GDPR CATALOG2: LAST MINUTE REGISTRATION

This week we are preparing to close the subscriptions for the GDPR Catalog – the first GDPR publishing project in Romania. The Catalog will be released in February 2018, in both versions print and online. Any GDPR conformity solutions and services provider could send us last minute participation request.

What’s the point?

After the success of the first GDPR Ready Catalog published in October 2017 (A5 size, 96 pg), AGORA Group and cloud☁mania knowledge platform decided to continue to support data operators in Romania, doing just a little more than simply raising awareness.

In this spirit, the second edition of the GDPR Catalog will be dedicated to personal data protection processes and solutions focusing on the practical aspects of implementing the GDPR compliance process.

Like the previous edition, the GDPR Practical Catalog consists of two parts:

  • A Good Practice Guide that will offer recommendations from experts on concrete issues such as: How do we choose a DPO? How do we map data? What are the roles of operators and processors? How do we start the impact analysis? How do we conduct incidents management? Who, when and to who is reporting?
  • A Catalog of Offers for GDPR compliant solutions, consultancy, audit and certification services currently provided on the Romanian market.

By participating in the GDPR Practical Catalog, we offer you the chance to turn the market anxiety towards a Regulation that will affect 98% of Romanian companies in the opportunity to show your clients and prospects the value of the solutions and the expertise of the services provided for fast, and long-term compliance with GDPR.

Sounds interesting to you?

You can view the online edition of the first GDPR Ready Catalog here: https://issuu.com/agoramedia/docs/catalog_cloud_2017_ed7_gdpr

For the last minute registration, fill out the form below  

Advertisements

Cum poate organizația dumneavoastră să beneficieze de pe urma GDPR?

Autor: Scott REGISTER, Vice President of Product Management for Security and Cloud, Ixia Solutions Group, a Keysight business

GDPR (Regulamentul general privind protecția datelor) va intra în vigoare în spațiul Uniunii Europene în data de 25 mai 2018. Scopul principal al acestei reglementări este protecția datelor utilizatorului și acordarea controlului efectiv al utilizatorilor asupra acestor date.

Unul dintre principalele ingrediente ale GDPR este „pseudonimizarea” datelor, ceea ce înseamnă că, dacă cineva obține date aparținând unui utilizator, acestea nu trebuie să aibă capacitatea de a conecta acele date cu un anumit utilizator. Aceasta se poate realiza prin criptarea sau mascarea datelor și ar trebui efectuată cât mai curând posibil pentru a asigura protecția maximă. Companiile care încalcă GDPR prin protecția necorespunzătoare a datelor utilizatorului riscă amenzi mari, care pot merge până la 4% din venitul anual.

Deși acest lucru poate constitui o problemă pentru organizații în procesul de recuperare și reconstituire a datelor, acest proces nu este in mod necesar negativ, şi aceasta din mai multe motive. În primul rând, acesta înlocuiește un mozaic de reglementări naționale cu un singur set de reguli la nivelul UE, ceea ce face conformitatea mult mai facilă și mai puțin costisitoare pentru corporațiile multinaționale. În al doilea rând, poate fi folosit ca o oportunitate de a reglementa procesele interne și de a îmbunătăți securitatea, ceea ce are beneficii atât pe termen scurt, cât și pe termen mediu și lung.

Datele care au trecut prin procesul de „pseudonimizare”, criptarea acestora și constrângerile de audit (și de trasabilitate) sunt mai mult decât provocări tehnologice, întrucât tehnologia adecvată este disponibilă pe scară largă în produsele off-the-shelf. Acestea ar trebui văzute de drept ca provocări legate de gestionarea datelor. Pentru a asigura protecția și evidența datelor personale ale utilizatorilor în toate etapele procesării, trebuie stabilit un singur flux de proces pentru achiziționarea, manipularea, prelucrarea, stocarea și dispunerea datelor respective într-un singur flux de lucru.

Specialiștii IT știu că integrarea datelor – combinarea și compararea datelor din mai multe surse, cum ar fi bazele de date disparate – este una dintre cele mai dificile provocări operaționale cu care se confruntă și implică adesea multă muncă. Multe organizații ar putea fi chiar puse în încurcătura dacă ar trebui să dezvăluie că gestionarea și prelucrarea datelor cheie se realizează prin completarea manuală a unei foi de calcul, care nu este automatizată, eficientă, foarte sigură sau ușor de auditat.

GDPR oferă un catalizator extern prin care IT-ul poate avea un avantaj pentru a forța îmbunătățirile procesului de gestionare a datelor. Începând din luna mai a anului următor, organizațiile vor fi obligate să localizeze datele utilizatorilor într-un spațiu protejat și să monitorizeze cu atenție accesul la acesta – care este scopul final al personalului IT de securitate. Aceasta nu mai este o dezbatere cu privire la probabilitatea sau costul unei breșe reale. Simpla eșuare de a proteja datele în mod corespunzător va fi pedepsită și va fi costisitoare. Mai mult decât atât, spre deosebire de un atac de scurtă durată sau unul de tip DDoS, GDPR este larg mediatizat, ușor de înțeles în esența lui și foarte clar în privința faptului că fiecare organizație care operează în UE este supusă acestuia.

