Безопасно е да се каже, че винаги се учите в ролята си на администратор на база данни. Със сигурност има много неща, когато става въпрос за наблюдение на SQL сървър, но сега имате и Общия регламент за защита на данните (GDPR), за който да се притеснявате.
Научете всичко, което можете за спазването на GDPR, е от решаващо значение за вашата компания и нейните бази данни. Претъпкан с легален език, GDPR прави ясно едно нещо:че вие, като DBA, носите отговорност за достъпа и защитата на всяка информация, независимо дали е на място във вашия собствен център за данни или в рамките на вашите облачни услуги. Нека да разгледаме по-отблизо.
Какво е GDPR?
GDPR е европейски закон за поверителност, който влезе в сила на 25 май 2018 г. Основната му цел е да защитава правата на поверителността на физическите лица, като същевременно установява глобални изисквания за поверителност по отношение на това как се управляват и защитават личните данни.
Въпреки че това е закон, насочен към защита на гражданите на Европейския съюз, всяка компания, която има гражданин на ЕС в своята база данни, трябва да спазва изискванията на GDPR. Личните данни включват дати на раждане, данни за кредитни карти, имейл адреси, IP адреси, снимки, национални идентификационни номера и др.
Като DBA, вие не само трябва да гарантирате, че личните данни са защитени от незаконен достъп, но също така, че потребителят може да получи достъп и да получи копие от личните си данни.
Неспазването на регламентите на GDPR води до тежки последици; организациите са глобени с до 4% от глобалните си приходи или до 20 милиона паунда, което прави жизненоважно за компаниите да предприемат действия незабавно и да спазват пълно съответствие до момента, в който изискванията на GDPR влязат в пълна сила.
И така, какво следва за наблюдението на SQL сървър?
Сега, когато крайният срок 25 май изтече, се надяваме, че сте завършили оценка на риска. Например, някоя от информацията, която съхранявате, включва ли компании и физически лица от ЕС или ще бъде в бъдеще?
Ако отговорът е да, тогава трябва да помислите за различни въпроси, включително къде съхранявате лична информация, за какво се използва информацията, дали давате ясно на потребителите, че съхранявате информацията, колко дълго я поддържате , който има достъп до него и т.н.
В идеалния случай можете просто да потърсите всички данни на вашия SQL сървър, за да потърсите имена на колони като „SSN“ или „Дата на раждане“, но колоните често са етикетирани с неясни, загадъчни имена. Това означава, че може да се наложи да отделите време за ръчно проучване на всяка една таблица. Определянето кой има достъп до данни също може да е трудно за определяне.
Ако искате обща оценка на готовността на вашата организация към GDPR, това проучване може да ви помогне.
Преглеждане на (планината от) информация
За съжаление, научаването на всичко, което трябва да се знае за съответствието с GDPR, изисква часове четене и проучване. На уебсайта с информация за GDPR има 99 статии и 11 глави, което може да ви отнеме дни, за да проучите изцяло.
Въпреки това, ето някои статии, които може да се отнасят най-много за вас като DBA относно наблюдението на SQL сървър:
Член 25
Член 25 се отнася до защитата на данните по проект и по подразбиране, т.е. контролира кой има достъп до лични данни и как информацията се съхранява, обработва и осъществява достъп.
- Поверителността на данните по дизайн означава, че подходящи организационни и технически мерки за гарантиране на сигурността и поверителността на личните данни са вградени в пълния жизнен цикъл на продуктите, услугите, приложенията и бизнес и техническите данни на организацията процедури. Техническите мерки могат да включват, но не се ограничават до псевдонимизиране и минимизиране на данните.
- Поверителността на данните по подразбиране означава, че (а) само необходимите лични данни се събират, съхраняват или обработват и (б) личните данни не са достъпни за неопределен брой хора.
Член 25 също така уточнява, че одобрено сертифициране, както е посочено в член 42, може да се използва за демонстриране на съответствие с изискванията за поверителност по проект и за поверителност по подразбиране.
Член 30
Тази статия се отнася до правилния одит на всички записи и лични данни. Изискванията за член 30 вероятно ще се прилагат за повечето компании поради широката приложимост на члена. Компаниите, които се подготвят да се съобразят с член 30, трябва да гледат как данните се движат през всеки от техните бизнес процеси, а не само къде се намират данните. С други думи, „следвайте данните.“
Член 30 изисква от компаниите да представят „записи на дейностите по обработка“, което ще позволи на регулаторите да видят, че компаниите се придържат към GDPR.
Член 32
Член 32 покрива изискването данните да са криптирани. Той изисква от администраторите на база данни да прилагат технически и организационни мерки, които гарантират ниво на сигурност на данните, подходящо за нивото на риска, представен от обработването на лични данни.
Мерките за сигурност на данните трябва поне да позволяват:
- Псевдонимизиране или криптиране на лични данни.
- Поддържане на непрекъсната поверителност, цялост, наличност, достъп и устойчивост на системите и услугите за обработка.
- Възстановяване на наличността и достъпа до лични данни в случай на физическо или техническо нарушение на сигурността.
- Тестване и оценка на ефективността на техническите и организационни мерки.
Член 35
Тази статия очертава правилното документиране на цялата методология за защита на данните и тяхната необходимост и въздействие. Всички организации са длъжни да анализират своя риск и да демонстрират съответствието си с GDPR.
В него се посочва, че трябва да се извърши оценка на въздействието върху защитата на данните (DPIA), ако е вероятно обработването на данни да създаде висок риск. DPIA е упражнение, което позволява на бизнеса да проучи риска, който може да бъде свързан с обработката на данни, и начин за преглед на своите процедури с оглед на съответствието с GDPR.
Статията също така призовава надзорните органи да създадат и публикуват свои собствени списъци с дейности по обработка на данни, които ще изискват DPIA.
Подготовката за съответствие с GDPR не е лесна задача. Ако все още не сте го направили, възползвайте се от цялата налична информация и изследвания, за да ви помогнат да спазвате изискванията възможно най-бързо.
Вземете допълнителни действия, за да подобрите наблюдението на вашия SQL Server. Започнете да проверявате бъдещите си бази данни с нашето безплатно ръководство.