21 Nov 2017

10 pași pentru respectarea Directivei Generale EU cu privire la Protecția Datelor

November 21, 2017Știri și articole

Pe 25 Mai 2018 directiva UE cu privire la protecția datelor (Directiva Generală EU cu privire la Protecția Datelor – DGPD; En.: EU General Data Protection Regulation – GDRP) va înlocui toate măsurile luate la nivel la țară, uniformizând astfel legislația la nivelul întregului bloc. Odată cu implementarea noilor standarde vin și noi amenzi, care pot atinge până la 20 mil. EUR sau 4% din cifra de afaceri a organizației care le încalcă.

Directiva are două scopuri: protejarea drepturilor asupra datelor cetățenilor europeni și protejarea confidențialității datelor (aici intră datele cu caracter personal). Toate organizațiile care fac afaceri pe piața unică vor trebui să respecte directiva. Aici intră și organizații din afara uniunii care au relații comerciale active cu clienți din UE.

Dacă protejarea drepturilor asupra datelor deschide o discuție mai amplă asupra politicilor interne ale fiecărei companii, protejarea efectivă a datelor sensibile revine în mare măsură sectorului IT care trebuie să vină cu soluții tehnice care să asigure protejarea datelor, depistarea scurgerilor de date și rezolvarea vulnerabilităților și, nu în ultimul rând, gestiunea datelor în condițiile prevăzute de lege. Managementul companiilor alături de furnizorul de IT vor trebuie să stabilească circuitul datelor, cine are acces la ele și toate procedurile implicate în gestiunea datelor.

Spre exemplu, dreptul de a fi uitat impune organizațiilor să șteargă toate datele cetățenilor UE care solicită acest lucru. Aici va fi nevoie despre o hartă clară cu locurile în care datele sunt stocate și cine are acces la ele. Personalul avizat va urma o procedură clară prin care va elimina datele, apoi va înștiința solicitantul asupra acestui lucru.

 

Iată 10 pași pe care fiecare organizație trebuie să-i parcurgă până pe 25 Mai 2018:

FAZA I

1. Analiza/auditul datelor și a situației

Analiza situației actuale este primul pas. Prin obținerea unei viziune realiste asupra stării curente, veți știi cât trebuie să schimbați pentru a respecta directiva.

2. Analiza/auditul partenerilor (furnizori, clienți) care sunt incluși în circuitul datelor

Va trebui să vă asigurați că fiecare partener, precum furnizorii aplicațiilor de gestiune internă, cei ai serviciului de stocare web etc, respectă, de asemenea, Directiva Generală EU cu privire la Protecția Datelor.

FAXA a II-a

În faza a doua trebuie să vă asigurați că dețineți controlul asupra accesului la datele companiei, să păstrați log-uri de acces și să vă asigurați că o eventuală infiltrare nu poate expune toată baza de date.

3. Privilegii administrative

Pentru micșorarea șanselor ca un potențial atacator să acceseze rețeaua companiei, asigurați-vă că doar un grup restrâns de persoane are drepturi administrative asupra datelor.

4. Niveluri de acces

Asigurați-vă că accesul la date se face pe baza nevoi de le consulta. Acest lucru ar trebui să fie pe bază de utilizator, dispozitiv și rețea. Spre exemplu, un caz ideal ar fi ca administratorul datelor să poată accesa baza de date doar de la computerul din biroul său după ce se autentifică în intranet (protecție pe utilizator și pe IP). De asemenea, utilizatorii care au nevoie doar scrie date sau căuta pe baza de cuvinte cheie să nu poată să le modifice sau să se exporte.

5. Acces de la distanță

Asigurați-vă că puteți controla de la distanță dispozitivele cu acces la baza de date și puteți prelua și șterge datele personale salvate pe acestea. Este util să aveți această posibilitate mai ales în cazul în care un dispozitiv cu privilegii este pierdut sau furat.

6. Dacă este nevoie, investiți în dispozitive mai sigure

În faza finală investiți în soluții de securitate mai sigure pentru a putea detecta și răspunde la eventualele breșe. Prevenția este ideală, însă nu este suficientă. Trebuie să fie clar faceți în cazul unei breșe.

7. Implementați o politică de securitate pentru verificarea periodică a rețelei

Soluțiile tradiționale, precum antivirus, antimallware sau firewall, nu asigură o securitate completă însă sunt foarte importante. Actualizările regulate sunt necesare!

8. Implementați un sistem de detectare și răspuns în timp real

Asigurați-vă terminalele prin integrarea unei unelte de Gestiunea Evenimentelor și a Securității Informației (En. Security Information and Event Management – SIEM)

9. Oferiți angajaților cursuri de securitatea informației

58% din amenințările cibernetice sunt din cauza neglijenței sau relei intenții. Pregătiți-vă personalul în vederea reducerii acestui risc. Spre exemplu deschiderea un fișier venit prin e-mail de la o sursă necunoscută este un risc major de securitate.

10. Pe lângă implementarea securității, următoarele acțiuni trebuie respectate pentru asigurarea sunt necesare pentru conformitatea cu Directiva Generală EU cu privire la Protecția Datelor

  • Raportarea incidentelor de securitate în decurs de 72 de ore și luarea măsurilor necesare pentru prevenirea lor în viitor
  • Asigurarea dreptului de a fi uitat: ștergerea tuturor datelor personale ale cetățenilor UE care solicită acest lucru
  • Asigurarea portabilității datelor: oferirea datelor pe care le dețineți despre un cetățean UE într-un format pe care să-l poată utiliza
  • Asigurarea transferului internațional: datele personale pot fi transferate doar către o organizație conformă DGPD sau către una care este considerată adecvată.