01.06.2018
У світі інформаційних технологій відбулася подія, що підняла бурю всіляких емоцій і думок у різних людей. Поговоримо про цю дуже важливу і раніше небувалу подію.
З 25 травня 2018 року в Європі набуває чинності нова вимога щодо захисту персональних даних GDPR — General Data Protection Regulation. Це безпрецедентний випадок історії інформаційної безпеки. Згідно з цією новою вимогою, відповідальність за захист даних покладається на вище керівництво компанії, при цьому важливо відзначити, що така відповідальність є прямою.
Виявлені порушення вимог GDPR можуть каратися штрафами. Суд може вимагати виплатити штраф, який складе 4% від загального доходу компанії за попередній фінансовий рік, але не менш як 10 млн євро. Такі цифри дуже вразили керівників та власників бізнесу.
Для скептиків, які не вірять у всю серйозність цієї вимоги, скажемо так: у Брюсселі пройшли підготовку 500 аудиторів, які мають право перевірити будь-яку компанію на території ЄС. І хто знає, коли і з яких компаній та бізнесів розпочнуться ці перевірки?
Вимоги GDPR орієнтовані на захист даних фізичних осіб, які є громадянами ЄС. Причому компанія, яка підпадає під вимоги GDPR, може взагалі не працювати на території ЄС, а лише збирати дані громадян. До таких компаній можна, наприклад, зарахувати соціальну мережу Facebook.
Надамо до вашої уваги важливу інформацію про вимоги GDPR:• Компанія, яка збирає, зберігає або обробляє персональні дані, має чітко визначити мету, з якою вона це робить. Така компанія має отримати дозвіл від кожної людини на збір та обробку її даних. Використання персональних даних для інших цілей, крім заявлених, або передачі цих даних стороннім компаніям без дозволу власника – заборонено!• Кожна компанія повинна передбачити процедури та технології, які дозволяють громадянам отримувати інформацію про всі дані про себе, та вимагати їх видалення з будь-яких баз даних.• Компанії зобов'язані повідомляти власників персональних даних про факти злому своєї ІТ-інфраструктури або про витік (втрату) даних.
GDPR викликав метушні не лише на європейському ринку, а й у всьому світі. Багато компаній оголосили про те, що вони припиняють збирати будь-які персональні дані та припиняють вести бізнес на території ЄС. Наприклад, компанія VERVE спеціалізується на таргетованій рекламі в онлайн-додатках та мобільних іграх. Ця компанія припиняє свою діяльність на території ЄС.
Деякі аналітики заявляють, що вимоги GDPR можуть суперечити вимогам стандарту PCI DSS, а також, що з появою GDPR сертифікація за стандартом PCI DSS значно ускладниться.
Чи так це? Спробуємо розібратися.
PCI DSS визначає вимоги до захисту даних власника платіжної картки. При цьому стандарт PCI DSS дуже чітко перераховує, що до цих даних відноситься:• Ім'я та прізвище;• Номер картки;• Термін дії карти;• Вміст магнітної доріжки;• Вміст EMV-чіпа;• Пін-код;• Код перевірки CVV/CVC2.
Очевидно, що до персональних даних із вище представленого переліку належать лише ім'я та прізвище. Банк, який видає картку, зазвичай збирає різні дані про своїх клієнтів, але PCI DSS до цього відношення не має. При цьому пункт №3 PCI DSS вимагає, щоб усі зазначені дані зберігалися лише за необхідності. Іншими словами, для зберігання персональних даних має бути обґрунтована бізнес-необхідність.
Відповідно, якщо для банківських операцій ім'я та прізвище не потрібні, тоді банк, торгове підприємство чи провайдер можуть ці дані не зберігати та не збирати. Оскільки дані не зберігаються і не збираються, такі компанії автоматично виводять себе з-під дії стандарту GDPR.
Інші вимоги PCI DSS зобов'язують компанії надійно шифрувати дані при зберіганні та передачі, а також видаляти їх після закінчення терміну дії картки. Ця вимога не тільки відповідає змісту та суті вимог GDPR, але й дає практичні рекомендації щодо захисту персональних даних.
Виконання всіх вимог стандарту PCI DSS дозволить покращити стан захищеності даних, що допоможе знизити ймовірність злому ІТ-інфраструктури та крадіжки даних.
Висновок із сказаного вище простий: керівники компаній, які проходять сертифікацію за стандартом PCI DSS, можуть не хвилюватися про виконання вимог GDPR. Виконання вимог стандарту PCI DSS стане чудовою базою для виконання вимог GDPR.
Експерти компанії «ІТ Спеціаліст» проводять консультації щодо виконання вимог PCI DSS і GDPR. Після консультації клієнту буде запропоновано план щодо впровадження необхідних засобів захисту. Усе дуже просто, якщо кібербезпеку компанії довірити професіоналам!