Hlavní navigace

Koncepce pojištění e-obchodu z pohledu eliminace pojišťovaných rizik

Bohumír Štědroň 17. 8. 2004

Pojištění IT/IS se pomalu, ale jistě stává realitou i v České republice. Zatím není rozšířené, ale pojišťovny již mají přesné požadavky: audity a bezpečnostní prověrky, tři kategorie rizikovosti. Když si nenecháte udělat jednou ročně bezpečnostní audit či rychle neodstraníte chyby při něm nalezené, jednoduše vám pojistku zruší.

Článek je koncipován jako pokračování článku Pojišťování rizik vyplývajících z provozu a správy IS/IT.

Tento druh pojištění je určen pro organizace, které se chtějí prezentovat na Internetu a kromě toho také chtějí realizovat touto cestou obchodní či jinou činnost. Cílovou skupinu tvoří tedy všechny organizace vystupující na Internetu. Jediné omezení může být takové (v případě českého pojišťovacího subjektu), že server, na němž je umístěna domovská stránka nebo další software pro realizaci obchodu (např. webshop apod.), musí být provozován na území České republiky. Pro účely pojištění jsou potenciální zájemci rozděleni do tří rizikových skupin.

Definice rizikových skupin

  1. Riziková skupina 1

    Uživatel prezentace na Internetu, která je umístěna na serveru externího poskytovatele této služby. Do této skupiny patří všechny organizace, které se prezentují na Internetu a jejichž webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem).

  2. Riziková skupina 2

    Organizace nabízející elektronické obchodování, jehož webové stránky jsou provozovány v České republice na serveru jinou organizací (poskytovatelem). Do této skupiny patří organizace, které prodávají zboží nebo služby prostřednictvím Internetu. Při tomto obchodování využívají webových stránek a příslušného software na serveru spravovaném jinou organizací (poskytovatelem).

  3. Riziková skupina 3

    Provozovatel vlastního web serveru. Zařazení do této skupiny nezávisí na tom, zda organizace ještě navíc provozuje elektronický obchod nebo ne. Organizace s vlastním serverem a sítí jsou vždy zařazeny do skupiny 3. Půjde např. o vlastníky datových skladů, webhostingové firmy, velké výrobní firmy vlastnící webservery.

Kontrola zabezpečení

Pro každou rizikovou skupinu existuje dotazník, který je základem pro kontrolu bezpečnosti. Výsledkem kontroly je vyjádření pojišťovny, zda může zájemci poskytnout požadované pojištění a za jakých podmínek, eventuálně jaká opatření musí zájemce realizovat pro snížení rizika.

Zákazníkům z rizikové skupiny 1 je pojištění např. od České pojitovny poskytováno vždy na dobu jednoho roku. Během této doby musí auditor na objednávku navrhovatele provést testy bezpečnosti. Po uplynutí sjednaného období musí být prokazatelně odstraněny zjištěné bezpečnostní problémy, jinak dojde ke zrušení pojistky. Zodpovězení dotazů a eventuální vyjasnění situace na základě rozhovoru s poskytovatelem vede k rozhodnutí, zda je žadatele možné pojistit. Pro zákazníky ze skupiny 2 je postup stejný, pouze je vyžadováno hlubší testování IT systémů. Proto je nutné uzavřít mezi auditorem a žadatelem (a v ideálním případě i s poskytovatelem) oddělenou smlouvu o provedení testů. Žadatel, který provozuje vlastní zařízení pro komunikaci s Internetem, a patří tedy do skupiny 3, musí prokázat bezpečnost IT provedením auditu na základě smlouvy s auditorem. Pojištění může být uzavřeno až po realizaci všech bezpečnostních opatření.

Bezpečnostní prověrka systému auditorem

  • Zákazníci z rizikové skupiny 1 a 2

    Pojišťovna zajišťuje kontrolu bezpečnosti prostřednictvím smlouvy s auditorem. Se zákazníky skupiny 1 je vypracován dotazník a po rozhovoru (telefonátu) s poskytovatelem internetového spojení je odhadnuta pojistitelnost.

    Se zákazníky skupiny 2 je provedena na začátku stejná procedura jako u skupiny 1. Po vyplnění dotazníku a rozhovoru s poskytovatelem je bezpečnostní situace dále posuzována. Jestliže jsou obdržené informace nedostačující nebo systém IT není z bezpečnostního hlediska na dostatečné úrovni, následuje postup jako u skupiny 3 (viz dále). Výsledky kontroly budou pojišťovně sděleny formou písemného vyjádření.

