Новые правила защиты информации в ЕС

4 Марта 2016

Установленные в ЕС широкомасштабные Правила об общей защите данных существенно влияют на работу «облачных» компаний не только ЕС, но и дальнего зарубежья. Начиная с 2018 года любая организация, которая собирает, использует или предоставляет доступ к личной информации, касающейся граждан ЕС, должна соответствовать требованию законодательства. Методики, обеспечивающие защиту данных, должны быть встроены по умолчанию в любую вычислительную инфраструктуру.

Защита потоков данных

В гипер-взаимосвязанном мире, мире, который всегда он-лайн, большинство людей думают о своих данных в разрезе «живых» систем, которые удерживают их информацию; в действительности это лишь верхушка айсберга. Данные фактически копируются снова и снова – для разработки, тестирования, обеспечения качества, обучения, финансовой отчетности, бизнес-аналитики и многое другое. Кроме того, данные часто используются третьими лицами, подрядчиками и консультантами в других местах или странах, которые зачастую требуют только имя пользователя и пароль для безопасного доступа.

Тем не менее, Правила об общей защите данных призваны изменить ситуацию. Развиваясь, разработчик ПО должен заботиться о безопасности также, как любой администратор БД – понятие, которое скорее всего будет чужим для них. Хотя в большинстве европейских организаций уже обеспечивается некоторый уровень защиты данных и собственности, новые Правила будут также сфокусированы на повышении уровня образования, проведение тренингов и использование инструментов, необходимых для доказательства соответствия законодательству.

Метод кнута и пряника

Новые правила предостерегают, что любая личная информация должна быть «псевдонимизирована» так, чтобы не отслеживалась никакая личная информация о человеке, по сути, это подход «кнута и пряника». «Пряник» рекомендует псевдонимизацию определенных данных и сокращение определенных обязательств на тех предприятиях, которые придерживаются этого подхода. «Кнут» представлен в виде угрозы штрафов для предприятий, которые не соблюдают требования Правил. Для многих предприятий это будет означать, что они должны полностью переработать архитектуру ввода-вывода данных.

Это потребует инвестиций в новые технологии, например, сервисы по маскировке данных, что поможет псевдонимизировать данные один раз и убедиться, что ко всем последующим экземплярам применены одинаковые политики маскировки. Однако в случае утечки данных затраты на эти инвестиции, скорее всего, будут несоизмеримы сс суммами потенциальных штрафов, которые составят до 4% товарооборота компании.

Вывод

Учитывая постоянно растущую потребность в защите данных, становится все более важно, чтобы клиент чувствовали ответственное отношение своего поставщика «облачных» услуг к безопасности. Это означает установление стратегии защиты данных, которая охватывает всю организацию и уменьшает риски для любых лиц, которые могут являться жертвой утечки данных.