Un beneficiu suplimentar la această cerință îl reprezintă reducerea IT-ului din umbră, deoarece datele stocate în depozitele disparate nu pot fi ușor pseudonimizate sau auditate. Organizația inteligentă nu va utiliza GDPR ca pe un mijloc (sau a unui pretext) pentru a iniția cheltuieli majore de noi soluții de securitate, ci ca pe un laser pentru a re-imagina conductele lor de prelucrare a datelor având securitatea ca punct central, cu multe avantaje convingătoare:

1 Achiziționarea de date – în cadrul GDPR, va fi esențial ca datele utilizatorilor care stau în jurul punctelor de colectare (cum ar fi terminalele Point of Sale) să nu fie lăsate mai mult decât este necesar și ca acestea să fie criptate cât mai curând posibil. Acest lucru va reduce cerințele distribuite de stocare, va îmbunătăți securitatea și va facilita transferuri mai rapide de date de la punctele de colectare către miezul afacerii – fapt ce are avantajul de a permite o înțelegere mai rapidă a afacerilor în timp real. Într-o organizație de retail, de exemplu, nu ar fi mai bine să se știe în câteva minute că magazinele văd o creștere a vânzărilor unui anumit pulover, mai degrabă decât în câteva zile?

2 Transferul de date – până în prezent, majoritatea organizațiilor au implementat tehnologia VPN, însă pentru cei ramași în urmă acest lucru va alimenta IT-ul pentru a forța actualizarea.

3 Prelucrarea și stocarea datelor – GDPR cere ca datele să fie pseudonimizate cât mai curând posibil, ceea ce înseamnă că nu trebuie să fie posibilă corelarea unui anumit utilizator cu un set de date; de exemplu, datele ar putea arăta că 180 de cumpărători se aflau într-o anumită sucursală a unei bănci într-o zi, dar nu și cine erau acei utilizatori. Acest lucru poate determina o reconsiderare atentă a datelor colectate, modul în care acestea sunt stocate și asigurarea faptului că deciziile critice bazate pe utilizatori (cum ar fi direcționarea anunțurilor către un anumit client pe baza comportamentului acestuia) se fac cât mai repede posibil – cu rezultate de afaceri foarte benefice. Și prin automatizarea acestei procesări vs. Cea manuală se realizează o protecție mult mai ușoară și mai controlată a datelor.

4 Stocarea și dispunerea datelor – orice date stocate de utilizator prezintă un risc de compromis. Îndepărtarea mai agresivă a datelor utilizatorilor, în special a celor detaliate și non-pseudonimizate, va reduce atât costurile de stocare, cât și dictarea unor controale mai stricte privind gestionarea datelor (cum ar fi dispunerea copiilor de rezervă). În special, acești pași trebuie să fie clar documentați și auditați în mod regulat, fapt ce va intra adesea în sarcina responsabilului cu protecția datelor Data Protection Officer (DPO). Traseul de audit va deveni deosebit de important dacă practica unei organizații este contestată în instanță, deoarece un jurnal de audit clar și consecvent va oferi o apărare robustă a protecției datelor organizației și respectării GDPR.

Bazându-se pe publicitatea din jurul inițiativei de a face ca organizația să răspundă și cu deadline-ul apropiindu-se rapid, magazinele IT trebuie să facă din GDPR o prioritate urgentă. Piatra de temelie a unei abordări eficiente și productive în cadrul strategiei GDPR nu este de a descompune procesul actual în pași discreți și de a implementa soluții de securitate punct pentru a face ajustări de securitate necoordonate pe parcursul acestor pași. Cea mai bună abordare este de a lua în considerare și de a răspunde la următoarele întrebări:

  • Ce date colectăm despre utilizatorii noștri?
  • Cum le colectăm?
  • Cât de rapid le putem muta din punctul de colectare către centrul de date pentru procesare?
  • Cum procesăm acele date și cât timp trebuie ca elementele de date să fie identificabile
  • personal?
  • Cât de repede putem renunța la toate sau la o parte din ceea ce am colectat?
  • Cum putem proteja și pseudonimiza acele date într-un mod holistic și ușor de verificat?

Organizația care abordează GDPR ca pe o re-imaginare a proceselor de afaceri, mai degrabă decât ca pe o erupție a cheltuielilor noi de securitate, va constata că beneficiile pe termen lung depășesc cu mult securitatea și că atitudinea lor generală in privința securității este mult îmbunătățită.

Articol publicat de compania IXIA în Catalogul GDPR Ready, Octombrie 2017.

Abordarea „D(atelor)” în GDPR

 

Acest articol a fost publicat de compania Relational în Catalogul GDPR Ready

Relational este un integrator de software internațional, fiind cel mai important distribuitor al Informatica INC. în România.

 

Pentru a ajuta la înțelegerea regulamentelor, Informatica identifică următoarele puncte, care evidențiază provocările GDPR:

1 Descoperirea datelor sensibile și analiza riscurilor – caracterizată ca fiind un caz de detectare și protecție. Aceste capabilități furnizează informații despre unde sunt datele sensibile din domeniul de aplicare și unde se proliferează, cu informații analitice.

Soluții tehnologice: Informatica Secure@Source poate descoperi locația datelor, să le clasifice, să monitorizeze proliferarea datelor și să aloce scorurile de risc. Urmărind în timp aceste informații, putem aprecia modul în care modificările influențează pozitiv sau negativ eforturile de conformitate.

2 Interpretarea politicilor – caracterizată ca fiind un caz de Enterprise Data Governance. Aceste capabilități oferă o vizualizare completă a gestionării organizaționale a datelor, legând viziunea informațiilor între Business şi IT.

Soluții tehnologice: soluțiile de Enterprise Data Governance permit funcțiilor din Business și IT să colaboreze în vederea atingerii scopului comun al administrării datelor. Soluțiile, precum Informatica Axon, sunt concepute pentru a uni vizibilitatea datelor pentru Business și IT, și pentru a crea o legătură între data asset-urile logice și fizice.

3 Gestionarea datelor personale – caracterizată ca fiind un caz de potrivire si legare a datelor. Acestea sunt capabilități pentru identificarea în sisteme a înregistrărilor datelor persoanelor vizate și pentru oferirea unei vizualizări încrucișate a datelor, prin potrivirea și crearea de legături între ele.

