Securitatea datelor pentru conformarea la GDPR. Proceduri și politici de securitate IT

Miercuri, 23 Februarie 2022, ora 16:07
719 citiri
Securitatea datelor pentru conformarea la GDPR. Proceduri și politici de securitate IT
FOTO: gdprcomplet.ro

Un capitol important în procesul de conformare la GDPR îl reprezintă măsurile tehnice care trebuie aplicate atât în vederea securității datelor cât și pentru conformarea diferitelor forme de prelucrare la cerințele Regulamentului General privind Protecția Datelor. De cele mai multe ori, punerea în practică a acestor măsuri cade în sarcina departamentului IT, care face parte integrantă din echipa responsabilă cu implementarea GDPR.

Pentru a veni în spijinul acestor eforturi, GDPR Complet a pregătit un set de recomandări cu privire la principalele amenințări la securitatea datelor, modul lor de adresare, cât și maniera de implementare a diferitelor forme de prelucare automatizată a datelor.

Mai jos se regăsește o listă de aspecte GDPR legate de securitatea IT care ar trebui cunoscute de către responsabilul de protecția datelor, de echipele care implementează conformarea GDPR și bineînțeles de către managerii IT.

Statisticile spun ca 91% dintre atacurile cibernetice își au începutul pe email. Prin accesarea unui link sau a unui atașament primit pe email se poate declanșa un întreg lanț de evenimente nefericite pentru rețeaua și compania dvs.

Din punct de vedere GDPR, email-ul poate însemna o breșă de securitate majoră, deoarece prin intermediul email-ului se pot trimite / primi mesaje care pot conține date cu caracter personal. De exemplu, nu se folosește corect funcția de CC/BCC atunci când se trimite un email către un grup de persoane (sugestie, folosiți BCC). Alt exemplu: se greșește destinatarul și astfel putem ajunge în situația de a trimite un email care ar putea conține date cu caracter personal la un alt destinatar. Aici funcția de auto complete ne încurcă de multe ori. Sugestie: folosiți confirmarea de trimitere / citire a email-ului care ne poate ajuta să ne dăm seama mai repede că am trimis un mesaj către un destinatar greșit. Un al treilea exemplu, atașamentele nu sunt criptate sau protejate de parolă și astfel în cazul în care emailul este interceptat prin diverse mijloace, conținutul lui și al atașamentului este facil de citit. Sugestie: parolați, arhivați și criptați toate documentele care conțin date cu caracter personal, care se trimit pe email.

O parte din soluțiile sugerate de GDPR Complet sunt:

  • Filtrarea traficului de email pentru a reduce spam-ul și tentativele de Phishing. Menționăm aici unelte similare SpamAssassin pentru a reduce mesajele nesolicitate, folosirea unui antivirus pentru serverul de email, implementarea DMARC “ Domain-based Message Authentication, Reporting & Conformance ” care asigură conformitatea celui care trimite un email.
  • Training pentru personalul care folosește email-ul și politici clare de folosire a email-ului. Menționați ce este permis si ce nu este permis, ce trebuie raportat ca și incident către departamentul IT.
  • Politici clare legate de folosirea email-ului personal la locul de muncă.

Rețelele WiFi

Orice rețea Wifi poate fi utilizată pentru a colecta anumite informații despre echipamentele conectate la ea. O rețea prea puțin securizată poate expune multe date. Majoritatea companiilor pun la dispoziția partenerilor / clienților / vizitatorilor o rețea WiFi care poate fi folosită. Este esențial ca acestă rețea să fie izolată de rețeaua principală în care sunt operate și procesate date cu caracter personal.

Nici un dispozitiv pe care nu-l controlați, la nivel de inventar hardware / software și politici de acces, nu ar trebui să poată vizualiza, procesa sau stoca date cu caracter personal și nu ar trebui să primească acces în rețeaua principală a firmei / instituției.

Inventarul hardware și software

Este esențial din punct de vedere GDPR să existe o inventariere hardware și software pentru a identifica aplicațiile și sistemele care sunt folosite pentru vizualizarea, procesarea sau stocarea datelor cu caracter personal. Sugestia GDPR Complet este să se înceapă cu inventarierea echipamentelor din rețeaua internă și apoi să se continue cu cele externe (cloud, VPS, FTP, etc.).

Practic fiecare echipament: computer desktop sau laptop, server, telefon mobil, router, switch sau imprimantă trebuie inventariat și trebuie să existe o politica clară legată de modul de folosire a aplicațiilor și raportare a posibilelor probleme.

Angajații

Angajații pot fi veriga slabă când vine vorba de securitate și conformare GDPR. De aceea sunt recomandate instruiri periodice prin care să se prezinte politicile de securitate care se aplică în companie, care trebuie să conțină:

  • modul de autentificare pe sistemele de operare / aplicațiile software,
  • modul în care aplicațiile pot fi folosite,
  • dacă este monitorizată activitatea pe calculator și motivele acestei monitorizări,
  • dacă sunt monitorizate imprimantele și motivele aceste monitorizări,
  • dacă există forme de monitorizare a convorbirilor telefonice sau a discuțiilor pe chat ale angajaților cu clientii,
  • dacă dispozitivele lor mobile sunt criptate și modul în care acestea pot fi folosite în afara programului, acces VPN în rețea, etc.
  • politica de lock a stațiilor de lucru,
  • politica de folosire a USB-urilor,
  • politica de folosire Bluetooth,
  • politica de parole,
  • politica de backup.

