sreda, 16. maj 2018

ADD | SQL in GDPR - uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam

Novi zakon o varovanju osebnih podatkov, GDPR, je v mnoga podjetja, ki na kakršenkoli način obdelujejo osebne podatke državljanov EU, prinesel veliko izzivov. Določa povsem nova pravila za vse organizacije, ki blago in storitve ponujajo ljudem v Evropski uniji (EU), ali zbirajo in analizirajo podatke, vezane na rezidente EU, ne glede na to, kje se podatki nahajajo.

Posamezniki imajo med drugim po novem pravico dostopa do svojih osebnih podatkov, sprememb in popravkov morebitnih napak v svojih osebnih podatkih, pravico do izbrisa, prenosljivosti svojih osebnih podatkov ter pravico do obdelave svojih osebnih podatkov za točno določen namen. Organizacije morajo zagotoviti ustrezne kontrole in obveščanje pristojnih inštitucij. Osebni podatki morajo biti ustrezno zaščiteni, v primeru morebitnih kršitev morajo organizacije v roku 72 ur ustrezne organe obvestiti o teh kršitvah.  Pred obdelavo podatkov morajo organizacije pridobiti ustrezno soglasje oz. privolitev za obdelavo podatkov... Po drugi strani pa morajo poskrbeti za transparentna pravila uporabe podatkov, ter uporabnikom zagotoviti jasno obveščanje o zbiranju podatkov, zagotoviti navodila za obdelavo in primere uporabe ter pravila za hrambo podatkov in njihov morebiten izbris.

Zato so se v zadnjem času začela porajati številna vprašanja, kot naprimer koliko podatkov zbirati, hraniti in obdelovati, in na kakšen način hkrati izpolniti zahteve novega zakona? Kako je z nadzorom dostopa, revizijsko sledjo, anonimizacijo ali kriptiranjem podatkov? Katera metoda je sprejemljiva in kako jo uporabiti?

Priprava na doseganje skladnosti z GDPR

Predno se lotimo z odgovori na zgornja vprašanja je potrebno opredeliti postopek, kako se z novimi zahtevami sploh soočiti. Soočenje nas ponavadi pripelje do novih vprašanj, ki so ključna pri postopku uotavljanja skladnosti: 
Kje se nahajajo vaši podatki in kdo ima do teh podatkov dostop?
Ali imate nadzor nad tem, kdo ima dostop do vaših podatkov ter kako se uporablja na podlagi ocene tveganja - v realnem času?
Ali lahko svoje podatke ustrezno klasificirate ter zaščitite?
Ali lahko samodejno odkrijete kršitve? Ali se lahko ustrezno odzovete na kršitev?
Ali nenehno preglejujete in posodabljate interne pravilnike in prakse varovanja podatkov?

Postopek doseganja skladnosti z GDPR

Microsoft za doseganje skladnosti svojim uporabnikom priporoča štiri glavne korake, ki ob upoštevanju vrstnega reda uporabnikom omogočajo doseganje večje stopnje skladnosti z novo regulativo. 

1. Odkrivanje:
V prvi fazi je potrebno temeljito opredeliti osebne podatke, ki jih organizacije uporabjlajo, ter določiti njihovo lokacjo. Obenem je potrebno določiti natančne pravice dostopa in razumeti možnost njihove nepravilne obdelave ali zlorabe. Nadalje je potrebno temeljito identificirati podatkovni tok, saj je potrebno zagotoviti nadzor nad osebnimi podatki skozi celoten cikel njihove uporabe.
2. Upravljanje
Potrebna je analiza, v kakšne namene se osebni podatki uporabljajo in obdelujejo, ter kdo do njih lahko dostopa. Zato je potrebno zagotoviti ustrezne mehanizme avtorizacije in upravljanje avtentikacije dostopa do podatkov. Podatkovne baze je z ustreznimi rešitvami potrebno ustrezno zaščititi pred morebitnimi zlorabami. Obenem je potrebno omejiti dostope skladno z internimi pravilniki, ki opredeljijejo nivo in pravice dostopov do osebnih podatkov.
3. Zaščita
V tej fazi je potrebno vzpostaviti  ustrezne varnostne kontrole za odkrivanje, preprečevanje in kot odziv na morebitne ranljivosti in zlorabe osebnih podatkov. Vse vrste podatkov (at rest, in motion, in use) je potrebno zaščititi z ustreznimi kriprirnimi mehanizmi, zagotoviti revizijsko sled vseh poizbedb in aktivnosti, zagotoviti ustrezne mehanizme za ugotavljanje zlorab in hkrati zagotoviti nemoten delovni proces v podjetju. 
4. Poročanje
Ko so zgornaj našteti koraki izpolnjeni, je potrebno ohranjati posodobljeno dokumentacijo. S tem lahko organizacije relativno preprosto upravljajo z najrazličnejšimi zahtevki o upravljanju podatkov ter morebitnimi kršitvami. Vzdrževanje revizijskih sledi in aktivnosti, ki se tičejo zbirk osebnih podatkov omogoča celovit nadzor nad njihovo obdelavo. Obenem pa je potrebno neprenehno ocenjevanje in analiza varnostnih ukrepov. 

Microsoft zgoraj naštete korake omogoča z uporabo funkcionalnosti, ki so že vgrajene v SQL16 in dalje.S pomočjo SQL server lahko svoje podatke zaščitite, kontrolirate uporabniške dostope ter nadzorujete uporabo varovanih osebnih podatkov. 
To dosežemo z uporabo SQL naprednih tehnik:
Always encrypted
Row-Level security
Dynamic data masking
Auditing
Threat detection
Vulnerability Assessment
Data classification
S pomočjo tehnike »Data classification« nam lahko SQL 2017 tehnologija pomaga odkriti občutljive podatke v naši bazi in nam predlaga na kakšen način lahko svoje podatke zaščitimo. S pomočjo nadzora sistema, pa vedno lahko odkrijemo kdo to takih podatkov dostopa in ali to predstavlja kako varnostno grožnjo.

Za kaj več pa obiščite predavanje podjetja ADD, v sklopu 23. NT konference, »SQL in GDPR - uporaba SQL funkcionalnosti za prilagoditev BI/DWH okolja GDPR zahtevam«, kjer vam bodo nekaj rešitev predstavili v živo.

V podjetju ADD d.o.o. imajo 18 let izkušenj pri načrtovanju rešitev s področja poslovne inteligence, oblikovanju podatkovnih sladišč in vzpostavitve naprednih analitičnih rešitev. Za sabo imajo preko 120 uspešno implementiranih projektov na področju BI/CPM. Njihove rešitve se uporabljajo v 24 svetovnih državah. Ponašajo se s kompetncami Gold za Data analytics, Application development in Cloud platform ter nazivi Microsoft Country Partner of the Year 2016, Microsoft BlackBelt partner for Application platform (BI, Big Data), Microsoft APS premier partner. Ekipa ADD-jevih strokovnjakov vam z bogatimi izkušnjami lahko pomaga pri uresničevanju zastavljenih ciljev.

Za več informacij nam pišite na e-naslov info@ntk.si ter se nam pridružite na naših družbenih medijih Facebook in Twitter.