Soluții tehnologice: ajuta la descoperirea înregistrărilor persoanelor vizate din toate domeniile de date, utilizând algoritmi avansați pentru a se potrivi cu toate datele referitoare la același subiect de date, indiferent de locul în care sunt stocate datele. Informatica Relate 360 utilizează algoritmi avansați pentru identificarea datelor asociate aceleiași persoane, iar Master Data Management oferă cadrul pentru menținerea și gestionarea unei vizualizări comune a datelor privind persoanele vizate.

4 Activarea controlului consimțământului – caracterizat ca fiind un caz de detectare și protecție a utilizării. Acestea sunt capabilități de bază pentru protejarea și securizarea accesului la date, aplicarea unor controale centrate pe date, precum mascarea, criptarea și controlul accesului, gestionarea ciclului de viață al datelor, inclusiv arhivarea, ștergerea datelor și a aplicației.

Soluții tehnologice: pot contribui la gestionarea ciclului de viață al activelor de date și pot aplica controale asupra acestor active. Informatica Permanent/Dynamic Data Masking şi Data Archiving pot fi utilizate pentru a limita automat numărul de persoane și sistemele care au acces nerestricționat la datele cu caracter personal.

PENTRU DETALII: RELATIONAL ROMANIA SRL, Address: 4, Splaiul Unirii, Bloc B3, Tronson 2, Bucuresti, Sector 4, Phone: 021/ 3155730, 021/3155731, Fax: 021/3155733, Email: sales@relational.ro; http://www.relationalfs.com

Provocarea GDPR: de la oameni, la procese și tehnologie

Cât de pregătiți sunteți?

Pe lângă provocările de ordin procedural (consimțământ, training-ul angajaților, codurile de conduită, certificări, notificări în caz de incidente), noul regulament, GDPR, vine și cu provocări de ordin tehnic: securizarea, clasificarea datelor, definirea utilizatorilor, a accesului. Toate acestea reprezintă subiecte cărora trebuie să le acordam o atenție sporită, deoarece este vorba de implementări de soluții software care necesită bugetări, aprobări speciale pentru achiziție, POC-uri, instalări, într-un cuvânt, TIMP, iar în acest moment suntem la doar câteva luni până la aplicarea sancțiunilor (2% din CA globală sau până la 20 milioane de euro).

Știți unde să vă concentrați atenția? Știți unde se află datele necesare pentru a evalua dacă îndepliniți cerințele de conformitate cu GDPR? Toate tehnologiile pe care le implementați pentru a obține conformitatea cu GDPR vă vor ajuta să îmbunătățiți strategia generală de securitate, astfel încât să puteți avea o afacere mai bună și mai competitivă.

Pașii unui proiect de conformitate cu GDPR:

1.Descoperirea datelor și evaluarea riscurilor – Identificați datele personale și unde se află acestea în mediile dumneavoastră de tip cloud/local. Acest lucru ar putea dura luni și implică colaborarea cu toate departamentele pentru a înțelege ce date sunt utilizate, stocate și tranzacționate.

2.Audit de protecție a datelor – Acum că știți unde se găsesc toate datele dumneavoastră, trebuie să evaluați dacă există tehnologii și procese potrivite pentru a vă ajuta să controlați accesul la sistemele dumneavoastră.

3.Evaluarea securității – Evaluați soluțiile de securitate existente pentru a stabili dacă tehnologiile pe care le aveți în utilizare oferă o protecție adecvată, în timp real, construită pentru amenințările actuale. Ca de exemplu, malware-urile complexe care sunt concepute pentru a ocoli măsurile tradiționale de securitate bazate pe semnături. Identificați toate vulnerabilitățile și lacunele. Experții noștri vă vor ajuta să creați un sistem de securitate integrat și actual.

4.Planul de răspuns la incidente – Aplicați tehnologiile și procesele de securitate pentru a opri un incident, pentru a atenua impactul și a îl raporta. Raportul dumneavoastră către autorități trebuie să includă consecințele posibile ale încălcării și acțiunea pe care o veți lua pentru a atenua posibilele efecte negative asupra persoanelor vizate.

Romsym Data, prin intermediul partenerilor și a specialiștilor săi, vă propune un program de conformitate care vă va ajuta să înțelegeți:

  • Cât de pregătit sunteți;
  • La ce riscuri ar putea fi expusă organizația dumneavoastră;
  • Principalele proiecte și implementări de tehnologii pe care le-ați putea întreprinde în pregătirea pentru GDPR.

Acest articol a fost publicat de compania Romsym Data în Catalogul GDPR Ready

Sunt furnizor de Cloud. Cum pot obține conformitatea GDPR?

Bart van Buitenen

Bart van Buitenen

 

Bart van Buitenen este managing partner al White Wire, o firmă de consultanță de tip boutique specializată în servicii de protecție a datelor pentru organizațiile de îngrijire a sănătății, IMM – uri și companii de tehnologie din întreaga UE.

 

 

Dacă sunteți un furnizor de Cloud, cu sau fără sediu în UE, este foarte probabil că o parte din datele pe care le prelucrați sunt pe teritoriu european sau privesc persoane care au un domiciliu stabil în UE, și atunci trebuie să vă aliniați la reglementările GDPR. Termenul specific care indică un furnizor care procesează date personale în numele unei organizații este cel de Procesator.

Până acum, o mare atenție se punea pe rolul de “Operator”, adică organizația care este responsabilă cu determinarea mijloacelor și scopurilor procesării, fără să se acorde o prea mare atenție rolului procesatorului. Și iată că față de legislația anterioară, GDPR schimbă multe lucruri în legătură cu obligațiile procesatorului, de exemplu în ceea ce privește răspunderea, responsabilitate și o serie de noi obligații. Iată câteva dintre cele mai importante aspecte pe care cred că furnizorii de Cloud ar trebui să le aibă în vedere, cu toată seriozitatea, până pe 25 mai 2018.