Este bine de știut că aceleași politici de securitate ar trebui să se aplice și angajaților externi sau freelancerilor cu care compania dvs. colaborează dacă ei accesează / procesează sau stochează date cu caracter personal.

Infrastructura

Pentru conformarea GDPR (și nu numai) trebuie luate un set de măsuri tehnice începând de la website-uri, care trebuie securizate și până la securizarea rețelei interne. Asigurați-vă că rețeaua internă nu este accesibilă din exterior, că toate sistemele de operare sunt actualizate, evitați folosirea unor sisteme de operare depășite, folosiți antivirus actualizat pentru a minimiza riscurile și folosiți software de backup pentru toate datele importante.

Aplicațiile

Dacă sunteți dezvoltatori de aplicații sau simpli administratori ai aplicațiilor este foarte important de știut ce aplicații se folosesc pentru procesarea datelor cu caracter personal și să vă asigurați că ele sunt conforme GDPR. In sensul acesta noi recomandăm contactarea producătorilor aplicațiilor respective pentru detalii legate de conformitate cum ar fi: ce date și unde le stochează fiecare aplicație în parte.

După cum vedeți, măsurile tehnice care trebuie luate în vederea obținerii conformității la GDPR sunt numeroase iar gradul de complexitate a lor este destul de ridicat, astfel că se recomandă apelarea la servicii de consultanță GDPR oferite de echipe specializate sau chiar externalizarea acestor servicii către un DPO externalizat.

Cine e GDPR Complet și cum te putem ajuta? Suntem o echipă de specialiști cu experiență de peste 10 ani în domeniul managerial, juridic și IT. La bază suntem o companie IT și activăm de peste 18 ani în domeniul dezvoltării software, soluțiile software proprii având recunoaștere atât internă cât și internațională. Vrem să schimbăm mentalitatea despre conformarea GDPR în România, să ridicăm nivelul de profesionalism și să-l aliniem standardelor europene.

Dacă ai întrebări referitoare la conformarea GDPR, contactează-ne la contact@gdprcomplet.ro sau pe www.gdprcomplet.ro.

Google I/O 2025: Evenimentul care va prezenta noul Android 16, AI avansat și dispozitive Pixel. Când și unde are loc
Google I/O 2025: Evenimentul care va prezenta noul Android 16, AI avansat și dispozitive Pixel. Când și unde are loc
Google a anunțat oficial că evenimentul anual I/O 2025 va avea loc pe 20 și 21 mai, la sediul său din Mountain View, California. Tradițional, I/O este locul unde sunt prezentate noile versiuni...
Apple pregătește lansări surpriză! iPhone SE 4, MacBook Air M4 și noi funcții pentru Vision Pro, anunțate în curând
Apple pregătește lansări surpriză! iPhone SE 4, MacBook Air M4 și noi funcții pentru Vision Pro, anunțate în curând
Apple se pregătește să ofere o serie de anunțuri majore, iar fanii brandului sunt pe punctul de a primi vești importante despre noile produse. Potrivit lui Mark Gurman de la Bloomberg,...
#GDPR, #securitate date, #proceduri securitate , #Stiri Companii

Curs valutar

1 EUR = 4.9770 RON

-0.0001

1 USD = 4.7980 RON

-0.0264
  1. De ce boicotul suveraniștilor ignoră realitatea de pe teren. Declarațiile fermierilor români despre relațiile cu marile magazine
  2. O celebră fabrică din România se vinde la licitație. Care este prețul de pornire
  3. Opt din zece șoferi ar putea plăti taxa pe poluare. „Cu cât un mijloc de transport este mai poluant, cu atât va fi mai mare”
  4. Un fost premier distruge ideea boicotării marilor magazine: "Dacă vreți să-i lăsați fără job pe românii care lucrează în supermarketuri..."
  5. Istoria se rescrie "electric". Duba TV, vechiul brand românesc, revine pe șosele într-o nouă prezentare, cu parfum de China VIDEO
  6. Proprietarii de mașini, loviți puternic. Guvernul pregătește o nouă taxă
  7. ”Ce zice popa, nu ce face popa!”. Cum promovează produse din import susținătorii boicotului de pe 10 februarie VIDEO
  8. Un român își duce Dacia 1310 pe faimosul Route 66 din SUA, până în California. Va fi al doilea român care face această călătorie. Cum arată mașina FOTO
  9. Un magistrat dă de pământ cu Călin Georgescu și cu toți cei care susțin boicotul împotriva supermarketurilor și multinaționalelor: ”Când vă cheamă unul care vorbește cu extratereștri”
  10. Putin este distrus, prăbușire de 75%: Criza unui produs prețios lovește dur Rusia