GDPR - General Data Protection Regulation

To nowe Rozporządzenie o Ochronie Danych Osobowych (RODO)
wchodzi w życie w maju 2018 r.

 

GDPR wchodzi w życie w maju 2018 r.

Rozpocznij przygotowania już teraz i zrób to dobrze!
Wbrew pozorom to już niedługo...

 

Rozwiązania informatyczne zgodne z GDPR

które oferujemy pozwolą szybko i sprawnie dostosować się do obowiązującego prawa.
Audyt • Wdrożenie • Wsparcie

1
1

GDPR – General Data Protection Regulation

zwane też RODO to Rozporządzenie o Ochronie Danych Osobowych

Kogo dotyczy
GDPR/RODO?

Co zmienia
GPPR/RODO?

Główne
założenia

Kiedy zacząć
przygotowania?

Trzy kroki
do wdrożenia

Rozwiązania
informatyczne

GDPR dotyczy każdej firmy i organizacji przetwarzającej dane osobowe

25
dzień
5
miesiąc
2018
rok

Od maja 2018 roku zaczną obowiązywać nowe przepisy dotyczące ochrony danych osobowych.
Ich ogólny zakres jest określony rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych
(General Data Protection Regulation – GDPR).

Rozporządzenie to precyzuje nie tylko zasady przetwarzania i ochrony danych osobowych,
ale także określa konsekwencje wynikające z niezastosowania się do nich.

Ich wprowadzenie spowoduje,
że firmy będą musiały gruntownie zweryfikować wewnętrzne procesy
dotyczące bezpieczeństwa przetwarzanych przez nie danych osobowych,
przez co GDPR określane jest przez wielu regulacją dekady.

GDPR zmienia prawo związane z danymi osobowymi

Rozporządzenie odchodzi od legalistycznego uregulowania zabezpieczenia danych osobowych,
na rzecz podejścia opartego o ryzyko.

Dodatkowo jest ono neutralne technologiczne
czyli nie wskazuje zabezpieczeń jakie mają być stosowane do zabezpieczenia danych osobowych.

Administrator sam musi dobierać zabezpieczenia
do ryzyka związanego z prowadzoną przez niego działalnością. 

Główne założenia nowego rozporządzenia

  • Wszystkie procesy biznesowe, jeszcze w fazie ich projektowania muszą uwzględniać kwestię ochrony danych osobowych.
  • Każda firma przetwarzająca dane osobowe musi uzyskać posiadać podstawę prawną do przetwarzania danych potencjalnych klientów (np. zgodę).
  • Każda osoba fizyczna powinna mieć prawo do sprostowania i przeniesienia swoich danych osobowych oraz prawo do „bycia zapomnianym”.
  • Organizacje, które staną się ofiarami naruszeń prywatności danych, będą zmuszone do zgłoszenia incydentu w ciągu maksymalnie 72 godzin. Przekazane informacje będą musiały zawierać opis naruszenia oraz opis środków, które zostaną podjęte w celu rozwiązania problemu związanego z wyciekiem.
  • Rozporządzenie przewiduje za naruszenia nowe przepisów kary mogące wynieść nawet 4% rocznego światowego obrotu danej firmy lub do 20 mln euro.

Rozpocznij przygotowania już teraz!

Wszystkie organizacje przetwarzające dane osobowe podlegać będą GDPR – zarówno niewielkie  sklepy online, jak i międzynarodowi giganci rynku internetowego w tym serwisy społecznościowe.

Nowe przepisy w zakresie ochrony danych osobowych będą obowiązywały każdą firmę, która przetwarza dane osób jak: apteki, uczelnie, towarzystwa ubezpieczeniowe czy banki.

Od organizacji będzie wymagana wiedza o tym, gdzie dane są przechowywane, dokąd migrują, komu są udostępniane, jakie zgody zostały udzielone oraz kiedy dane powinny zostać trwale usunięte.

Wszystkie organizacje mają czas do maja 2018 roku, na zweryfikowanie wszystkich procesów biznesowych i dostosowanie ich do nowego rozporządzenia. Im wcześniej przedsiębiorstwa rozpoczną wdrażanie nowych przepisów, tym większa pewność, że zapewnią bezpieczeństwo danych swoich kontrahentów oraz klientów Tym samym zachowają wizerunek profesjonalnej firmy oraz unikną wysokich kar finansowych za niedopatrzenia w tej kwestii.

Wystarczą tylko trzy kroki aby być gotowym na GDPR

Nic nie jest szczególnie trudne do zrobienia,
jeśli tylko rozłożyć to na etapy.