1. Acordurile de prelucrare a datelor

Operatorii sunt cei care trebuie să ofere instrucțiuni specifice procesatorilor, iar astfel de instrucțiuni trebuie să fie documentate în așa-numitele “Acorduri de prelucrare a datelor”. Astfel de acorduri nu sunt noi: ele au fost, de asemenea, impuse în temeiul legislației europene anterioare privind protecția datelor (Directiva 95/46 și, prin urmare, au devenit aplicabile prin legislația fiecărui stat membru), dar în practică acorduri corecte și concrete sunt destul de greu de găsit… Cele mai multe organizații nu au fost conștiente de cerința unor acorduri de procesare a datelor, iar pentru furnizorii de Cloud, acest lucru însemna, de obicei, mai multă muncă și responsabilități, fără prea multe avantaje în schimb.

Acest lucru s-a schimbat în GDPR: Articolul 28 menționează în mod specific acordurile de prelucrare a datelor și arată în detaliu ce ar trebui să includă. Spre deosebire de anii precedenți, furnizorii de Cloud au acum un stimulent clar pentru a încheia acorduri de prelucrare. Acordul trebuie să includă instrucțiunile pentru furnizorul de Cloud și, ca atare, devine un factor foarte important în stabilirea răspunderii. (Articolul 82, Alineatul 2).

Sfaturi:

  • Fiți proactivi, nu așteptați ca operatorul să va propună primul acordul de procesare a datelor! Astfel, veți avea posibilitatea de a vă propune propriul model de contract și, în același timp, veți arăta clientului că pentru dvs. nu există secrete în GDPR.

2. Subcontractorii

Acordurile de prelucrare a datelor trebuie să fie încheiate cu clienții dvs., dar furnizorii de Cloud au adesea proprii lor subcontractori. În lumea IT, utilizarea subcontractorilor este ceva normal, iar mulți subcontractori vor fi într-adevăr procesatori pentru furnizorul de Cloud. Din perspectiva clienților care folosesc Cloudul (operatorii), acești subcontractori sunt deci ”subprocesatori”. Un furnizor de Cloud trebuie să ceară permisiunea operatorului de a utiliza subprocesatori, ceea ce ar trebui să se regăsească și în acordul dvs. de procesare (a se vedea secțiunea 1). Utilizarea de subprocesatori poate fi acoperită printr-o permisiune generică sau o permisiune specifică pentru fiecare subprocesator. Procesatorul rămâne responsabil, astfel încât acordurile cu subprocesatorii trebuie să aibă un grad ridicat de încredere pe lista furnizorilor de Cloud.

Sfaturi:

  • Solicitarea unei permisiuni specifice poate fi un o provocare. Cereți o permisiune generică și oferiți clienților posibilitatea de a consulta oricând o listă completă de subprocesatori, de ex. prin publicarea acestei liste pe o pagină dedicată de pe site-ul dvs.

 3. Înregistrarea activităților de prelucrare

Fiecare operator trebuie să mențină o evidență a activităților de procesare: un instrument de evidență sau un document care detaliază diferitele activități de prelucrare a datelor cu caracter personal din cadrul organizației. O versiune mai puțin riguroasă a acestei evidențe trebuie să fie menținută de procesator, dar care totuși trebuie să includă toate activitățile de procesare derulate pentru clienții săi.

Sfaturi:

  • Crearea unei astfel de evidențe a activităților de procesare va oferi o cunoaștere valoroasă în identificarea datelor pe care le procesați și ar trebui să fie una dintre primele acțiuni într-un plan de implementare GDPR.
  • Organizațiile se pierd, uneori, în detalii; rețineți că GDPR nu vă cere să mapați fiecare câmp de date, este vorba despre evidența activităților care se mapează destul de strâns cu serviciile oferite clienților.
  • Nu păstrați un registru pentru fiecare client; doar asigurați-vă că puteți asocia clienții cu activitățile de procesare prin includerea serviciilor pe care le oferiți pentru fiecare client în sistemul dvs. CRM sau în baza de date cu clienții.

4.Transferuri în afara UE

Atunci când datele cu caracter personal ale clienților din UE sunt transferate în țări din afara Uniunii este important ca datele să beneficieze de aceleași sisteme de protecție și garanții ca și în interiorul granițelor UE.

Sfaturi: Pentru a facilita astfel de transferuri, GDPR include mai multe mecanisme care fac acest lucru posibil, dintre care cele mai răspândite sunt:

  • Decizii de adecvare: atunci când UE a stabilit că o țară din afara UE (sau un acord specific cu o astfel de țară, de ex. Privacy Shield cu SUA) oferă o protecție adecvată.
  • Reguli corporative obligatorii (BCR – Binding Corporate Rules): multe companii multinaționale au subsidiare în țări din afara UE. Documentația BCR asociată unei organizații trebuie să se asigure că un transfer de date personale în afara UE, dar în cadrul aceleiași organizații, oferă aceleași garanții de protecție. Autoritățile de protecție a datelor trebuie să valideze BCR înainte ca prevederile să fie aplicate.
  • Clauze contractuale standard (SCC – Standard Contratual Clauses): sunt contracte predefinite, validate de Comisia Europeană, ce conțin toate garanțiile de protecție necesare pentru transferurile în afara UE.

5. Securitatea informațiilor sau protecția datelor

Securitatea informațiilor și protecția nu sunt aceleași. Securitatea informațiilor se referă la toate informațiile, care includ datele cu caracter personal. Protecția datelor se referă la toate aspectele legate de prelucrarea datelor cu caracter personal, care includ securizarea informațiilor. Deci, în același timp există o suprapunere clară, dar și o diferență semnificativă.

