zostały odebrane skutecznie. Zweryfikowałam u moich klientów i faktycznie, w ich systemach także nie ma opcji sprawdzenia, kto aktualnie ma dostęp do systemu. W praktyce okazuje się, że dostępami zarządza administrator systemu, czyli ZUS. Ma to sens, gdy spojrzymy na obowiązki ZUS wynikające z ustawy o systemie ubezpieczeń społecznych, w zakresie zapewnienia bezpieczeństwa danych przetwarzanych w ramach systemu. Tak, to ZUS jest administratorem tych danych, a nie Płatnik (czyli firma, w której jesteś IOD).
Uprawnienia do PUE ZUS nadaje się i odbiera poprzez przekazanie do ZUS pełnomocnictwa (elektronicznie, listem lub osobiście). Jednakże samo przekazanie pełnomocnictwa nie stanowi potwierdzenia, że uprawnienia zostały odebrane. Przepisy, czy regulamin platformy nie określają też czasu, po jakim uprawnienia powinny być odebrane. Zapytałam się u źródła, jak to wygląda w praktyce. Otrzymałam (niezwykle szybko) odpowiedź:
Zasady, zakres i warunki korzystania przez Usługobiorców z portalu PUE ZUS określa Regulamin, o którym mowa w art. 8 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Zgodnie § 4 ust. 2 Regulaminu, dostęp do danych płatnika będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, może uzyskać osoba fizyczna, która ma zarejestrowany profil w portalu PUE ZUS i posiada stosowne pełnomocnictwo udzielone przez płatnika. Odwołanie tego pełnomocnictwa odbywa się w trybie natychmiastowym przez złożenie formularza PEL-O (odwołanie pełnomocnictwa).
Zapewne wewnętrzne procedury wymagają natychmiastowego działania po stronie ZUS, jednak wiem, że najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek, który może mieć dużo innych obowiązków, który może tego dnia nie być obecny w pracy lub po prostu pomylić się. W praktyce pewnie większość administratorów (płatników) odwołuje pełnomocnictwo ostatniego dnia pracy pracownika. Można zatem założyć, że podpisany wniosek trafia do ZUS popołudniu. Czy faktycznie w urzędzie ktoś go natychmiast odbierze i zrealizuje? Co jeśli wniosek będzie wysłany w piątek popołudniu – czy zostanie zrealizowany w weekend? A jeśli zostanie przekazany osobiście lub tradycyjną pocztą, też zakładam, że minie kilka lub kilkanaście dni, zanim zostanie zrealizowany. I nie wynika to ze złej woli, ale z niewłaściwych procedur.
Dla mnie, jako IOD istotne jest to, że nie jestem w stanie stwierdzić, czy dostęp został już odebrany i nie mam na to żadnego wpływu. A także to, jak skutecznie udowodnić, że odwołało się pełnomocnictwo w ZUS? Jeżeli było to zrealizowane elektronicznie, należy pamiętać, że wniosek mógł już ulec archiwizacji w systemie i pozostaje jedynie UPO, które bez dokumentu źródłowego nic nie znaczy.
Read More →
oraz wprowadzeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Zachęcamy do zapoznania się z nimi i podzielenia ze znajomymi.