Você está pronto para 25 de maio de 2018?
Um pouco menos de um ano , a União Européia implementará o Regulamento Geral de Proteção de Dados (GDPR) em 25 de maio de 2018 . Este regulamento descreve como as organizações – comerciais e não comerciais – podem controlar e processar os dados pessoais dos residentes da UE. WannaCry e outros recentes ataques de ransomware tem criado o caos. Logo , as consequências da tais ataques cibernéticos serão ainda pior, pois as organizações sujeitas ao GDPR também enfrentarão dificuldades financeiras graves para comprometer os dados dos usuários finais.
Com regulamentos como o GDPR, as empresas basicamente precisam pagar o dobro por violação de dados se violarem as regras de conformidade. Se uma empresa não possui sistemas de segurança adequados implantados para gerar relatórios de incidentes após uma violação de dados, eles devem pagar penalizações pesadas por violações de conformidade. Além disso, eles também precisam compensar seus clientes pela perda de dados confidenciais. E as coisas ficam ainda pior se os hackers manipulam dados financeiros ou transações.
Antes de analisar as repercussões deste regulamento sobre ataques de segurança, vejamos o que o GDPR realmente exige. Composto por 11 capítulos e 99 artigos, o GDPR da UE vai se tornar um dos mandatos de conformidade mais rigorosos do mundo, redefinindo completamente os dados pessoais, os processos de dados e o processamento ilegal.
Veja mais de perto os requisitos de conformidade, e você verá que o GDPR aborda duas grandes preocupações:
- As formas e regras para coletar dados pessoais
- O processamento legal de dados pessoais
No próximo post, vou escrever em detalhes sobre medidas técnicas e organizacionais específicas que as empresas devem adotar para cumprir este novo mandato. Abaixo, analisaremos algumas das principais perguntas frequentes sobre os requisitos do GDPR.
1. Quem deve cumprir o GDPR?
O GDPR é sem margem. Se você processar os dados dos cidadãos da UE, independentemente de sua organização estar fisicamente na UE, você precisa cumprir o GDPR.
Agora, isso nos leva a outra questão. Você deve cumprir o GDPR se você estabelecer uma empresa dentro da UE, mas você não processa nenhum dado pessoal na UE? A resposta é sim!
A conformidade com o GDPR é necessária para qualquer empresa que:
Coleta e processa os dados pessoais dos cidadãos da UE, independentemente de onde a empresa esteja localizada.
Está estabelecido na UE, independentemente de onde eles processam os dados pessoais de seus clientes.
2. O que é considerado dados pessoais?
Os dados pessoais incluem quaisquer dados relacionados com os cidadãos da UE, incluindo:
- O nome deles.
- Número de identificação social.
- Informação de localização.
- Identificadores biológicos únicos (por exemplo, informações biométricas, imagens faciais ou impressões digitais).
- Cartão de crédito ou outra informação bancária.
- Informações sobre saúde (incluindo informações físicas, genéticas e de saúde mental).
- Dados relacionados à sua condição econômica.
- Suas opiniões em relação à política, cultura e religião.
O GDPR também ampliou o escopo de dados pessoais para identificadores online, que inclui endereços IP, tags de identificação por radiofrequência (RFID) e cookies.
3. O que significa processamento de dados?
O processamento de dados inclui a gravação, triagem, estruturação, armazenamento, modificação, uso e transmissão de dados pessoais. O GDPR também dá especial importância à coleta de dados, um subconjunto de processamento de dados.
4. Quais medidas técnicas e organizacionais devo tomar para cumprir o GDPR?
Verifique seus sistemas: acompanha as atividades que acontecem em sua rede e procure desvios no processamento de dados. Certifique-se de auditar:
- Atividades nos sistemas nos quais os dados pessoais são armazenados
- Acessos a sistemas de armazenamento e dados pessoais
- Mudanças críticas em dados pessoais
Implante sistemas de segurança adequados para prevenir, combater, conter e notificar instantaneamente falhas de dados que acontecem na sua rede.
Estabeleça sistemas para realizar análises forenses para avaliar rapidamente o impacto das violações de dados, se houver.
Certifique-se de ter sistemas adequados de avaliação de risco. Se você estiver manipulando dados confidenciais, uma violação de dados pode devastar sua empresa. O GDPR recomenda altamente a implementação de sistemas de avaliação de risco em seu ambiente para garantir que tudo seja seguro.
5. O que a minha organização deveria fazer em caso de violação de dados?
Se você é um processador e você encontra uma violação de dados:
- Notificar o controlador o mais rápido possível (dentro de 72 horas).
- Se a violação de dados não for comunicada rapidamente à autoridade de supervisão, você será responsável por fornecer uma razão válida para o atraso no relatório.
No relatório de notificação:
- Elaborar sobre a natureza da violação de dados, incluindo o número aproximado de indivíduos cujos dados foram violados e os registros de dados pessoais que foram violados.
- Liste uma pessoa de contato de sua empresa.
- Descreva as consequências da violação de dados.
- Elaborar as medidas que você tomou (ou você propõe tomar) para resolver a violação de dados.
Se você é um controlador:
- Documentar o evento de violação de dados, seus efeitos e as ações corretivas tomadas.
Continue seguindo os posts sobre o GDPR para obter mais informações sobre as medidas técnicas e organizacionais que você precisa cuidar para atender aos requisitos específicos do GDPR.
O EventLog Analyzer permite que você gerencie de forma eficiente e fácil seus logs de máquina para obter a máxima segurança. Gostaria de conhecer mais sobre o EventLog Analyzer e outras de nossas ferramentas? O time da ACSoftware terá o prazer de lhe atender tanto tecnicamente como comercialmente.
ACSoftware / Figo Software seu Distribuidor e Revenda ManageEngine no Brasil
Fone (11) 4063 1007 – Vendas (11) 4063 9639