Gdpr szerver oldalon

Közösségi kerekasztal

Sziasztok,

Az EU által elfogadott csodának szerver oldali tennivalóiról tud valaki valamit?
Elég sok össze-vissza infot olvastam, van aki tud bővebb infot esetleg ami pontos, megbízható?

Üdv, Andris

  • 2640 megtekintés

Szia!
GDPR a személyes adatok védelméről szól, ezért információbiztonsági téma, nem IT biztonság. Első sorban folyamatokról van szó, amit később természetesen neked meg kell majd valósítani szerver és kliens oldalon is. Egyelőre ezer sebből vérzik a dolog, de ebből emberek disszertációkat fognak írni és sokat keresni.
Az alap security beállításokat tedd meg, ments.
fonoy
Stay hungry, stay foolish.

( dii | 2018. 04. 20., p – 12:55 )

A rendelet elsősorban az arányos intézkedésekről szól, így a technológiai intézkedéseket is mindig ebből a szempontból kell megvizsgálnod.

Alapvetés, hogy a technológia mindenkori állásának megfelelő biztonsági intézkedéseket teszel, ez magában fogalalja azt, hogy up-to-date a szervered, meg mondjuk SSLből nem használ régi verziót, stb.

A többi intézkedést, a felhasználó/jelszó jellegű alapvédelemtől odáig, hogy 10 kínai szakértő kézzel megvizsgál minden TCP csomagot ami érkezik, neked kell eldönteni mi a megfelelő. Nem a cég mérete alapján, hanem az adat alanyok kockázata szerint. Ha egy online cipőboltot üzemeltetsz, a kockázatuk nem túl nagy, meg lehet tudni a lábméretüket :), a teljesen alapvető dolgok elegek lesznek. De ha a jóember bankszámláit kezeled, akkor már komolyabb intézkedésekre lesz szükség.

Dokumentáld le, hogy milyen intézkedések mellett döntött a cég, mi alapján. A hatóság adott esetben mondhatja azt, hogy ez nem volt elég jó a kockázatokhoz mérten, de a jelenlegi meglátás az, hogy ha van róla dokumentációd hogy foglalkoztál vele és éppkézláb döntéseket hoztál, akkor nem fognak szexuálisan inzultálni.

( csardij v | 2018. 04. 20., p – 14:41 )

PCI DSS cuccoknak eleget teszel kezdésnek jó az már.

Ezeket az irányelveket a rendszergazdának/üzemeltetőnek/architekteknek, stb. az ügyvédtől/biztonsági szakértőktől kellene megkapni, hogy technikailag eleget tudjon tenni ezeknek a pontoknak?
Arra gondolok itt, hogy:

A törvény előírja, hogy "A PW-öt biztonságosan tárold" -> A rendszergazda/üzemeltető/Architektek/stb. megkapja a feladatot. Tudja, hogy milyen technológivvál lehet ezt elérni (pl. hash-elt formában plain text helyett, jól védett DB-ben), és megvalósítja.

A kérdésem másik apropója: Amennyiben az üzemeltető/rendszergazda/stb tech guru nem tud az adott új törvényi változásról (mivel nem ügyvéd, hanem tech guru) és ezen _tudatlanság lévén_ nem vezeti azt be (nem is kap rá kérést a felettesétől/megbízótól/stb), akkor kit terhel a felelősség?