GDPR

Teljeskörű vagy részleges GDPR felkészítő audit

FELKÉSZÜLÉS A GDPR-A! MI AZ A GDPR?

 

A GDPR (General Data Protection Regulation) az Európai Parlament és Tanács 2016/679-es rendelete, amely 2018. május 25-től kötelezően érvényes minden olyan szervezetre, amely európai állampolgárok személyes adatait kezeli, feldolgozza, továbbítja vagy tárolja, legyen szó akár ügyfél, partner vagy munkatársak adatairól.

A szabályozás összetettebb és szigorúbb előírásokat tartalmaz, mint a GDPR előtti rendelet, ugyanakkor a magyar infotörvény már eddig is az egyik legszigorúbbak közé tartozott az EU-ban.

A GDPR azonban jelentős büntetési tételeivel is felhívja magára a figyelmet, ugyanis a szabályok megszegése esetén a büntetés mértéke az adott szervezet éves árbevételének 2-4 százalékát is elérheti, így súlyosabb jogsértések esetén, akár sok millió eurós bírságok is kiszabhatók.

 

HOGYAN KEZDJÜNK HOZZÁ? 

 

A legelső, amit meg kell határoznunk, hogy milyen adatvagyonnal rendelkezünk! Ezen adatokhoz ki fér, ki férhet hozzá? Az egyes munkavállalók, milyen jogosultsági szinttel rendelkeznek? Mi garantálja, hogy az ügyfél adatai nem kerülhetnek harmadik félhez? Az adatok milyen módon kerülnek tárolásra? Milyen, az adatszivárgást megelőzendő biztonsági szintek kerültek beiktatásra a rendszerbe? Mi történik egy adatvesztés vagy adatszivárgás esetén? Hol és meddig vannak ezek az adatok?
Amint látjuk, ezek eléggé összetett kérdések, és ez csak pár kérdés, amit mindenképp meg kell válaszolnunk, hogy megfelelő képet kapjunk ahhoz, hogy a GDPR területeit megfelelően le tudjuk fedni.

 
 

TELJES KÖRŰ ÁTVILÁGÍTÁSBAN GONDOLKODUNK? 

 

Amikor az átvilágítás megfelelő alapossággal van elkészítve, az egyszerre igényel üzleti folyamatmenedzsment, jogi és IT szakértelmet, ezért, amennyiben teljes körű megoldásra van szükség, a SERCO Informatika a célirányos külső szakértő partner bevonása mellett teszi le a voksát. Természetesen bármely tanácsadóval együtt tudunk működni, azonban, ha még nem választott megfelelő partnert magának, mi is tudunk ajánlani kellő tapasztalattal, és ami még fontosabb, módszertannal rendelkező szakértő partnereket, akik egy átfogó auditot követően olyan cselekvési tervet tudnak kidolgozni Önnek, amely alapján vállalkozása megfelelhet a GDPR előírásainak.

 

MI A GDPR, AZ IT ÉS A SERCO INFORMATIKA KAPCSOLATA? 

 

A SERCO Informatika saját kompetenciái és kiemelt gyártói támogatása alapján az IT átvilágítást tudja felvállalni, illetve ha már létezik korábban kidolgozott cselekvési terv, akkor az abban található IT területet érintő feladatokat tudja megoldásaival lefedni.

EZEK A TÉMA JELLEGÉT TEKINTVE VÁRHATÓAN A KÖVETKEZŐK LESZNEK:

ERP/CRM RENDSZEREKHEZ KAPCSOLÓDÓ JAVASLATOK: 

 

Alapvető elvárás, hogy a személyes adatok, rendelések, dokumentumok, ezekben a rendszerekben kerülnek eltárolásra. Ezek a rendszerek a felhasználók igényire vannak szabva, és egyúttal a GDPR előírásait is képesek teljesíteni. Fontos megemlíteni, hogy a rendszer megléte nem jelenti a GDPR-nak való automatikus megfelelést. A szabályok, hozzáférhetőség, a jogosultsági szintek, stb. gyakran finomhangolást vagy teljeskörű újratervezést igényelhetnek.

 

IT INFRASTRUKTÚRÁRA VISSZAVEZETHETŐ ÉSZREVÉTELEK: 

 

Az IT infrastruktúra kritikus pont a GDPR teljesítéséhez. A teljesítmény, üzembiztonság, változáskezelés, a jelszavak védelme, a távoli elérés mind nagymértékben befolyásolja, hogyan tudunk megfelelni a törvényi előírásoknak. Tapasztalatunk szerint a meglévő rendszereket ezen a területen lehet/kell optimalizálni vagy bővíteni.

 

VÉGPONTVÉDELEM ÉS RENDSZERBIZTONSÁGI KÉRDÉSEK: 

 

Mindenképp szót kell ejtenünk a rendszereinket kiszolgáló hálózati eszközökről. Ezen eszközök összessége biztosítja, hogy mindenki megkapja a munkájához szükséges információt, de csak az illetékesek férjenek hozzá az adatokhoz. Mint tudjuk 100%-os védelem nincs, de ezen eszközök megfelelő konfigurációja biztosítja, hogy az adatok egy külső behatolás ellen már első körben védve legyenek, a szakemberek pedig időben értesüljenek egy ilyen kísérletről. Fontos megemlítenünk a jelszavak védelmét. Tapasztalatból tudjuk, hogy a cégek jelentős része nem fordít kellő figyelmet erre a területre.

 

MENTÉS-ARCHIVÁLÁSI HIÁNYOSSÁGOK, RÉSZMEGOLDÁSOK: 

 

A mentés-archiválás egy olyan terület, amit ha nem megfelelőn kezelünk, az részleges vagy teljes adatvesztéshez vezethet. Mindegy, hogy az adatokat saját eszközön, felhőben vagy ezek kombinációjában tároljuk, a megfelelő mentés-visszaállítás elengedhetetlen, hogy az adatok biztonságban legyenek, illetve a napi üzletmenet zavartalan legyen. A 2017-es év megmutatta, hogy Magyarországon sincs minden „nagy cég” felkészülve mindenfajta támadásra, pláne olyanra, ami totális adatvesztéssel jár. Legalább 4 olyan multi cégről tud az IT szakma, akik nem rendelkeztek kellő felkészültséggel, így a támadás után, a mentés-visszaállítás hiánya miatt, több napig teljes leállást eredményezett a felkészületlenség.

 

ADATTÖRLÉS, SELEJTEZÉS PROBLÉMAKÖR: 

 

Az adattörlés egy olyan terület, amit a szervezetek nem a leggondosabban szoktak körbejárni. Vegyünk például egy elavult szervert, amin a cég több tízezer ügyféladatot tárol. A szerver cseréje esetén az informatikus kolléga a migrálást követően alapesetben törli a szerveren tárolt személyes adatokat, formázza a merevlemezt, majd bevett szokás szerint a cég értékesíti a szervert. Ez a bevett gyakorlat azonban nem garantálja, hogy a merevlemezen lévő adatokat egy hozzáértő személy a megfelelő programmal vissza ne állítsa. A SERCO Informatika által javasolt törlés annyira megbízható, hogy a NATO, NSA, FBI szigorú minősítési rendszereinek is megfelel. Adattörléssel, fertőtlenítéssel és fizikai megsemmisítéssel visszaállíthatatlanná válnak az adatok, és mindezt persze hitelesen dokumentáljuk.