O negócio

Diretrizes para alcançar a conformidade com o GDPR

Tempos emocionantes em que vivemos! A era digital abriu um mundo de possibilidades como nunca antes. A internet é quase onipresente e pode ser conectada a praticamente qualquer dispositivo, resultando em diversas circulações, trocas e acúmulos de dados.

Pode-se facilmente pagar despesas, compartilhar documentos, fazer uma compra e realizar uma variedade de outras tarefas diárias sem sair de casa. É assim que a tecnologia moderna melhora nossa qualidade de vida. Nossa privacidade tem um preço.

Como as informações pessoais são trocadas online, os predadores exploram as vulnerabilidades de segurança. Empresas são comprometidas e identidades, fundos e propriedade intelectual são levados.

Obrigações de Conformidade com o GDPR

Fonte: techdonut.co.uk

O Regulamento Geral de Proteção de Dados (“GDPR”) foi promulgado para fechar vulnerabilidades de proteção de privacidade de dados que a obsoleta Diretiva de Proteção de Dados não conseguiu fechar. O GDPR impõe obrigações a empresas de 28 estados membros da UE e regula como elas manipulam dados no Território da UE. O GDPR exige que as empresas exerçam a devida diligência e cumpram os princípios predeterminados de proteção de dados e as condições de processamento ao armazenar, acumular ou transferir dados.

De acordo com a diretiva GDPR, qualquer informação pertencente a um indivíduo (nome, foto, endereço de e-mail, dados bancários, dados de localização, informações médicas ou mesmo endereço IP do computador e atualizações em sites de redes sociais) deve ser considerada dados pessoais e sua segurança processamento deve ser assegurado.

A execução eficaz de estratégias de proteção de dados pessoais é suportada pelos princípios do GDPR que impõem certas restrições e requisitos. Os princípios estipulam as responsabilidades das empresas para garantir:

  • O titular deu consentimento legal inequívoco para coletar e processar dados pessoais apenas para fins legítimos
  • O titular está ciente de todas as atividades de processamento de dados pessoais
  • Apenas as informações necessárias para fins específicos e explícitos são coletadas
  • Os dados são precisos e atuais
  • Quando os dados não são mais necessários, eles são destruídos ou excluídos adequadamente
  • Os dados são protegidos contra processamento não autorizado ou ilegal, perda, corrupção ou apagamento.

Conformidade com as etapas de implementação do GDPR

Fonte: csoonline.com

A maioria das empresas desenvolveu certas estratégias em suas operações diárias para garantir a privacidade das informações pessoais de seus clientes por um período considerável de tempo, com base na ampla orientação fornecida por nossa experiência em projetos anteriores.

As estratégias têm surtido efeito já há algum tempo. Revisar e revisar a política de privacidade de acordo com os regulamentos de proteção de dados do GDPR exigiu um maior fortalecimento das estratégias existentes. Para garantir a conformidade com o GDPR, por exemplo, empresas como Agilway revisitou as operações de processamento de dados nas seguintes áreas.

Controle de acesso às instalações de processamento de dados

As empresas implementaram as seguintes medidas de segurança para impedir o acesso não autorizado ao local onde os dados são processados:

  • A entrada no edifício de escritórios só é permitida com uma chave inteligente pessoal que dá acesso aos setores correspondentes do escritório, enquanto autenticação biométrica é necessário obter as chaves para salas de projeto. O compartimento do servidor só pode ser acessado por pessoal autorizado.
  • Quando um funcionário sai de uma organização, seu cartão inteligente personalizado e registro biométrico são excluídos.
  • O escritório é protegido à noite e conectado a um sistema centralizado de vigilância policial. Guardas estão presentes nas instalações o tempo todo. A entrada, escadas, saguões e áreas de estacionamento são equipadas com um sistema de videovigilância.
  • Visitantes não são permitidos, a menos que previamente autorizados pela gerência ou RH e acompanhados por um funcionário. Os convidados não têm acesso à rede corporativa.

Controle de acesso ao sistema de processamento de dados

Fonte: ncsc.gov.uk

Para impedir o acesso não autorizado aos sistemas de processamento de dados, eles também implementaram as seguintes medidas de segurança:

  • O acesso aos dados do projeto é concedido pela gerência (CTO, COO, SysAdmin (somente rastreamentos de rede)) com base na posição e responsabilidade de um funcionário
  • A política de senha da empresa protege sistemas internos (CRM, RH, contabilidade, gerenciamento de projetos, etc.) e pastas de projetos de clientes
  • Um firewall configurado em um roteador controla o tráfego de entrada
  • O processamento de dados não é terceirizado para terceiros.