Henry Ford
1

ANALIZA POSIADANYCH DANYCH - AUDYT

W ramach obowiązywania GDPR kluczowe będzie pokazanie, że dane są chronione we właściwy sposób, biorąc pod uwagę cel, charakter oraz sposób ich przetwarzania. W tym celu konieczne jest przeprowadzenie audytu zachodzących w organizacji procesów, by móc ocenić stopień adekwatny stopień ochrony danych i sklasyfikować je do odpowiednich kategorii ryzyka. Następnie należy ustalić, czyje dane są w posiadaniu firmy, jaki jest ich zakres, gdzie i w jakiej formie są przechowywane oraz kto ma do nich dostęp, biorąc pod uwagę wszystkie wykorzystywane przez firmę systemy.
2

POWOŁANIE INSPEKTORA OCHRONY DANYCH (IOD)

W każdej organizacji powinno istnieć niezależne i samodzielne stanowisko eksperckie, tak zwany IOD, któremu będzie powierzone nadzorowanie wszystkich procesów, dotyczących przetwarzania danych osobowych. Do zadań Inspektora Ochrony Danych będzie należało między innymi:

  • Monitorowanie przestrzegania rozporządzenia GDPR oraz innych przepisów Unii lub państw członkowskich o ochronie danych osobowych.
  • Monitorowanie przestrzegania wewnętrznych regulacji danej organizacji w zakresie ochrony danych osobowych.
  • Nadzór nad przeprowadzaniem audytów.
  • Pełnienie punktu kontaktowego w kontakcie z organem nadzoru, a także z podmiotem danych.
  • Doradzanie organizacji przy wykonywaniu oceny skutków dla ochrony danych

3

WDROŻENIE STRATEGII CYBERBEZPIECZEŃSTWA

Zastosowane w organizacjach systemy powinny zapewniać poziom bezpieczeństwa adekwatny do wymagań oraz ryzyka, dając gwarancję, że ochrona przetwarzanych danych jest utrzymywana na jak najwyższym poziomie. Systemy te powinny być cyklicznie audytowane oraz dostosowywane do zmieniających się zagrożeń. W naszej ofercie znajdą Państwo rozwiązania ochrony danych, które zapewnią między innymi:

  • Bezpieczeństwo baz danych oraz aplikacji webowych
  • Przeciwdziałanie utracie danych (tzw. Data Loss Prevention) oraz wspomaganie procesów klasyfikacji informacji
  • Analizę i korelację zdarzeń pochodzących z systemów przetwarzających dane

Razem z firmą Omni Modo jesteśmy również w stanie wesprzeć Państwa w zakresie wykonania profesjonalnej analizy przepisów wewnętrznych oraz wspomóc w dostosowaniu regulacji do wymogów rozporządzenia GDPR.

Rozwiązania informatyczne do ochrony danych osobowych zgodne z GDPR

ROZWIĄZANIE DO OCHRONY BAZ DANYCH I APLIKACJI WEBOWYCH

W bazach danych przechowywane są niezwykle cenne, poufne dane. Zwiększająca się liczba wytycznych dotyczących zgodności z regulacjami bezpieczeństwa zmusza organizacje do wprowadzania procesów kontroli dostępu do tych danych oraz do ochrony ich przed atakami i nadużyciami. Produkty bezpieczeństwa baz danych automatyzują procesy kontroli i natychmiastowo identyfikują ataki, działania niepożądane oraz nadużycia. W połączeniu z produktami bezpieczeństwa aplikacji webowych oraz produktami bezpieczeństwa plików stają się naturalnym wyborem w zabezpieczaniu poufnych danych biznesowych.

Dzięki zastosowaniu rozwiązań IMPERVA do ochrony aplikacji webowych i baz danych istnieje możliwość śledzenia i monitorowania wszystkich transakcji dokonywanych przez użytkowników aplikacji. Ciągła kontrola, monitorowanie i kontrolowanie w czasie rzeczywistym wszystkich operacji wykonywanych na bazach jest cennym źródłem informacji na temat tego, „Kto? Co? Kiedy? Gdzie? oraz Jak?” wykorzystuje.

Brak systemu Imperva może doprowadzić do sytuacji, że nie odnajdziemy incydentu naruszenia bezpieczeństwa, a nasze dane zostaną udostępnione w sieci. Znacznie wydłuży się również czas poszukiwania przyczyny incydentu i osób odpowiedzialnych.  Należy pamiętać, że nie tylko hakerzy z zewnątrz chcą pozyskać nasze dane. Mogą to być również osoby pracujące dla przedsiębiorstwa tzw. malicious insider.

Narzędziem, które pozwoli zebrać informacje: kto i kiedy miał dostęp do danych w bazie, są najnowsze i najlepsze systemy do ochrony aplikacji i baz danych, które monitorują ruch, zapisują każdą operację oraz kiedy i przez kogo została wykonana. Mogą również blokować incydenty. Jedną z ważniejszych funkcjonalności tych systemów to możliwość jednoznacznego stwierdzenia naruszenia ochrony danych, co administrator powinien zgłosić organowi nadzorczemu bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po ich stwierdzeniu.