  • Zákazníci z rizikové skupiny 3

    Mezi zákazníkem a auditorem je uzavřena smlouva o provedení bezpečnostní prověrky, jejíž součástí je i povolení předat informace o zákazníkovi i o bezpečnostních rizicích do pojišťovací společnosti. Podstatnou část výsledků prověrky tvoří následující tři dokumenty:

  • předběžná zpráva s podrobnými výsledky bezpečnostní prověrky i s doporučeními, která z ní vyplynula,
  • hlavní zpráva s podrobnými výsledky po realizaci opatření doporučených v předběžné zprávě,
  • souhrn poznatků, které vyplynuly z prověrky, a jejich zpracování určené pro pojišťovací společnost.

Samotná prověrka se skládá ze dvou etap, a to obecného prověření celého operačního zázemí IT včetně bezpečnostní politiky, vnitřních procesů a technické bezpečnostní úrovně, a detailního prověření jednotlivých oblastí, které mají vztah k připravovanému pojištění.

Proces bezpečnostního prověření zahrnuje:

  • přípravu výsledků a doporučení ve formě předběžné zprávy,
  • diskuse výsledků se zákazníkem a eventuální dohodu o realizaci některých opatření, která by měla být realizována ještě před podáním žádosti k pojišťovací společnosti,
  • diskusi o konečné struktuře a znění hlavní zprávy pro pojišťovací společnost,
  • vyhotovení hlavní zprávy o bezpečnostní prověrce u zákazníka,
  • vyhotovení závěrečné celkové zprávy o výsledcích bezpečnostní prověrky a výsledném stavu zabezpečení IT u zákazníka pro následné zaslání do pojišťovací společnosti. Jeden exemplář bude předán zákazníkovi a jeden pojišťovací společnosti.

Závěrem

Pojišťování rizik v oblasti IS/IT není jednoduchý proces a tento druh pojištění rozhodně nepatří mezi tzv. „masové produkty“, jako je např. pojištění auta, bytu atd. Je to proces, kdy pojišťovna na základě auditu pečlivě zvažuje riziko pojištění systému. Obecně lze souhlasit s názorem Ivana Špirakuse (připojil svůj názor k prvnímu článku na téma pojišťování IT/IS – zveřejněno 24. června 2004 zde na Lupě), že o tento druh pojištění zatím není valný zájem. Autor tohoto článku pracoval jako právní poradce přes tři roky pro významného zahraničního pojišťovacího makléře a v zásadě má stejné zkušenosti, tedy že o tento druh pojištění zatím není opravdu zájem.

Tento seriál bude mít i třetí díl, kde bych rád čtenáře seznámil s konkrétními pojišťovacími podmínkami a uvedl pojišťovny, které tento druh pojištění nabízejí. Pojištění IT/IS ale má zcela jistě budoucnost a pevně věřím, že se i v ČR prosadí. Je to otázka pouze času, kdy začne docházet k velkým škodám např. v důsledku výpadku a nefunkčnosti IT/IS a společnosti si uvědomí, že kombinace pojištění a jiných druhů ochrany je ideální spojení.

Pojištění IT/IS je komplikovaný druh pojištění, a pokud společnost o pojištění uvažuje, je dobré si najmout poradce (např. specializovaného právníka nebo pojišťovacího makléře), který má zkušenosti z oboru. V neposlední řadě je třeba si uvědomit, že pojištění není „obchod“ v tom slova smyslu, že peníze, které za pojištění vynaložíte, se vám musí za každou cenu vrátit. Pojištění funguje na zcela jiném principu – principu „odkupu“ rizika, kdy pojištěný subjekt může klidně v noci „spát“ a nebát se, „co když“…

Anketa

Uvažujete o pojištění IT/IS?

Našli jste v článku chybu?

17. 8. 2004 13:56

PaJaSoft (neregistrovaný)
Ono kdyz se tak divam na vysledky pojistoven za lonsky rok, tak je zajimave, ze sve zdravi si jde pojistit kde kdo, ale cokoli jineho je docela problem. Ostatne, podivejte se na vysledky predepsaneho pojistneho u zivotniho a u nezivotniho... - u mnoha temer radovy rozdil...

17. 8. 2004 10:44

Robert Hart (neregistrovaný)
Existují skutečné pojišťovny, které rizika ITC pojistí?
Nejde jen o akademickou diskusi ?

JUDr.Robert Hart


Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Podnikatel.cz: Berňák kvůli EET prodlužuje otevírací dobu

Berňák kvůli EET prodlužuje otevírací dobu

Podnikatel.cz: S.r.o. využívá cizí auto. Jak je to s daněmi?

S.r.o. využívá cizí auto. Jak je to s daněmi?