Controle de acesso a dados

A equipa só pode recolher e tratar dados autorizados a aceder de acordo com os direitos de acesso concedidos pelos titulares dos dados. As informações pessoais não podem ser acessadas, armazenadas, copiadas, modificadas, transferidas, excluídas ou compartilhadas com terceiros não autorizados. É realizado por:

  • Obtenção do consentimento do cliente para o tratamento de dados ao abrigo do RGPD.
  • Antes de conceder acesso aos dados, todo novo funcionário deve firmar um acordo de confidencialidade.
  • Modificar a permissão de acesso sempre que houver mudança de cargo, função ou saída do funcionário da empresa.
  • Bloquear todos os acessos, devolver documentos/materiais, reatribuir funções ativas, devolver computadores e outros dispositivos, desabilitar e-mails corporativos, barrar chave inteligente pessoal e remover impressões digitais do banco de dados, etc.
  • Reformatação de suportes de dados obsoletos e eliminação de todos os documentos desnecessários com dispositivos trituradores.
  • Criptografando todos os discos rígidos de laptop para salvaguardar as informações.
  • Terminado o projeto ou período de suporte/garantia, o acesso aos documentos é restrito.

Separação de controle de processamento de dados para finalidades distintas

As seguintes ações garantem que os dados pessoais recolhidos de vários clientes e para diferentes finalidades são tratados separadamente:

  • O controle de permissão de acesso é implementado para conceder às posições acesso ao conjunto de informações especificado.
  • Os dados são armazenados em vários locais. Normalmente, não transmitimos dados dos servidores do cliente, pois apenas os funcionários relacionados ao projeto recebem acesso do cliente.
  • A menos que nosso DevOps seja solicitado, o departamento interno de TI do cliente é responsável pela implantação da produção.

Gerenciamento de Transmissão de Dados

Fonte: expressanalytics.com

De acordo com as disposições do GDPR, o controlador ou processador só pode transmitir dados pessoais se forem fornecidas proteções adequadas. Ele garante a segurança dos dados durante os fluxos de dados internacionais por:

  • Assinatura de Cláusulas Contratuais de Transferência de Dados Pessoais com o titular dos dados para definir as condições e obrigações sob as quais o processador de dados realiza operações de processamento de dados.
  • Acessar e/ou processar dados no servidor do cliente ou armazenamento de documentos. De outra forma, Secure VPN e protocolos Baixe documentos contendo dados pessoais via SSL.
  • Transmitindo apenas dados eletrônicos via VPN e SSL.
  • Nomear um responsável pela proteção de dados que monitore a conformidade da empresa com o GDPR.

Supervisão de Disponibilidade de Dados

Toma precauções específicas para proteger as informações pessoais contra destruição ou perda acidental. As medidas implementadas incluem:

  • Evite interrupções de serviço em data centers (fonte de alimentação ininterrupta, salas de servidores com ar condicionado, sistema de detecção de fumaça).
  • Inicialização automática do servidor/banco de dados a partir de um backup especificado.
  • Utilizando serviços de nuvem AWS e Azure com servidores baseados na UE para hospedar dados de clientes e armazenar backups.
  • Criptografia de arquivos de dados.

Assim que o GDPR entrou em vigor, as empresas revisaram seus processos de negócios para garantir que estavam em conformidade com o regulamento que rege o processamento de dados pessoais e implementaram as mudanças necessárias para permanecerem vigilantes contra violações de dados.

Ao instituir medidas técnicas e organizacionais apropriadas, educar funcionários, atualizar contratos e proteger o ambiente, garantimos que nenhuma intenção maliciosa passará despercebida por nossos clientes.

Terra e mundo é um lugar onde você pode encontrar diferentes fatos conhecidos e desconhecidos do nosso planeta Terra. O site também cobre coisas relacionadas ao mundo. O Site é dedicado a fornecer fatos e informações para fins de conhecimento e entretenimento.

Contacto

Se você tiver alguma sugestão e dúvida, entre em contato conosco nos detalhes abaixo. Ficaremos muito felizes em ouvir de você.

[email protegido]

Divulgação da Amazon

EarthNWorld.com é um participante do Programa de Associados da Amazon Services LLC, um programa de publicidade de afiliados projetado para fornecer um meio para os sites ganharem taxas de publicidade por meio de publicidade e links para a Amazon.com. Amazon, o logotipo Amazon, AmazonSupply e o logotipo AmazonSupply são marcas registradas da Amazon.com, Inc. ou de suas afiliadas.

para o início