Acestea fiind spuse, asigurarea informațiilor împotriva accesului neautorizat, pierderii sau distrugerii este un aspect foarte important în cadrul GDPR. Pe scurt, acest aspect al GDPR poate fi rezumat prin menținerea confidențialității, integrității și disponibilității (cunoscută și sub numele de CIA) datelor personale pe care un furnizor de Cloud le procesează. Rețineți că orice încălcare a acestor principii ale CIA (de exemplu, încălcări ale datelor) va trebui să ducă la o notificare către operator, care, la rândul său, va trebui să notifice autoritățile de protecție a datelor și persoanele vizate, dacă riscurile potențiale ale încălcării sunt destul de ridicate.

Sfaturi:

  • Alinierea inițiativelor GDPR la guvernarea securității informațiilor. De exemplu, standardul ISO27001 poate fi combinat cu principiile de protecție a datelor pentru a oferi un cadru care să abordeze atât securitatea informațiilor, cât și protecția datelor.
  • Gândiți și documentați o procedură de notificare înainte de a avea practic nevoie de ea.
  • Examinați necesitatea de numi un ofițer de protecție a datelor (DPO). Chiar și atunci când clienții individuali nu sunt obligați să numească unul, este posibil ca un furnizor de Cloud să fie nevoit să numească unul.

6. Obligația de asistare și notificare

Procesatorii sunt obligați să asiste sau să notifice operatorii atunci când au informații despre faptul că un operator trebuie să îndeplinească cerințele GDPR, cum ar fi executarea DPIA sau notificările de încălcare a datelor menționate anterior.

Sfaturi:

  • Documentați (de exemplu, în contractul de procesare sau în alt contract) cum trebuie să aibă loc asistența: cum ar trebui să se facă o cerere, în ce termen va răspunde furnizorul de Cloud și dacă există costuri asociate asistenței.

7. Fiecare procesator este, de asemenea, un operator

Rețineți că este foarte probabil ca furnizorii de Cloud să fie în același timp și procesatori și operatori de date în nume propriu. Unele departamente precum HR, Furnizori, Clienți pot efectua prelucrări de date cu caracter personal, caz în care trebuie să se supună acelorași principii ale GDPR.

Sfaturi:

  • Păstrați înregistrări separate privind activitățile de procesare (vezi secțiunea 3) pentru activitățile de operator și procesator.

 

Acest articol a fost publicat in primul Catalog GDPR Ready editat in Romania. Puteti vedea versiunea online AICI. Catalog GDPR Ready, pag. 50-53, Agora Group & cloud☁mania, Bucuresti, Octombrie 2017

 

Sunteți pregătiți pentru GDPR? Noi suntem pregătiți să vă ajutăm

Acest articol a fost publicat de compania Omega Trust îCatalogul GDPR Ready, Octombrie 2017

Ce este GDPR? Regulamentul European privind Protecția Datelor (GDPR) stabilește principii și măsuri de protecție a datelor cu caracter personal ale cetăţenilor Uniunii Europene pentru companiile și instituțiile care procesează astfel de date. GDPR reprezintă challenge-ul companiilor publice și private din următoarele 12 luni și este prima reglementare completă cu privire la protecția datelor emisă în ultimii 20 de ani care înlocuiește cadrul legislativ actual (Directiva 95/46/CE).

Pentru cine se aplică? Orice activitate instituțională desfășurată la nivelul Uniunii Europene ce procesează date cu caracter personal cu privire la angajați, clienți sau oricare alte entități cu care interacționează trebuie să se alinieze la cerințele GDPR.

Așadar, orice instituție publică sau privată de pe teritoriul Uniunii Europene sau din afara teritoriului Uniunii Europene (dacă manipulează date cu caracter personal ale unor cetățeni ai Uniunii Europene) care colectează, prelucrează și/sau stochează date cu caracter personal trebuie să răspundă prevederilor GDPR.

Ce reglementări aduce GDPR? Dreptul de a fi uitat și dreptul la portabilitatea datelor sunt printre principalele noi drepturi introduse ce vor impune prestatorilor de servicii să știe exact unde se află datele în sistemele lor și să ia măsuri privind ștergerea acestor date dacă este solicitat.

Nevoia de responsabil pentru protecția datelor GDPR mandatează ca toate organismele din sectorul public și cele implicate în monitorizarea sistematică și regulată a persoanelor vizate la scară largă sau în prelucrarea categoriilor speciale de date, vor trebui să angajeze un Responsabil cu Protecția Datelor (DPO).

Operatorii trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

  • pseudonimizarea și criptarea datelor
  • capacitatea de a asigura confidențialitatea,
  • integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare;
  • capacitatea de a restabili disponibilitatea datelor și accesul la acestea în timp util în cazul unui incident de natură fizică sau tehnică;
  • un proces pentru testarea, evaluarea și aprecierea periodica a eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării

Efectele neaplicării Neaplicarea prevederilor GDPR coroborată cu apariția unor incidente de securitate de natură să afecteze datele cu caracter personal poate atrage pentru instituții amenzi însemnate de până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală (în funcție de impactul incidentului produs).

Termen de implementare Regulamentul intră in vigoare la data de 25 mai 2018, dată până la care toate entitățile vizate de către GDPR trebuie să pună în aplicare prevederile specifice.

Cum putem sprijini procesul de aliniere la GDPR?

Oferim întregul suport necesar înțelegerii în primă etapă a prevederilor GDPR, a modului în care acestea trebuie transpuse și, ulterior, prin evaluarea modului în care se realizează prelucrarea datelor în companie și identificarea punctelor slabe, respectiv, prin asistarea selectării și implementării măsurilor tehnice și operaționale în cadrul organizației.

