Κεφάλαιο 8ο:Determine the Appropriate Level of ICT Security (Προσδιορίστε το κατάλληλο επίπεδο ασφάλειας ΤΠΕ)
Το άρθρο 32 του GDPR υποχρεώνει τους υπεύθυνους επεξεργασίας δεδομένων και τους επεξεργαστές δεδομένων να εφαρμόζουν τα τεχνικά και οργανωτικά μέτρα που είναι αναγκαία για την εξασφάλιση του κατάλληλου επιπέδου ασφάλειας σε σχέση με τους κινδύνους που παρουσιάζει η επεξεργασία.
Κατά την εξέταση του σχετικά με τι αποτελεί το κατάλληλο επίπεδο ασφάλειας, θα πρέπει να λάβετε υπόψη
1. “Την κατάσταση του τεχνικού εξοπλισμού”
2. "Το κόστος υλοποίησης και την φύση του πεδίου εφαρμογής".
3. "Το πλαίσιο και οι σκοποί της επεξεργασίας" · και
4. “Ο κίνδυνος ποικίλης πιθανότητας και σοβαρότητας των δικαιωμάτων και ελευθεριών των φυσικών προσώπων”
H BENEFIT δημοσίευσε τις παρακάτω βέλτιστες πρακτικές για την ασφάλεια των δεδομένων, (Data Security Guidance ανάλυση των οποίων μπορείτε να βρείτε στο blog μας https://benefitrma.blogspot.gr/), σχετικά με την ασφάλεια των συστημάτων ΤΠΕ.
1. Πολιτικές συλλογής και διατήρησης δεδομένων
2. Έλεγχος πρόσβασης
3. Πρόσβαση στον έλεγχο ταυτότητας
4. Screen saver οθόνης
5. Κρυπτογράφηση
6. Firewalls
7. Επισκευή λογισμικού
8. Απομακρυσμένη πρόσβαση
9. Ασύρματα δίκτυα
10. Φορητή συσκευή
11. Αρχεία καταγραφής και διαδρομές ελέγχου
12. Συστήματα ασφαλείας και CCTV
13. Σχέδια αντιμετώπισης περιστατικών
14. Απόρριψη εξοπλισμού
15. Φυσική ασφάλεια
16. Ο ανθρώπινος παράγοντας
17. Πιστοποίηση
18. Cyber insurance
Τα μέτρα ασφαλείας υπάγονται κατά κύριο λόγο στους ακόλουθους τίτλους
Technical security
Physical security (Σωματική ασφάλεια)
Organisational security (Οργανωτική ασφάλεια)
Τα τεχνικά μέτρα ασφαλείας προστατεύουν τα ICT συστήματα, εξασφαλίζοντας ότι εφαρμόζεται η κατάλληλη τεχνολογία για την επεξεργασία των προσωπικών δεδομένων.
Παραδείγματα πρακτικών τεχνικών μέτρων ασφαλείας είναι:
εξασφαλίζοντας ότι όλες οι υπολογιστικές συσκευές, όπως οι υπολογιστές, τα κινητά τηλέφωνα και τα tablet, χρησιμοποιούν ένα ενημερωμένο λειτουργικό σύστημα.
εξασφαλίζοντας ότι όλες οι υπολογιστικές συσκευές ενημερώνονται τακτικά με τα λογισμικά και τις ενημερώσεις ασφαλείας του κατασκευαστή.
Χρήση λογισμικού προστασίας από ιούς σε όλες τις συσκευές.
την εφαρμογή ενός ισχυρού τείχους προστασίας.
Έλεγχος του παρεχόμενου λογισμικού προμηθευτή και ενημέρωση των προεπιλεγμένων κωδικών πρόσβασης συστήματος, διαχειριστή και root και άλλων παραμέτρων ασφαλείας για να διασφαλιστεί ότι οι προεπιλογές δεν θα παραμείνουν στη θέση του.
εξασφαλίζοντας ότι τα δεδομένα δημιουργούν αντίγραφα ασφαλείας και αποθηκεύονται με ασφάλεια σε ξεχωριστή τοποθεσία.
· εξασφαλίζοντας ότι τα αντίγραφα ασφαλείας των δεδομένων επανεξετάζονται και δοκιμάζονται περιοδικά για να διασφαλιστεί ότι λειτουργούν σωστά.
· διασφάλιση ότι τα δεδομένα συλλέγονται και αποθηκεύονται με ασφάλεια.
· εξασφαλίζοντας ότι οι κινητές συσκευές (όπως οι φορητοί υπολογιστές, τα κινητά τηλέφωνα και τα tablet) είναι κρυπτογραφημένες.
· εξασφαλίζοντας ότι ο έλεγχος ταυτότητας δύο παραγόντων είναι ενεργοποιημένος για απομακρυσμένη πρόσβαση.
