(GDPR) – Să înțelegem cerințele privind protecția datelor și modul în care ne conformăm acestora – cu Sophos

(GDPR) – Să înțelegem cerințele privind protecția datelor și modul în care ne conformăm acestora – cu Sophos

S-au schimbat multe din 1995, data adoptării ultimului act major de legislație europeană în materie de protecție a datelor (Directiva 95/46/CE privind protecția datelor). De exemplu, dispozitivele mobile sunt omniprezente și este la ordinea zilei ca o persoană să dețină 2-3 astfel de gadgeturi simultan. De asemeni, date importante ale companiilor circulă înafara siguranței perimetrului tradițional de securitate corporativă. Angajații trimit documente prin e-mail, accesează date de pe smartphone-urile și tabletele personale și stochează date în cloud. Încălcări serioase ale protecției datelor cu caracter personal sunt ceva comun, clienții fiind expuși riscurilor de furt de identitate și pierderilor financiare, iar organizațiile confruntate cu posibilitatea pierderii loialității clienților și a investitorilor, precum și cu perspectiva amenzilor punitive.

Documentul Sophos pe care l-am tradus și adaptat pentru dvs. discută despre ce înseamnă Regulamentul general privind protecția datelor (GDPR) pentru organizații, la nivel global.

 

De ce a fost necesară o schimbare?

 

La fel ca majoritatea statelor din S.U.A., toate țările din Uniunea Europeană (UE) au implementat legi privind protecția datelor, pentru a reflecta noua realitate a dizolvării perimetrului rețelei în sens clasic. Ca și în cazul diferențelor dintre statele din S.U.A., aplicarea reglementările europene privind protecția datelor era diferită de la o țară la alta până la GDPR. O revizuire semnificativă a reglementărilor UE privind protecția datelor se cerea deja de multă vreme. Acest lucru, asociat cu nevoia de a se raporta subiectul la evoluția tehnologică majoră survenită din 1995 până în prezent, a motivat eforturile de modernizare și omogenizare a regulamentelor UE privind protecția datelor.

GDPR este punctul culminant al anilor de lucru dedicați în UE reformării regulamentului privind protecția datelor, astfel încât să avem un cadru omogen la nivelul întregii Uniuni, în loc de o sumă de legislații specifice fiecărei țări (GDPR permițând în continuare anumite derogări specifice regiunilor, cum ar fi vârsta de consimțământ pentru transmiterea datelor cu caracter personal).

GDPR ia forma juridică a unei reglementări, așadar se aplică direct în fiecare stat membru în forma în care a fost adoptată. Legislația anterioară privind protecția datelor în statele membre a rezultat dintr-o directivă, pe care fiecare țară a implementat-o ​​în sistemul său juridic național cu un grad de flexibilitate crescut, ceea ce a dus la diferențe de la un stat la altul. Prezentul regulament urmărește consolidarea drepturilor de confidențialitate ale cetățenilor UE, restabilirea încrederii în activitățile online și să protejarea mai eficientă a datelor clienților, cerându-le companiilor să adopte noi procese și modalități de control privind protecția datelor.

Regulamentul a intrat oficial în vigoare la 24 mai 2016, iar țările membre UE au avut la dispoziție până la 2 ani pentru a pune în aplicare noile cerințe. Cum aceasta era limita maximă alocată aplicării schimbărilor, țări precum Olanda au ales să își actualizeze legile de protecție a datelor înaintea termenului limită.

Textul în sine este alcătuit din 99 de articole și, ca orice ca legislativ, poate crea o anume doză de confuzie. Scopul materialului Sophos nu este de a educa cititorii cu privire la întregul regulament, ci de a sublinia necesitatea protejării securității datelor cu caracter personal, care intră sub incidența celui mai sever set de amenzi propuse până acum.

 

Principalele elemente de reformă

 

Această secțiune a materialului aduce în prim plan câteva dintre articolele cheie legate de păstrarea datelor cu caracter personal securizate, precum și de potențialele consecințele în cazul în care acest lucru nu este îndeplinit.

Articolul 32 abordează securitatea datelor de procesare:

  1. Având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și  riscul  cu  diferite  grade de probabilitate și  gravitate  pentru  drepturile și  libertățile persoanelor fizice, operatorul  și  persoana împuternicită de acesta implementează  măsuri  tehnice  și  organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(a)  pseudonimizarea și criptarea datelor cu caracter personal;

(b)  capacitatea de  a  asigura confidențialitatea,  integritatea, disponibilitatea și rezistența continue ale  sistemelor și serviciilor de prelucrare;

(c)  capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea în timp util în cazul în care are loc un incident de natură fizică sau tehnică;

(d)  un proces pentru testarea, evaluarea și aprecierea periodice ale eficacității măsurilor tehnice și organizatorice pentru a garanta securitatea prelucrării.

Pe scurt, articolul cere organizațiilor să implementeze măsurile de securitate adecvate pentru protejarea datelor personale. Articolul se referă în mod specific la „criptarea datelor cu caracter personal” ca unul dintre mijloacele pentru a realiza acest lucru.