SYSTEMY ZAPOBIEGAJĄCE WYCIEKOWI DANYCH

System ochrony przed wyciekiem danych, minimalizujący ryzyko dostępu do poufnych informacji przez osoby nieuprawnione, powinien składać się z kilku komplementarnych, zintegrowanych ze sobą rozwiązań: modułu klasyfikowania tworzonych treści, zabezpieczeń klasy DLP instalowanych na stacjach roboczych i na poziomie sieci oraz komponentów szyfrujących dyski twarde i nośniki pamięci. Dzięki takiemu podejściu możliwe jest przeciwdziałanie incydentom utraty danych, będącym działaniami umyślnymi oraz zupełnie przypadkowymi, wynikającymi z nieświadomości, czy też nieuwagi użytkownika.

  • McAfee Data Loss Prevention (McAfee DLP)  jest kompleksowym rozwiązaniem zapobiegającym wyprowadzaniu własności intelektualnej, danych finansowych, czy też osobowych, poprzez dowolne kanały przepływu informacji. System zapewnia całkowitą kontrolę nad danymi, które są przez użytkowników drukowane, modyfikowane przy wykorzystaniu różnych aplikacji, czy też przenoszone na nośnikach pamięci. Dodatkowo monitorowane i blokowane są przypadki wysyłania danych poufnych poprzez pocztę e-mail, pocztę w przeglądarce internetowej, aplikacje peer-to-peer, komunikatory internetowe, Skype oraz protokoły sieciowe, takie jak HTTP, HTTPS i FTP.

McAfee DLP może być uruchomiony w postaci komponentów zabezpieczających poszczególne komputery organizacji, niezależnie od tego, gdzie się aktualnie znajdują, jak również w postaci modułów sieciowych, analizujących przepływ informacji w kluczowych punktach firmowej infrastruktury. Polityka ochrony danych jest spójna dla rozwiązań hostowych i sieciowych, co znacznie upraszcza obsługę i skuteczność całego rozwiązania.

  • Tukan IT GREENmod wprowadza możliwość uzupełnienia mechanizmów automatycznego klasyfikowania dokumentów oraz poczty elektronicznej o nieocenioną w takich przypadkach wiedzę użytkownika, dotyczącą poufności tworzonych przez niego treści. Rozwiązanie to integruje się z aplikacjami Microsoft Office, wymuszając konieczność sklasyfikowania tworzonego dokumentu przed zapisaniem go na dysku komputera. Analogicznie GREENmod uniemożliwi wysłanie wiadomości pocztowej, jeżeli nie zostanie ona sklasyfikowana.

System ten łatwo integruje się z rozwiązaniami klasy DLP i systemami zarządzającymi dostępem do plików (ERM) różnych producentów. Podobnie możliwe jest wykorzystywanie informacji o nadawanej przez GREENmod klasyfikacji w systemach typu web-proxy i innych rozwiązaniach monitorujących treść przesyłanych plików i wiadomości.

  • Rozszerzeniem systemu do ochrony przed wyciekiem danych są rozwiązania do szyfrowania dysków twardych (McAfee Drive Encryption) oraz plików i pamięci przenośnych (McAfee File and Removable Media Protection). Zapewniają one bezpieczne przenoszenie danych, bez ryzyka nieuprawnionego dostępu do nich w przypadku kradzieży lub zgubienia chronionego urządzenia. Rozwiązania te są zaprojektowane do wykorzystywania w zaawansowanych środowiskach informatycznych, umożliwiając wszechstronne zarządzanie i obsługę sytuacji awaryjnych (np. zgubienie hasła).

ANALIZA I KORELACJA ZDARZEŃ BEZPIECZEŃSTWA

Zbieranie i analiza zdarzeń z kluczowych elementów sieci wspomaga rozwiązywanie problemów dotyczących bezpieczeństwa informacji, zarządzania operacjami oraz monitorowania aplikacji i systemów. Zdarzenia i informacje o przepływach sieciowych gromadzone w jednej, scentralizowanej bazie, mogą być w łatwy sposób przeszukiwanie, filtrowane i korelowane. Dzięki takiej funkcjonalności możliwe jest szybkie reagowanie na incydenty i łatwiejsze zarządzanie bezpieczeństwem przedsiębiorstwa.

McAfee Enterprise Security Manager (McAfee ESM/SIEM) wykorzystuje opatentowaną, wyjątkową na rynku architekturę szybkiego przetwarzania i zarządzania danymi. Architektura ta umożliwia efektywne połączenie wielu funkcjonalności w jednym rozwiązaniu i kontrolowanie całości z jednej konsoli.

System ten charakteryzuje się zaawansowanymi mechanizmami logiki zarządzania bezpieczeństwem, szybkim czasem reakcji na incydenty, bezproblemowym zarządzaniem logami oraz rozbudowanymi raportami dotyczącymi zgodności z regulacjami. Pozwala też na zaawansowaną korelację danych – wyszukiwanie wzorców i odchyleń od linii bazowych w zgromadzonych zdarzeniach, aktywnościach sieciowych i bazach danych, a nawet w treściach przenoszonych przez rozmaite aplikacje działające w sieci. Funkcjonalność ta zapewnia lepsze i szybsze wyszukiwanie śladów zagrożeń, ataków, utraty danych oraz oszustw związanych z chronionymi zasobami organizacji.