Рекомендации по обеспечению соответствия GDPR

В интересное время мы живем! Цифровая эпоха открыла мир возможностей, как никогда раньше. Интернет почти вездесущ и может быть подключен практически к любому устройству, что приводит к разнообразной циркуляции, обмену и накоплению данных.

Можно легко оплачивать расходы, обмениваться документами, совершать покупки и выполнять множество других повседневных обязанностей, не покидая своего места жительства. Так современные технологии улучшают качество нашей жизни. Наша конфиденциальность имеет свою цену.

При обмене личной информацией в Интернете злоумышленники используют уязвимости системы безопасности. Компании подвергаются компрометации, а личности, средства и интеллектуальная собственность забираются.

Обязательства по соблюдению GDPR

Общий регламент по защите данных («GDPR») был принят для закрытия уязвимостей в защите конфиденциальности данных, которые не могла закрыть устаревшая Директива о защите данных. GDPR налагает обязательства на предприятия из 28 стран-членов ЕС и регулирует порядок манипулирования данными на территории ЕС. GDPR требует от компаний проявлять должную осмотрительность и соблюдать заранее определенные принципы защиты данных и условия обработки при хранении, накоплении или передаче данных.

Согласно директиве GDPR, любая информация, относящаяся к физическому лицу (имя, фотография, адрес электронной почты, банковские реквизиты, сведения о местоположении, медицинская информация или даже IP-адрес компьютера и обновления на веб-сайтах социальных сетей), считается персональными данными, и ее безопасность должна быть обеспечена обработка.

Эффективное выполнение стратегий защиты персональных данных поддерживается принципами GDPR, которые налагают определенные ограничения и требования. Принципы определяют обязанности компаний по обеспечению:

• Субъект дал однозначное юридическое согласие на сбор и обработку персональных данных только в законных целях.
• Субъект осведомлен обо всех действиях по обработке персональных данных
• Собирается только информация, необходимая для определенных и явных целей.
• Данные точные и актуальные
• Когда данные больше не требуются, они уничтожаются или удаляются должным образом
• Данные защищены от несанкционированной или незаконной обработки, потери, повреждения или стирания.

Соответствие шагам реализации GDPR

Большинство компаний разработали определенные стратегии в рамках своей повседневной деятельности, чтобы обеспечить конфиденциальность личной информации своих клиентов в течение значительного периода времени, основываясь на обширных рекомендациях, предоставленных нашим опытом прошлых проектов.

Стратегии были эффективны в течение некоторого времени. Пересмотр и пересмотр политики конфиденциальности в соответствии с положениями GDPR о защите данных потребовали дальнейшего усиления существующих стратегий. Например, для обеспечения соблюдения GDPR такие компании, как Агилуэй пересмотрела операции обработки данных в следующих областях.

Контроль доступа к средствам обработки данных

Компании внедрили следующие меры безопасности для предотвращения несанкционированного доступа к месту, где обрабатываются данные:

• Вход в офисное здание разрешен только с личным смарт-ключом, дающим доступ к соответствующим секторам офиса, при этом биометрическая аутентификация требуется для получения ключей от помещений проекта. Доступ в серверный отсек возможен только для уполномоченного персонала.
• Когда сотрудник покидает организацию, его персонализированная смарт-карта и биометрическая запись удаляются.
• Ночью офис охраняется и подключен к централизованной полицейской системе наблюдения. На территории круглосуточно дежурит охрана. Подъезд, лестничные клетки, вестибюли и парковочные зоны оборудованы системой видеонаблюдения.
• Посетители не допускаются без предварительного разрешения руководства или отдела кадров и в сопровождении сотрудника. Гости не имеют доступа к корпоративной сети.

Контроль доступа к системе обработки данных

Для предотвращения несанкционированного доступа к системам обработки данных также реализованы следующие меры безопасности:

• Доступ к данным проекта предоставляется руководством (технический директор, главный операционный директор, системный администратор (только сетевые трассировки)) в зависимости от должности и ответственности сотрудника.
• Политика паролей компании защищает внутренние системы (CRM, HR, бухгалтерия, управление проектами и т. д.) и папки клиентских проектов.
• Брандмауэр, настроенный на маршрутизаторе, контролирует входящий трафик.
• Обработка данных не передается третьей стороне.

Контроль доступа к данным

Команда может собирать и обрабатывать только те данные, к которым разрешен доступ в соответствии с правами доступа, предоставленными субъектами данных. Личная информация не может быть доступна, сохранена, скопирована, изменена, передана, удалена или передана неуполномоченным лицам. Осуществляется:

• Получение согласия заказчика на обработку данных в соответствии с GDPR.
• Перед предоставлением доступа к данным каждый новый сотрудник должен подписать соглашение о неразглашении.
• Изменение разрешения на доступ всякий раз, когда меняется должность, функция или уход сотрудника из компании.
• Блокировка всех доступов, возврат документов/материалов, переназначение активных обязанностей, возврат компьютеров и других устройств, отключение корпоративной электронной почты, запрет личного смарт-ключа, удаление отпечатков пальцев из базы данных и т. д.
• Переформатирование устаревших носителей данных и удаление всех ненужных документов с помощью шредеров.
• Шифрование всех жестких дисков ноутбука для защиты информации.
• По завершении проекта или периода поддержки/гарантии доступ к документам ограничивается.

Управление разделением обработки данных для разных целей

Следующие действия обеспечивают раздельную обработку персональных данных, собранных от разных клиентов и для разных целей:

• Управление правами доступа реализовано для предоставления позициям доступа к указанному набору информации.
• Данные хранятся в разных местах. Как правило, мы не передаем данные с клиентских серверов, так как клиент предоставляет доступ только сотрудникам, связанным с проектом.
• Если наши DevOps не запрошены, внутренний ИТ-отдел клиента отвечает за производственное развертывание.

Управление передачей данных

В соответствии с положениями GDPR контролер или обработчик может передавать персональные данные только в том случае, если обеспечена надлежащая защита. Он обеспечивает безопасность данных во время международных потоков данных за счет:

• Подписание договорных положений о передаче персональных данных с субъектом данных для определения условий и обязательств, в соответствии с которыми обработчик данных выполняет операции по обработке данных.
• Доступ и/или обработка данных на клиентском сервере или в хранилище документов. В противном случае, Безопасная VPN и протоколы Загрузка документов, содержащих персональные данные, через SSL.
• Передача только электронных данных через VPN и SSL.
• Назначение сотрудника по защите данных, который следит за соблюдением компанией GDPR.

Контроль доступности данных

Требуются особые меры предосторожности для защиты личной информации от случайного уничтожения или потери. Реализованные меры включают:

• Предотвратить перебои в работе дата-центров (обеспечение бесперебойного питания, кондиционирование серверных, система обнаружения дыма).
• Автоматический запуск сервера/базы данных из указанной резервной копии.
• Использование AWS и облачных сервисов Azure с серверами в ЕС для размещения клиентских данных и хранения резервных копий.
• Шифрование архивов данных.

Как только GDPR вступил в силу, компании пересмотрели свои бизнес-процессы, чтобы убедиться, что они соответствуют положению, регулирующему обработку персональных данных, и внедрили необходимые изменения, чтобы сохранять бдительность в отношении утечек данных.

Принимая соответствующие технические и организационные меры, обучая сотрудников, обновляя контракты и защищая окружающую среду, мы гарантируем, что ни одно злонамеренное намерение не останется незамеченным нашими клиентами.