Serviciile noastre de consultanță pentru alinierea la GDPR se concentrează în jurul următoarelor module principale:

  • Modulul 1 – Cursuri de introducere și instruire, al căror scop este acela de a prezenta organizației și personalului component cerințele GDPR și modalitatea în care aceste cerințe trebuie puse în aplicare.
  • Modulul 2 – Analiza gap, al cărei scop este realizarea unei evaluari asupra conformității organizației și a sistemului de controale implementat în prezent în raport cu cerințele tehnice și operaționale specifice GDPR în urma căreia se va elabora un plan de acțiuni detaliat pentru corectarea acestor diferențe și, implicit, alinierea organizației la GDPR.
  • Modulul 3 – Analiza modelului de date utiliza, în cadrul căreia se analizează în detaliu impactul GDPR asupra organizației prin identificarea și punerea în evidență a datelor cu caracter personal procesate de organizație. Ca parte a acestei analize, urmărim identificarea activităților, proceselor și fluxurilor operaționale care colectează, prelucrează și stochează datele cu caracter personal. La finalul acestei analize, vom putea contura o imagine asupra datelor cu caracter personal, a tipologiei acestora și a dispunerii lor în cadrul organizației pentru a asigura o implementare uniformă și eficientă a măsurilor tehnice și organizaționale ale GDPR.
  • Modulul 4 – Definirea politicii de prelucrare a datelor cu caracter personal. În cadrul acestei etape, avem în vedere elaborarea pe seama informațiilor colectate în etapele anterioare și a prevederilor GDPR, politica de prelucrare a datelor cu caracter personal în cadrul organizației.
  • Modulul 5 – Implementarea politicilor și procedurilor GDPR. Avem în vedere suportul pentru implementarea într-o manieră uniformă și eficientă a politicilor și procedurilor privind managementul datelor cu caracter personal în cadrul organizației pentru o corectă aliniere la cerințele GDPR.
  • Modulul 6 – Implementarea sistemelor IT de securitate necesare. Putem răspunde necesităților organizației cu privire la sistemele IT de securitate (de exemplu: sisteme de detecție și prevenție a intruziunilor, sisteme de prevenire a scurgerii datelor etc.) prin furnizarea și implementarea unor soluții IT eficiente și potrivite pentru dimensiunea și particularitățile organizației.
  • Modulul 7 – Asigurarea poziției de Responsabil cu Protecția Datelor. Asigurăm experți calificați cu competențe în domeniul protecției datelor pentru îndeplinirea rolului de Responsabil cu Protecția Datelor și execuția responsabilităților specifice în cadrul organizației.

Date de contact: Cosmin Măcăneață, Managing Partner,

 cosmin.macaneata@omega-trust.ro, 0722812812

 

GDPR: afectarea securității datelor cu caracter personal din perspectiva securității informatice

Articolul este realizat de specialiștii CERT.RO  și a  fost publicat în Catalogul GDPR Ready, Octombrie 2017. 

 

Conform Regulamentului, „încălcarea securității datelor cu caracter personal” înseamnă o încălcare a securității care duce, în mod accidental sau ilegal, la distrugerea, pierderea, modificarea, sau divulgarea neautorizată a datelor cu caracter personal transmise, stocate sau prelucrate într-un alt mod, sau la accesul neautorizat la acestea.

Regulamentul prevede la articolele 33 și 34 obligativitatea notificării încălcărilor securității datelor cu caracter personal către Autoritatea Națională de Supraveghere precum și direct către persoanele vizate ale căror date au fost compromise în anumite condiții, astfel:

  • Notificarea Autorității se face în cel mult 72 de ore conform Art. 33 și este obligatorie atunci când încălcările prezintă riscul de a pune în pericol drepturile și libertățile persoanelor putând duce la discriminarea, prejudicierea reputației, pierderi financiare, compromiterea confidențialității sau orice alt dezavantaj economic sau social semnificativ.
  • Notificarea trebuie să cuprindă: o descriere a încălcării, inclusiv categoriile și numărul aproximativ de persoane vizate acolo unde este posibil, categoriile de înregistrări și numărul acestora. La aceasta se adaugă descrierea consecințelor probabile ale încălcării și măsurile luate pentru a remedia situația și a atenua consecințele încălcării.
  • La acestea se adaugă datele de contact ale responsabilului cu protecția datelor sau alt punct de contact pentru mai multe informații.
  • Notificarea persoanei vizate se face conform Art. 34, fiind obligatorie în cazul în care încălcarea prezintă un risc ridicat pentru drepturile și libertățile persoanelor vizate. Informarea va conține descrierea încălcării într-un limbaj simplu precum și informațiile și măsurile de la Art. 33.
  • Termenul de notificare a autorității este de 72 de ore.

Pentru a putea realiza notificarea în termenul specificat este necesar ca operatorul să inventarieze, să organizeze și să cunoască categoriile de date colectate, sistemele în care acestea sunt stocate și prelucrate, circuitul datelor și persoanele care au acces. Aceasta presupune atât măsuri de inventariere cât și proiectarea sistemelor, a rețelelor și a accesului astfel încât informațiile relevante să fie rapid identificate în caz de încălcare, în vederea alcătuirii notificării și luării de măsuri în consecință.

Ce fel de încălcări ale securității datelor avem în vedere?

Principalele tipuri de încălcări ale securității datelor sunt:

  • publicarea în mod accidental;
  • erorile de configurare a sistemelor ce poate duce la scurgeri de informații;
  • pierderea sau furtul sistemelor sau a mediilor de stocare a datelor;
  • securizarea slabă;
  • infecții cu programe de tip malware;
  • atacuri fizice.

