Dá se s jistotou říci, že se ve své roli správce databáze neustále učíte. Pokud jde o monitorování SQL serveru, toho máte na talíři jistě hodně, ale nyní se také musíte obávat obecného nařízení o ochraně osobních údajů (GDPR).
Naučit se vše o souladu s GDPR je pro vaši společnost a její databáze klíčové. GDPR, plné zákonů, jasně ukazuje jednu věc:že vy jako DBA jste odpovědní za přístup a ochranu jakýchkoli informací, ať už on-premise ve vašem vlastním datovém centru nebo v rámci vašich cloudových služeb. Pojďme se na to podívat blíže.
Co je GDPR?
GDPR je evropský zákon o ochraně osobních údajů, který vstoupil v platnost 25. května 2018. Jeho základním účelem je ochrana práv na soukromí jednotlivců a zároveň stanovení globálních požadavků na ochranu osobních údajů týkajících se toho, jak jsou osobní údaje spravovány a chráněny.
I když se jedná o zákon, jehož cílem je chránit občany Evropské unie, každá společnost, která má ve své databázi občana EU, musí splňovat požadavky GDPR. Osobní údaje zahrnují data narození, údaje o kreditní kartě, e-mailové adresy, IP adresy, fotografie, národní identifikační čísla a další.
Jako správce databází potřebujete nejen zajistit, aby byly osobní údaje chráněny před nezákonným přístupem, ale také to, aby uživatel mohl získat přístup ke svým osobním údajům a získat jejich kopii.
Nedodržování nařízení GDPR má těžké důsledky; organizace dostávají pokutu až do výše 4 % jejich globálních příjmů nebo až 20 milionů liber, takže je pro společnosti životně důležité, aby okamžitě přijaly opatření a byly v plném souladu s požadavky GDPR v plném rozsahu.
Co tedy bude s monitorováním SQL serveru dál?
Nyní, když uplynula lhůta 25. května, doufejme, že dokončíte hodnocení rizik. Týkají se například některé z informací, které uchováváte, společnosti a jednotlivce z EU, nebo se tak stane v budoucnu?
Pokud je odpověď ano, musíte zvážit různé otázky, včetně toho, kde uchováváte osobní údaje, k čemu se tyto informace používají, zda dáváte uživatelům jasně najevo, že informace ukládáte, jak dlouho je uchováváte. , kdo k němu má přístup atd.
V ideálním případě byste mohli jednoduše prohledávat všechna data na vašem SQL serveru a hledat názvy sloupců, jako je „SSN“ nebo „Datum narození“, ale sloupce jsou často označeny nejasnými, záhadnými názvy. To znamená, že možná budete muset trávit čas ručním zkoumáním každé jednotlivé tabulky. Určit, kdo má přístup k datům, může být také obtížné.
Pokud byste chtěli obecné posouzení připravenosti vaší organizace na GDPR, může vám pomoci tento průzkum.
Prohledávání (hromady) informací
Bohužel naučit se vše, co je třeba vědět o souladu s GDPR, vyžaduje hodiny čtení a zkoumání. Na informačním webu GDPR je 99 článků a 11 kapitol, jejichž prozkoumání vám může zabrat celé dny.
To znamená, že zde jsou některé články, které se vás jako DBA mohou nejvíce týkat monitorování SQL serveru:
článek 25
Článek 25 se zabývá ochranou údajů již od návrhu a výchozím nastavením, tj. kontrolou toho, kdo má přístup k osobním údajům a jak jsou informace uchovávány, zpracovávány a zpřístupňovány.
- Ochrana osobních údajů již od návrhu znamená, že vhodná organizační a technická opatření k zajištění bezpečnosti a ochrany osobních údajů jsou součástí celého životního cyklu produktů, služeb, aplikací a obchodních a technických postupy. Technická opatření mohou zahrnovat mimo jiné pseudonymizaci a minimalizaci dat.
- Ochrana osobních údajů ve výchozím nastavení znamená, že (a) jsou shromažďovány, ukládány nebo zpracovávány pouze nezbytné osobní údaje a (b) osobní údaje nejsou přístupné neomezenému počtu lidí.
Článek 25 také uvádí, že schválená certifikace, jak je specifikována v článku 42, může být použita k prokázání souladu s požadavky na ochranu soukromí již od návrhu a na ochranu soukromí ve výchozím nastavení.
článek 30
Tento článek se zabývá řádným auditem všech záznamů a osobních údajů. Požadavky článku 30 se pravděpodobně budou vztahovat na většinu společností, protože článek má širokou použitelnost. Společnosti, které se připravují na dodržování článku 30, by se měly podívat na to, jak se údaje pohybují v každém z jejich obchodních procesů, nejen na to, kde se údaje nacházejí. Jinými slovy „sledujte data.“
Článek 30 vyžaduje, aby společnosti vytvářely „záznamy o činnostech zpracování“, které regulačním orgánům umožní zjistit, zda společnosti dodržují GDPR.
článek 32
Článek 32 pokrývá požadavek, aby údaje byly šifrovány. Vyžaduje, aby správci databází zavedli technická a organizační opatření, která zajistí úroveň zabezpečení údajů odpovídající úrovni rizika, které představuje zpracování osobních údajů.
Opatření pro zabezpečení dat by měla minimálně umožňovat:
- Pseudonymizace nebo šifrování osobních údajů.
- Zachování trvalé důvěrnosti, integrity, dostupnosti, přístupu a odolnosti systémů a služeb zpracování.
- Obnovení dostupnosti osobních údajů a přístupu k nim v případě fyzického nebo technického narušení bezpečnosti.
- Testování a hodnocení účinnosti technických a organizačních opatření.
článek 35
Tento článek popisuje řádnou dokumentaci všech metod ochrany dat a jejich potřeby a dopady. Všechny organizace jsou povinny analyzovat svá rizika a prokázat, že jsou v souladu s GDPR.
Stanoví, že pokud je pravděpodobné, že zpracování údajů bude představovat vysoké riziko, mělo by být provedeno posouzení dopadu na ochranu údajů (DPIA). DPIA je cvičení, které umožňuje podniku prověřit riziko, které může být spojeno se zpracováním údajů, a způsob, jak přezkoumat své postupy s ohledem na soulad s GDPR.
Článek také vyzývá dozorové orgány, aby vytvořily a zveřejnily své vlastní seznamy činností zpracování údajů, které budou vyžadovat DPIA.
Připravit se na soulad s GDPR není snadný úkol. Pokud jste tak ještě neučinili, využijte všechny dostupné informace a průzkumy, které vám pomohou dosáhnout souladu co nejrychleji.
Podnikněte další kroky ke zlepšení monitorování SQL Serveru. Začněte s přípravou svých databází na budoucnost pomocí našeho bezplatného průvodce.