Articolul mai menționează și „capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența în curs a sistemelor de prelucrare și a serviciilor de prelucrare a datelor cu caracter personal”.

În ceea ce privește tehnologia de criptare, aceasta înseamnă deținerea unei proceduri solide de gestionare a cheilor, pe lângă criptarea datelor. Implicațiile mai largi constă în existența unui plan de redresare pe care să se poate conta în caz de dezastru.

În cazul producerii unei încălcări a protecției datelor cu caracter personal, articolul 333 precizează că organizația în cauză este obligată să notifice autoritatea de supraveghere în termen de 72 de ore de la constatarea încălcării. Cu toate acestea, organizația nu este neapărat obligată să notifice persoanele ale căror date au fost încălcate. Articolul 34 prevede:

  1. În cazul în care încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul informează persoana vizată fără întârzieri nejustificate cu privire la această încălcare.
  2. (…)
  3. Informarea persoanei vizate menționată la alineatul (1) nu este necesară în cazul în care oricare dintre următoarele condiții este îndeplinită:

(a) operatorul a implementat măsuri de protecție tehnice și organizatorice adecvate, iar aceste măsuri au fost aplicate în cazul datelor cu caracter personal afectate de încălcarea securității datelor cu caracter personal, în special măsuri prin care se asigură că datele cu caracter personal devin neinteligibile oricărei persoane care nu este autorizată să le acceseze, cum ar fi criptarea;

(b) operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate menționat la alineatul (1) nu mai este susceptibil să se materializeze;

(c) ar necesita un efort disproporționat. În această situație, se efectuează în loc o informare publică sau se ia o măsură similară prin care persoanele vizate sunt informate într-un mod la fel de eficace.

Dacă, la data pierderii, datele cu caracter personal au fost protejate astfel încât să fie non inteligibile, (cum ar fi prin criptare sau alt mod ce le-ar face inutile pentru o parte neautorizată) – iar compania poate dovedi acest lucru autorității de supraveghere, atunci ea nu are obligația de a divulga breşa către persoanele fizice ale căror date personale au fost pierdute sau furate.

În cazul în care o organizație nu reușește să realizeze niciunul dintre aceste lucruri – să adopte politici interne și să pună în aplicare măsuri adecvate pentru asigurarea și demonstrarea conformității, ori să informeze autoritatea de supraveghere sau persoana vizată asupra unei încălcări a datelor cu caracter personal, când se aplică aceste lucruri – articolul 83 privind amenzile administrative stabilește sancțiunea maximă potențială astfel:

5. Pentru încălcările dispozițiilor următoare, în conformitate cu alineatul (2), se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.

Pe scurt, cei care nu pun în practică tehnologia potrivită pentru a proteja datele personale, riscă să aibă de plătit – atât direct autorității de supraveghere, cât și indirect, în urma daunelor aduse reputației companiei și pierderii bunăvoinței și încrederii clienților. Companiile care își criptează datele, își protejează atât clienții, cât și pe ele însele.

 

Aplicarea regulamentului

 

GDPR-ul e astfel conceput încât întărește considerabil puterile de constrângere. Noile amenzi maxime de 20 de milioane de euro sau  în valoare de 4% din cifra de afaceri anuală la nivel global reprezintă o creștere semnificativă față sancțiunile anterioare. De exemplu, în Marea Britanie, Biroul comisarului pentru informații putea aplica înainte de GDPR doar o amendă de până la 500.000 de lire sterline.

Consecințele unei încălcări a securității datelor au devenit aşadar mult mai serioase.

 

Cine este afectat de GDPR?

 

GDPR ar trebui să fie de interes global, deoarece are impact asupra oricărei organizații ce face afaceri implicând cetățeni europeni – indiferent de localizarea geografică a companiei. În această privință situația este foarte asemănătoare cu cea prevăzută de multe legi privind protecția datelor din SUA. De exemplu, o companie cu sediul în Franța care face afaceri cu clienți americani în California trebuie să respecte legea privind protecția datelor valabilă în California. Dacă aceeași companie face și afaceri cu clienți din Massachusetts, atunci trebuie să respecte și legea privind protecția datelor din Massachusetts, și așa mai departe. Unele dintre beneficiile noii legislații sunt:

  • O piață unică UE, o lege unică: companiile europene și non europene nu mai trebuie să cerceteze și să cunoască detaliile a 28 de reguli și reglementări naționale diferite.
    • Proces unificat: procedură unică de urmat în cazul breșelor și/sau încălcărilor.
    • Aceleași reguli se aplică tuturor companiilor: indiferent de localizarea sediului, este aplicabil același set de reguli valabile și pentru desfășurarea de activități în cadrul UE.

 

Cum să ne conformăm GDPR

 

Pentru numeroasele companii care trebuie să se conformeze noii legislații, cea mai bună modalitate de a se pregăti este implementarea unei strategii solide de protecție a datelor care să constituie o barieră împotriva posibilelor breșe sau pierderi, fie acestea din cauze maligne sau accidentale.

Deși noua legislație nu impune un anume tip de control tehnic, se fac mai multe referiri la criptare ca mijloc de securizare a datelor cu caracter personal, cât și ca mijloc de a le face non inteligibile utilizatorilor neautorizați. Ne putem orienta deci după modul în care se realizează conformitatea („compliance”), cu alte reglementări care urmăresc protejarea datele personale. The Health Insurance Portability and Accountability Act (HIPAA), the Payment Card Industry Data Security Standard (PCI DSS) şi Sarbanes-Oxley (SOX) reprezintă câteva exemple de reglementări care impun controale de protecție a datelor similare cu cele din Regulamentul UE privind protecția datelor.

Deoarece face ca datele să fie neinteligibile, criptarea este larg acceptată ca un mijloc adecvat de a răspunde acestor cerințe. În caz că datele criptate ajung pierdute sau furate, ele sunt, în esență, lipsite de valoare. Nimeni nu poate accesa datele reale folosindu-se de cele criptate. Combinând criptarea datelor cu sisteme de securitate ce opresc atacurile tip furt de date, avem cele mai mari șanse de securizare a datelor.

Important: Dacă doriți să vă pregătiți pentru modificările aduse de GDPR, acordați atenție tehnologiilor de criptare și anti-malware.

 

Cum vă ajută Sophos să răspundeți provocării privind protecția datelor

 

Crearea unei strategii de protecție a datelor poate fi un proces copleșitor, mai ales dacă nu a constituit anterior un domeniu de interes pentru organizația dvs. De unde trebuie început? O strategie solidă de protecție a datelor nu se construiește într-o zi. Dar să ne gândim că 58% din  cazurile de încălcare a securității datelor se datorează hackerilor sau malware-ului, iar 27% din breșe sunt cauzate de dezvăluirea lor neintenționată (eroare umană).

Asigurarea la nivel de companie împotriva amenințărilor de mai sus este o primă etapă foarte binevenită, în legătură cu care Sophos recomandă trei pași importanți:

 

Stopați hacking-ul și programele malware

Atacurile maligne tip furt de date care fac uz de malware reprezintă o cauză majoră a încălcării protecției datelor. Sophos XG Firewall oprește amenințările înainte ca acestea să poată pătrunde în rețea și nu le permite răspândirea în interiorul rețelei.

Sophos Intercept X și Advanced Endpoint Central mențin dispozitivele endpoint în siguranță față de atacurile tip furt de date, prin protecția anti-malware, anti-exploatare și anti-ransomware.

Sophos Server Protection protejează serverele contra amenințărilor avansate de tip malware, inclusiv ransomware. Astfel cele mai sensibile date ale organizației pot avea protecția asigurată.

 

Securizați dispozitivele, chiar dacă ajung pierdute de furate

Rătăcirea sau furtul unui dispozitiv digital nu pot servi drept scuză când vine vorba de aplicarea dispozițiilor GDPR. Sophos Central Encryption Device este cea mai ușoară cale de a gestiona centralizat criptarea full disk pentru toate PC-urile și Mac-urile dvs., menținând datele dvs. protejate, chiar dacă ajung să fie pierdute sau furate.

Sophos Mobile folosește containere sigure pentru a păstra datele sensibile izolate și securizate. În cazul în care un dispozitiv este pierdut sau furat, acesta poate fi blocat de la distanță și șters.

 

Reduceți impactul erorii umane

Mulți dintre noi au trimis la un moment dat un e-mail persoanei greșite, sau au fost tentați de un email de phishing bine conceput. Dar când e vorba despre date critice, orice greșeală nevinovată poate aduce amenzi costisitoare.

Sophos Phish Threat testează și instruiește utilizatorul cum să detecteze și să raporteze e-mailurile de phishing, fiind un instrument digital adaptat unei game largi de industrii și de țări.

Sophos SafeGuard oferă criptare la nivel de fișier, astfel încât, chiar dacă documentele sunt trimise în mod eronat în afara rețelei organizaționale, ele sunt greu de descifrat și practic inutilizabile.

Sophos Central Endpoint Advanced previne pierderile de date pe dispozitivele tip endpoint. Fișierele care conțin cuvinte cheie specifice sau tipuri anume de fișiere pot fi împiedicate să părăsească dispozitivul, folosind reguli preconfigurate sau personalizate.

De câțiva ani, breșele şi pierderile de date la nivel înalt au ajuns în mass-media cu o regularitate alarmantă. Conform prevederilor GDPR, consecințele pentru cei implicați ar fi putut fi de până la 20 de milioane de euro, sau egale cu 4% din cifra lor de afaceri anuală la nivel mondial. Cum am mai menționat, acum sancțiunile sunt semnificativ mai mari față de amenzile pre-GDPR. Ar mai fi important de subliniat că nu doar companiile renumite/mari sunt vizate, ci fiecare organizație care deține date despre cetățenii UE trebuie să respecte regulamentul.

Asigurarea confidențialității și securității datelor clienților este esențială pentru atingerea acestui obiectiv. Sophos vă oferă tehnologii de criptare, anti-malware și protecția datelor pentru a ajuta compania dvs. să îndeplinească cu brio cerințele GDPR.

*Material tradus & adaptat după Sophos

No Comments

Post a Comment

Contact