În România, conform raportului CERT-RO pe anul 2016 au rezultat următoarele date relevante cu privire la securitatea spațiului cibernetic național:

  • s-au primit și procesat peste 110 milioane de alerte;
  • 38% (2,9 milioane) dintre adresele IP publice din România au înregistrat cel puțin o alertă;
  • 81% (89 milioane) dintre alerte se referă la sisteme sau servicii vulnerabile;
  • 13% (14 milioane) dintre alerte se referă la sisteme infectate cu malware de tip botnet;
  • 639 de domenii web „.RO” au fost utilizate de site-uri web compromise.

Cum putem proteja datele cu caracter personal procesate?

Sub aspectul protejării datelor în format digital, deși percepția comună referitoare la obligațiile impuse de Regulament este cea a unor cerințe și obligații noi, în realitate măsurile necesare sunt cele standard din domeniul asigurării securității informatice.

Astfel, operatorul care are în vedere asigurarea securității rețelelor și sistemelor sale conform standardelor existente și adaptarea măsurilor proporțional cu amenințările, va îndeplini din start cerințele GDPR cu privire la datele cu caracter personal aflate în sistemele sale, soluțiile tehnice și politicile de securitate necesare celor două domenii coincizând în mare parte.

În vederea adoptării măsurilor necesare prevenirii încălcării siguranței datelor, din perspectiva securității cibernetice, trebuie avute în vedere o serie de recomandări practice, precum cele prezentate în rândurile următoare.

Măsuri de prevenire a incidentelor de securitate:

  • Securizarea terminalelor (stații de lucru, telefoane, tablete etc.) prin utilizarea unor soluții/tehnologii de tip antivirus/antimalware, DLP, sandbox și de criptare a datelor, inclusiv pentru terminalele care sunt proprietatea utilizatorilor (BYOD);
  • Securizarea infrastructurii de rețea prin segmentare adecvată (VLAN) și prin utilizarea unor soluții/tehnologii de protecție perimetrală precum cele de tip NGFW (Next Generation Firewall);
  • Asigurarea unei vizibilități adecvate în cadrul infrastructurii IT prin utilizarea unor soluții/tehnologii de monitorizare precum cele de tip SIEM (Security Information and Event Management);
  • Implementarea unor măsuri adecvate de securitate fizică, mai cu seamă în spațiile unde sunt procesate sau depozitate cantități mari de date;
  • Acordarea accesului diferențiat al utilizatorilor la resurse și la date în baza atribuțiilor acestora (principiul nevoia de a cunoaște);
  • Implementarea unei proceduri adecvate de backup (copii de siguranță) care să includă și verificarea periodică a integrității datelor și a procesului de restaurare;
  • Implementarea unei politici de securitate care să fie asumată și respectată de toți utilizatorii;
  • Utilizarea unor proceduri de răspuns la incidentele de securitate și de gestionare a vulnerabilităților;
  • Dispunerea de personal adecvat pentru securizarea infrastructurii IT și pentru a răspunde la incidentele de securitate;
  • Instruirea periodică a personalului cu privire la riscurile, amenințările și vulnerabilitățile de securitate, precum și cu privire la măsurile de contracarare a acestora;
  • Realizarea de audituri/evaluări periodice de securitate a infrastructurii IT, a personalului și a procedurilor.

GDPR: un angajament pe termen lung

 

Ing. Lucia ȘREFAN

 

 

Ing. LUCIA ȘTEFAN, MSc Information Systems, Data Protection Officer Certified (Maastricht University, 2017).

Director/Consultant al companiei Archiva Ltd. din Marea Britanie.

 

Date de contact:

Email: datapro.archiva@btinternet.com

LinkedIn: https://uk.linkedin.com/in/luciastefan

Din momentul în care Regulamentul General privind Protecția Datelor (GDPR) a fost publicat, au apărut tot felul de interpretări privind înțelegerea și aplicarea acestui regulament. Un curent care și astăzi este destul de puternic afirmă că întregul GDPR nu constă decât în securizarea datelor personale și conformitatea cu ISO 27001.

Alții afirmă că este o chestiune de interpretare legală și doar un jurist poate interpreta corect prevederile Regulamentului. Cei din zona administrării de date (Data Management), spun că e suficient să inventariezi datele din sisteme informatice și să iei masuri de remediere acolo unde trebuie pentru a fi conform cu GDPR. În sfârșit, o altă categorie afirmă că datele personale trebuie gestionate dinamic în timp, comparabil cu un ciclu de viață care începe prin capturarea acestor date și se termină prin ștergerea lor definitivă (dispariția lor) din sistem.

În realitate, toate opiniile de mai sus sunt corecte, în sensul că administrarea și controlul datelor personale într-o organizație este foarte complexă, fiind obiectul muncii unei întregi echipe, în care avem juriști, specialiști în securizarea informației (InfoSec), specialiști din managementul informației digitale, al conformității (compliance), al riscului, al gestionării și arhivării informației. Cu cât arhitectura sistemelor informatice este mai complexa, cu atât este mai multă nevoie, nu de omul-orchestra, ci de o întreagă echipă, cu competențe multiple!

Organizațiile, care prin natura afacerii lor trebuie să se conformeze GDPR, au nu numai obligația atingerii acestui obiectiv dar și pe aceea a menținerii conformității pe toata durata existenței organizației. Cu alte cuvinte, atingerea standardelor RGPD în materie de informații personale nu este suficientă, conformitatea trebuie menținută și gestionată pe termen lung. Atingerea conformității nu este un efort care, odată făcut, îți permite să te relaxezi după aceea. GDPR impune ca organizația să poată demonstra, prin dovezile obținute și păstrate, că este conformă în orice moment cu prevederile Regulamentului. Administrarea pe termen lung a prevederilor GDPR este la fel importantă ca obținerea conformității la data de 25 Mai 2018.

 

Acest articol a fost publicat în secțiunea ”Ce ne recomandă experții”, din cadrul ”Ghidului de bune practici” din Catalogul GDPR Ready. 

