Gdpr szerver oldalon

 ( secretx | 2018. február 20., kedd - 14:55 )

Sziasztok,

Az EU által elfogadott csodának szerver oldali tennivalóiról tud valaki valamit?
Elég sok össze-vissza infot olvastam, van aki tud bővebb infot esetleg ami pontos, megbízható?

Üdv, Andris

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

http://weblabor.hu/forumok/temak/135476
A nyitóban van két,(viszonylag) hivatalos forrásnak tűnő link.

Szia!
GDPR a személyes adatok védelméről szól, ezért információbiztonsági téma, nem IT biztonság. Első sorban folyamatokról van szó, amit később természetesen neked meg kell majd valósítani szerver és kliens oldalon is. Egyelőre ezer sebből vérzik a dolog, de ebből emberek disszertációkat fognak írni és sokat keresni.
Az alap security beállításokat tedd meg, ments.
fonoy
Stay hungry, stay foolish.

(sub)

subs

+1

A rendelet elsősorban az arányos intézkedésekről szól, így a technológiai intézkedéseket is mindig ebből a szempontból kell megvizsgálnod.

Alapvetés, hogy a technológia mindenkori állásának megfelelő biztonsági intézkedéseket teszel, ez magában fogalalja azt, hogy up-to-date a szervered, meg mondjuk SSLből nem használ régi verziót, stb.

A többi intézkedést, a felhasználó/jelszó jellegű alapvédelemtől odáig, hogy 10 kínai szakértő kézzel megvizsgál minden TCP csomagot ami érkezik, neked kell eldönteni mi a megfelelő. Nem a cég mérete alapján, hanem az adat alanyok kockázata szerint. Ha egy online cipőboltot üzemeltetsz, a kockázatuk nem túl nagy, meg lehet tudni a lábméretüket :), a teljesen alapvető dolgok elegek lesznek. De ha a jóember bankszámláit kezeled, akkor már komolyabb intézkedésekre lesz szükség.

Dokumentáld le, hogy milyen intézkedések mellett döntött a cég, mi alapján. A hatóság adott esetben mondhatja azt, hogy ez nem volt elég jó a kockázatokhoz mérten, de a jelenlegi meglátás az, hogy ha van róla dokumentációd hogy foglalkoztál vele és éppkézláb döntéseket hoztál, akkor nem fognak szexuálisan inzultálni.

sub

PCI DSS cuccoknak eleget teszel kezdésnek jó az már.

Ezeket az irányelveket a rendszergazdának/üzemeltetőnek/architekteknek, stb. az ügyvédtől/biztonsági szakértőktől kellene megkapni, hogy technikailag eleget tudjon tenni ezeknek a pontoknak?
Arra gondolok itt, hogy:

A törvény előírja, hogy "A PW-öt biztonságosan tárold" -> A rendszergazda/üzemeltető/Architektek/stb. megkapja a feladatot. Tudja, hogy milyen technológivvál lehet ezt elérni (pl. hash-elt formában plain text helyett, jól védett DB-ben), és megvalósítja.

A kérdésem másik apropója: Amennyiben az üzemeltető/rendszergazda/stb tech guru nem tud az adott új törvényi változásról (mivel nem ügyvéd, hanem tech guru) és ezen _tudatlanság lévén_ nem vezeti azt be (nem is kap rá kérést a felettesétől/megbízótól/stb), akkor kit terhel a felelősség?

Nemtom, de ezekben semmi új dolog nincs, szóval ha eddig is leszarták a biztonságot, gondolom ezután is lefogják. Ha meg eddig is foglalkoztak vele, technikai szemszögből már jó vagy. (tökéletes védelem meg ugye nem létezik, csak az elvárható legjobb alaposság).

duplán ment

sub

sub