· εξασφαλίζοντας ότι οι ιστότοποι διαθέτουν TLS (ασφάλεια στρώματος μεταφορών) για την ασφαλή συλλογή προσωπικών δεδομένων μέσω webforms (όπως για συνδρομές σε ενημερωτικά δελτία) ή σε ιστότοπους ηλεκτρονικού εμπορίου.
Τα websites που πρέπει να προετοιμαστούν για τον GDPR είναι όσα συλλέγουν, επεξεργάζονται και αποθηκεύουν οποιαδήποτε δεδομένα αφορούν τους επισκέπτες τους. Οι πιο συνήθεις περιπτώσεις ιστοσελίδων που επηρεάζονται μπορεί να περιλαμβάνουν:
Φόρμα επικοινωνίας.
Φόρμα εγγραφής (π.χ. για newsletter, σύνδεση μελών).
Οποιουδήποτε είδους φόρμα ζητάει προσωπικά στοιχεία.
Μηχανισμούς που χρησιμοποιούν cookies.
Λειτουργίες λήψης στατιστικών δεδομένων για μέτρηση επισκεψιμότητας ή διαφημιστικούς σκοπούς (π.χ. Google Analytics, Google/Facebook Re-marketing).
Ηλεκτρονικά καταστήματα, όπου αποθηκεύονται στοιχεία πελατών, πληροφορίες πληρωμών, παραγγελιών κτλ.
Συστήματα/φόρμες σχολιασμού σε άρθρα/σελίδες και chat boxes.
Λειτουργίες εξατομικευμένου περιεχόμενου (π.χ. αυτόματη αλλαγή γλώσσας, εύρεση τοποθεσίας).
Με βάση τα παραπάνω βλέπουμε, ότι ο GDPR πρακτικά αφορά αφορά το 99% των ιστοσελίδων! Η μη συμμόρφωση με το νέο κανονισμό, μπορεί να επιφέρει από μια επίπληξη της επιχείρησής σας, μέχρι πρόστιμο έως 20 εκατομμύρια ευρώ, ή 4% του ετήσιου τζίρου σας.
Όμως τα πράγματα δεν είναι τόσο τραγικά. Με κάποια απλά (ή πιο σύνθετα) βήματα μπορεί να επιτευχθεί συμμόρφωση με τον κανονισμό:
Προσθήκη σελίδας για την Πολιτική Απορρήτου, όπου θα γίνεται λεπτομερής αναφορά για τη χρήση των προσωπικών δεδομένων.
Εμφάνιση μηνύματος κατά την είσοδο στην ιστοσελίδα για την αποδοχή ή μη των Cookies, μαζί με link που οδηγεί στην Πολιτική Απορρήτου.
Συγκατάθεση του χρήστη για κάθε είδος επεξεργασίας και χρήσης των δεδομένων του.
Χρήση SSL πιστοποιητικού για την κρυπτογράφηση των δεδομένων που ανταλλάσσονται μεταξύ επισκέπτη και ιστοσελίδας.
Διαρκή ενημέρωση - ασφάλεια της ιστοσελίδας για την αποτροπή κακόβουλων επιθέσεων (hacking).
Εύκολη απ-εγγραφή, ή ανάκληση άδειας, ή τροποποίηση καταχωρημένων στοιχείων από τον χρήστη της ιστοσελίδας.
Data minimization, δηλαδή ελαχιστοποίηση των στοιχείων που ζητούνται.
Anonymization, δηλαδή μη καταγραφή προσωπικών στοιχείων του επισκέπτη, βάση των οποίων μπορεί να αναγνωριστεί (π.χ. τηλέφωνο, email, IP).
Η ιστοσελίδα είναι ένα μόνο κομμάτι της επιχείρησης που θα πρέπει να συμμορφώνεται με τον GDPR. Περισσότερες πληροφορίες μπορείτε να δείτε στην ιστοσελίδα της ευρωπαϊκής επιτροπής εδώ και στο ενημερωτικό έντυπο του Π.Ο.Φ.Ε.Ε εδώ.
εξασφαλίζοντας ότι όλες οι υπολογιστικές συσκευές, όπως οι υπολογιστές, τα κινητά τηλέφωνα και τα tablet, χρησιμοποιούν ένα ενημερωμένο λειτουργικό σύστημα.
εξασφαλίζοντας ότι όλες οι υπολογιστικές συσκευές ενημερώνονται τακτικά με τα λογισμικά και τις ενημερώσεις ασφαλείας του κατασκευαστή.
Χρήση λογισμικού προστασίας από ιούς σε όλες τις συσκευές.
την εφαρμογή ενός ισχυρού τείχους προστασίας.
Έλεγχος του παρεχόμενου λογισμικού προμηθευτή και ενημέρωση των προεπιλεγμένων κωδικών πρόσβασης συστήματος, διαχειριστή και root και άλλων παραμέτρων ασφαλείας για να διασφαλιστεί ότι οι προεπιλογές δεν θα παραμείνουν στη θέση του.