Ce au în comun domeniile Cloud, Big Data și GDPR?   

 

 

Atât domeniul Cloud, cât și cel al Big Data sunt esențiale pentru transformarea pe care segmentul tehnologiei informației îl parcurge în prezent și sunt adeseori considerate subiecte conexe, însă cum rămâne cu noile Reglementări ale Uniunii Europene privind protecția generală a datelor ( GDPR)?

O presiune enormă pe politicile de date

Este adevărat că domeniile Cloud, Big Data și Regulamentul General privind Protecția Datelor (GDPR), luate împreună, pun o presiune enormă asupra provocărilor ridicate politicilor aferente datelor. Atât de mult, încât multor organizații le va fi foarte greu să le facă față în timp ce duc inițiativele legate de Cloud, Big Data și GPRD din faza de testare în cea de producție.

Să luăm un exemplu simplu pentru fiecare domeniu în parte. Datele din Cloud trebuie adesea ținute într-o anumită țară; anumite elemente de Big Data trebuie să fie anonimizate înainte de a fi procesate, iar politica GPRD cere ca utilizatorilor să li se spună pentru ce le sunt reținute datele (printre alte cerințe de confidențialitate). Acum imaginați-vă o listă de articole cu sute de astfel de cerințe, determinate fie de reglementări, fie de reguli de guvernare corporativă și care să cuprindă aspecte legate de intimitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală. Acestea ne conferă dimensiunea problemei cu care ne confruntăm.

Dacă dorim să ne asigurăm că politicile aferente fiecăruia din aceste aspecte se află sub un control adecvat și pot fi duse la îndeplinire, atunci avem nevoie de o bază solidă de gestionare a datelor. Aceasta va trebui să includă gestionarea păstrării, expirării, dispunerii, separării și localizării datelor.

În timp ce organizațiile aliniază practicile de management al datelor cu cerințele de gestionare a afacerii și demonstrează că respectă politicile, acestea trebuie, de asemenea, să păstreze integritatea datelor și să controleze costul și complexitatea sistemelor IT.

Sursa: Commvault

Automatizarea bazată pe politici

Ceea ce va fi surprinzător pentru mulți profesioniști din domeniul IT și al afacerilor deopotrivă, este modul în care metodologiile de backup și arhivare pot constitui baza pentru abordarea acestor provocări, în chiar zona în care acestea au rate foarte ridicate de creștere a datelor – fișierele, e-mailurile, videoclipurile, postările sociale și alt gen de conținut de date nestructurate.

Folosind soluția Commvault de automatizare bazată pe politici ca bază a unei strategii sănătoase de gestionare a datelor, costurile și complexitatea pot fi controlate, în timp ce aspectele legate de politica de date, cum ar fi păstrarea, separarea și localizarea datelor, pot fi gestionate ca parte a operațiunilor automatizate. Este de la sine înțeles că, în calitate de lider în domeniul back-up-ului și a recuperării de date corporative, software-ul Commvault reprezintă o alegere excelentă pentru a asigura integritatea datelor.

În ceea ce privește modul în care sunt create și gestionate politicile, acestea se pot baza pe orice criterii relevante, cum ar fi numele fișierului, tipul, etichetele, cuvintele cheie și conținutul. Clasificarea bazată pe conținut poate fi utilizată pentru a identifica datele personale care pot constitui subiectul unor reglementări. Datele pot fi căutate pe baza acelorași criterii, pe baza rolurilor din fișierele directoare, în timp ce seturile de rezultate pot fi clarificate și selectate în scopul remiterii către terți, cu asigurarea deplină a acurateței, validității și integrității lor. Înlăturarea duplicatelor ne asigură de faptul că o singură copie a fiecărui obiect poate fi urmărită și gestionată, ceea ce este vital atât pentru controlul costurilor, cât și pentru gestionarea eficientă a datelor în funcție de politici.

Securitatea, o componentă cheie în politicile aplicate

Având în vedere caracterul dinamic al IT-ului modern, în special în Cloud, este esențial să fie surprinse toate schimbările din industrie. Auto-identificarea și monitorizarea asigură faptul că modificările – cum ar fi adăugarea unui nou centru virtual (VM) – sunt detectate și pot fi acționate fie automat, fie evidențiate. O verificare de audit și o raportare bogată permit verificarea completă a îndeplinirii politicilor.

Securitatea reprezintă o componentă importantă în cadrul politicilor aplicate, iar soluția Commvault extinde securitatea, de la comunicarea internă dintre componentele software la datele gestionate în tranzit sau stocate. Securitatea datelor deținute pe laptop-uri poate fi asigurată prin capacitatea de a determina amplasamentul lor și de a șterge datele din laptopurile pierdute, în timp ce datele nepotrivite pot fi identificate în scopul conformării – aceasta va fi semnificativă în gestionarea regulamentelor GDPR, care se aplică datelor tuturor cetățenilor UE, oriunde ar fi acestea stocate.

În concluzie, Cloud, Big Data și noul regulament european de confidențialitate vor aduce reglementarea și buna guvernanță în prim-planul gândirii IT. Problemele legate de confidențialitate, securitate, anonimitate, responsabilitate, fiabilitate și supraveghere guvernamentală trebuie soluționate într-un mod eficient din punct de vedere al costurilor. Această tendință asigură un viitor remarcabil pentru automatizarea bazată pe politici a soluției Commvault, ca bază pentru gestionarea eficientă a datelor și a informațiilor, în întreaga organizație.

Acest articol a fost publicat de Commvault în Catalogul GDPR Ready, Octombrie 2017. Date de contact: Sergiu Costin, Territory Manager Commvault, scostin@commvault.com

Image Sources: commvault.com

%d bloggers like this: