Garantované uložení dat a GDPR nejčastější normativní požadavky dneška Petr Dvořák
Nejčastější normativní požadavky na práci s daty General Data Protection Regulation (GDPR) Nařízení evropského parlamentu a rady (EU) 2016/679 Toto nařízení se použije ode dne 25. května 2018. Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech. Garantované uložení dat Může vyplývat ze zákona, z oborových norem, požadavků odběratelů atd. Příklad 1: zákon č. 372/2011 Sb., zákon o zdravotních službách Příklad 2: požadavky odběratelů na nezpochybnitelnou dokumentaci dodaných dílů
General Data Protection Regulation (GDPR) Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů
Základní fakta o GDPR Co je to GDPR? Nová legislativa EU upravující práci s osobními daty občanů EU Hlavním cílem GDPR je větší ochrana práv občanů GDPR se vztahuje na každého, kdo osobní data zpracovává Jaké změny GDPR přináší? Vysoké pokuty za porušení různých ustanovení Nové povinnosti v oblasti zajištění adekvátní ochrany dat Nová práva občanů ve vztahu ke zpracovávaným datům
Nejběžnější mýty o GDPR Každá organizace musí ustanovit pozici pověřence (DPO). DPO je zodpovědný za zavedení GDPR a jeho dodržování. Na naši organizaci se GDPR nevztahuje. Nainstalujeme produkt XYZ a GDPR máme vyřešeno. Počkáme a uvidíme, co se v květnu 2018 stane.
Technologie Metodika GDPR v kostce DPO Právní aspekty Účely zpracování dat Souhlasy se zpracováním dat Změny ve smlouvách Právní posouzení Data governance Jaká data zpracováváme? Kde jsou uložena? Kdo k nim má přístup? Procesy a postupy zpracování Pravidelný audit a kontrola Školení zaměstnanců CISO Strukturovaná data Nestrukturovaná data Kontrola přístupu k datům Pseudonymizace Možnosti exportů Složitý systém oprávnění Výskyt citlivých dat Složitá kontrola nad událostmi Technologická opatření Zvýšení kontroly Změny postupů Implementace nových postupů Právo být zapomenut Právo požádat o předání dat ve strojově čitelné formě
Technologická opatření 1. Úpravy informačních systémů. 2. Průběžný audit stavu a změn využívaných technologií. 3. Identity and Access Management (IAM). 4. Log Management. 5. Data Loss Prevention (DLP). 6. Endpoint Protection and Encryption.
Kompetence společnosti GAPP System Proč řešit GDPR s GAPPem? Pro řešení GDPR máme ucelený přístup a sadu nástrojů. 1. Vstupní analýza (mj. s cílem zjistit rozsah následných činností) 2. Detailní analýza stávajícího stavu. 3. Návrh data governance politiky a její vytvoření. 4. Návrh dílčích technologických opatření. 5. Dodávka a implementace těchto opatření.
Garantované uložení dat Požadavky vedoucí k volbě garantovaného úložiště a technologie pro jejich zajištění
Požadavky na garantované uložení dat Smluvní požadavky Poskytnutí nezpochybnitelných údajů pro případné spory Např. vstupy a výstupy z CNC obráběcích strojů Zákonné požadavky Zákon č. 499/2004 Sb., zákon o archivnictví a spisové službě Využití zvláštních technologických prostředků, které musí umožnit zjištění jakékoli následné změny dat v dokumentu Zákon č. 372/2011 Sb., o zdravotních službách Zápis (do elektronické zdravotnické dokumentace) obsahuje nezměnitelné, nezpochybnitelné a ověřitelné údaje.
Bezpečné uložení dokumentů v souvislosti s eidas Co je to eidas? Nařízení Evropské unie č. 910/2014 o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu. Čím ze eidas zabývá? Nařízení vytváří právní prostředí pro důležité aspekty elektronických transakcí: elektronický podpis, pečeť, razítko a důvěryhodné služby pro práci s nimi. Jak souvisí garantované úložiště s eidas? Poskytuje velmi bezpečnou platformu pro uložení důležitých dokumentů a to díky svým vlastnostem konzistence, redundance, dostupnost, retenční pravidla.
Vývoj objektově orientovaných úložišť Atmos ECS Centera 2001 API (Proprietary) Single namespace Immutable Content Unstructured Content 2008 Rest API Geo replication Global namespace Multi-tenant Unstructured Data 2014 Universal API Support Supports Analytics Highly efficient Geo storage Unstructured Data Semi-structured Data Structured Data Hyperscale Economics Multi-protocol Access Support
Základní nastavení retenčních pravidel Výchozí pravidla pro nastavení retence na nových objektech Rozmezí retenčních period, které může aplikace pro objekt vyžadovat Rozmezí retenčních period, které lze aplikovat na základě událostí
Dell EMC Elastic Cloud Storage (ECS) Přístupové protokoly S3 CAS API (Centera) NFS/CIFS HDFS OpenStack Swift Advanced Retention Event Based Retention Litigation Hold Min/Max Governor Funkce zabezpečení dat Erasure coding Redundance na úrovni nodů Geo-replikace 1-to-many
Kompetence společnosti GAPP System Proč řešit garantované úložiště s GAPPem? Nabízíme komplexní přístup zaměřený nejen na technologii. 1. Komplexní návrh řešení s ohledem na související legislativu. 2. Návrh potřebné integrace se stávajícími systémy. 3. Dodávka adekvátního technického řešení. 4. Vytvoření potřebné formální dokumentace. 5. Asistence při integraci s informačními systémy.
Děkuji za pozornost. Petr Dvořák, petr.dvorak@gapp.cz, +420 602 150 352