Ποια είναι τα τεχνικά μέτρα του GDPR

Ο νέος κανονισμός GDPR έχει κάποιες τεχνικές απαιτήσεις, σημαντικότερες των οποίων είναι:

• Firewalls Με Σωστές Ρυθμίσεις & επικαιροποιημένες ενημερώσεις του λογισμικού τους (firmware).
• Proxy με web filtering και antivirus που να αποτρέπει την σύνδεση σε κακόβουλους server, και να εφαρμόζει την πολιτική πρόσβασης στο Internet.
• Κατάτμηση του LAN δικτύου και ως επέκταση του, το WIFI (π.χ. μέσω εικονικών (VLANs) η φυσικών) WIFI.
• Χρήση εφαρμογής ελέγχου πρόσβασης των endpoints μέσω διευθύνσεων MAC
• Μοναδικοί κωδικοί πρόσβασης επαρκούς πολυπλοκότητας & τακτικής (Όχι πολύ συχνής) λήξης για όλες τις συσκευές και συστήματα
• Επικαιροποίηση του λογισμικού, firmware, OS, όλων των συστημάτων, Χρήση συστήματος κεντρικού ελέγχου και διαχείρισης των ενημερώσεων κώδικα.
• Ο Έγκαιρος Παροπλισμός & Το Ασφαλές Σκούπισμα (Που Καθιστά Τα Δεδομένα Ανεπανόρθωτα) Παλαιού Λογισμικού & Υλικού
• Χρήση του UAC των Windows (User Access Control) μέσω κεντρικού ελέγχου (Active Directory, LDAP, SSO κτλ.). Είναι σημαντικό να ληφθεί υπόψιν ότι για την συμμόρφωση με τον κανονισμό, ΔΕΝ πρέπει να έχει δοθεί πλήρη πρόσβαση στα αρχεία σε χρήστη ή διαχειριστή του δικτύου και των δεδομένων.
• Αξιόπιστο και επικαιροποιημένο λογισμικό προστασίας κατά των Ιών και κάθε άλλου τύπου κακόβουλου λογισμικού (antispyware, Anti-malware, Rootkits, Trojians etc).
• Σύστημα αυτόματης κρυπτογραφημένης διαμόρφωσης σε όλες τις απομακρυσμένες συσκευές (συμπεριλαμβανομένων των κινητών τηλεφώνων) με κεντρικό έλεγχο και με ενεργή πολιτική ασφαλείας. Απομακρυσμένη διαχείριση και εφαρμογή συστήματος δημιουργία αναφορών.
• Εγκαταστήστε συστήματα ανίχνευσης & πρόληψης εισβολής στις πύλες του δικτύου σας (Intrusion Detection/Prevention Systems)
• Διατηρείτε κρυπτογραφημένο αντίγραφο ασφαλείας δεδομένων (Data Backup) με συγκεκριμένη πολιτική ασφαλείας (retention cycle on full – differential – incremental – snapshots) σε ασφαλή χώρο onsite και offsite.
• Χειροκίνητη ή αυτόματη (επιβεβλημένη) κρυπτογράφηση των δεδομένων όλων των φορητών συσκευών με σύστημα εφαρμογής πολιτικής (laptop, Κινητά, δίσκους, Flash κτλ), και με σύστημα κεντρικού ελέγχου.
• Κρυπτογράφηση των διακομιστών και των backup που φέρουν προσωπικά δεδομένα (για την περίπτωση απώλειας από κλοπή)
• Κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα κατά την μεταφορά με την χρήση κατάλληλων λύσεων κρυπτογράφησης. Χρήση VPN, SSL, PGP. Το PGP (Pretty Good Privacy, 1991) χρησιμοποιείται κυρίως για την πιστοποίηση των email.

Εάν η Εταιρεία σας επεξεργάζεται ελάχιστα προσωπικά δεδομένα, η κρυπτογράφηση δεν θα αποτελεί αυστηρή νομική απαίτηση.

Κωνσταντίνος Κωνσταντίνου Ιστοσελίδα Συντάκτη

Είμαι ο Κωνσταντίνος Κωνσταντίνου. Έχω σπουδάσει Οικονομικά και Νομική στο Παρίσι, έχω MBA και από το 1995 ασχολούμαι επαγγελματικά με την Ίδρυση Εταιρείας στη Βουλγαρία και τη Σύσταση Εταιρείας στην Κύπρο.