εξασφαλίζοντας ότι τα δεδομένα δημιουργούν αντίγραφα ασφαλείας και αποθηκεύονται με ασφάλεια σε ξεχωριστή τοποθεσία.
· εξασφαλίζοντας ότι τα αντίγραφα ασφαλείας των δεδομένων επανεξετάζονται και δοκιμάζονται περιοδικά για να διασφαλιστεί ότι λειτουργούν σωστά.
· διασφάλιση ότι τα δεδομένα συλλέγονται και αποθηκεύονται με ασφάλεια.
· εξασφαλίζοντας ότι οι κινητές συσκευές (όπως οι φορητοί υπολογιστές, τα κινητά τηλέφωνα και τα tablet) είναι κρυπτογραφημένες.
· εξασφαλίζοντας ότι ο έλεγχος ταυτότητας δύο παραγόντων είναι ενεργοποιημένος για απομακρυσμένη πρόσβαση.
· εξασφαλίζοντας ότι οι ιστότοποι διαθέτουν TLS (ασφάλεια στρώματος μεταφορών) για την ασφαλή συλλογή προσωπικών δεδομένων μέσω webforms (όπως για συνδρομές σε ενημερωτικά δελτία) ή σε ιστότοπους ηλεκτρονικού εμπορίου.
Τα websites που πρέπει να προετοιμαστούν για τον GDPR είναι όσα συλλέγουν, επεξεργάζονται και αποθηκεύουν οποιαδήποτε δεδομένα αφορούν τους επισκέπτες τους. Οι πιο συνήθεις περιπτώσεις ιστοσελίδων που επηρεάζονται μπορεί να περιλαμβάνουν:
Φόρμα επικοινωνίας.
Φόρμα εγγραφής (π.χ. για newsletter, σύνδεση μελών).
Οποιουδήποτε είδους φόρμα ζητάει προσωπικά στοιχεία.
Μηχανισμούς που χρησιμοποιούν cookies.
Λειτουργίες λήψης στατιστικών δεδομένων για μέτρηση επισκεψιμότητας ή διαφημιστικούς σκοπούς (π.χ. Google Analytics, Google/Facebook Re-marketing).
Ηλεκτρονικά καταστήματα, όπου αποθηκεύονται στοιχεία πελατών, πληροφορίες πληρωμών, παραγγελιών κτλ.
Συστήματα/φόρμες σχολιασμού σε άρθρα/σελίδες και chat boxes.
Λειτουργίες εξατομικευμένου περιεχόμενου (π.χ. αυτόματη αλλαγή γλώσσας, εύρεση τοποθεσίας).
Με βάση τα παραπάνω βλέπουμε, ότι ο GDPR πρακτικά αφορά αφορά το 99% των ιστοσελίδων! Η μη συμμόρφωση με το νέο κανονισμό, μπορεί να επιφέρει από μια επίπληξη της επιχείρησής σας, μέχρι πρόστιμο έως 20 εκατομμύρια ευρώ, ή 4% του ετήσιου τζίρου σας.
Όμως τα πράγματα δεν είναι τόσο τραγικά. Με κάποια απλά (ή πιο σύνθετα) βήματα μπορεί να επιτευχθεί συμμόρφωση με τον κανονισμό:
Προσθήκη σελίδας για την Πολιτική Απορρήτου, όπου θα γίνεται λεπτομερής αναφορά για τη χρήση των προσωπικών δεδομένων.
Εμφάνιση μηνύματος κατά την είσοδο στην ιστοσελίδα για την αποδοχή ή μη των Cookies, μαζί με link που οδηγεί στην Πολιτική Απορρήτου.
Συγκατάθεση του χρήστη για κάθε είδος επεξεργασίας και χρήσης των δεδομένων του.
Χρήση SSL πιστοποιητικού για την κρυπτογράφηση των δεδομένων που ανταλλάσσονται μεταξύ επισκέπτη και ιστοσελίδας.
Διαρκή ενημέρωση - ασφάλεια της ιστοσελίδας για την αποτροπή κακόβουλων επιθέσεων (hacking).
Εύκολη απ-εγγραφή, ή ανάκληση άδειας, ή τροποποίηση καταχωρημένων στοιχείων από τον χρήστη της ιστοσελίδας.
Data minimization, δηλαδή ελαχιστοποίηση των στοιχείων που ζητούνται.
Anonymization, δηλαδή μη καταγραφή προσωπικών στοιχείων του επισκέπτη, βάση των οποίων μπορεί να αναγνωριστεί (π.χ. τηλέφωνο, email, IP).
Η ιστοσελίδα είναι ένα μόνο κομμάτι της επιχείρησης που θα πρέπει να συμμορφώνεται με τον GDPR. Περισσότερες πληροφορίες μπορείτε να δείτε στην ιστοσελίδα της ευρωπαϊκής επιτροπής εδώ και στο ενημερωτικό έντυπο του Π.Ο.Φ.Ε.Ε εδώ.
Σχόλια
Δημοσίευση σχολίου