Ochrona danych

W drodze do skutecznej ochrony danych osobowych…GDPR już obowiązuje!

W drodze do skutecznej ochrony danych osobowych…

GDPR – formalnie weszło już w życie, jednak zgodnie z przepisami przejściowymi stosowane będzie dopiero od 28.05.2018 roku (czyli dokładnie za rok!). Oznacza to, że w dużej części przypadków, ze względu na odległy czas zastosowania, jak i związanej z tym pracochłonności implementacja wymagań jeszcze się nie rozpoczęła lub trwają przygotowania do ich rozpoczęcia.

Czytasz o GDPR i zastanawiasz się “o co chodzi”?

General Data Protection Regulation – tekst opublikowany w Dzienniku UE – to ogólnoeuropejskie regulacje w obszarze przetwarzania danych osobowych, które zostały uchwalone przez Parlament Europejski (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r.). Wraz z uchwaleniem rozporządzenia określono termin rozpoczęcia stosowania tej regulacji, a tym samym tzw. okres przejściowym, który zapewnia firmom możliwość dostosowania się do opublikowanych wymagań.

No właśnie, wymagań, ale jakich?

Wśród głównych wymagań jakie stawia regulacja znajdują się m.in.:

  • zasada przejrzystości
  • prawo do bycia “zapomnianym”
  • samoocena  ryzyka  związanego z przetwarzaniem danych osobowych
  • obowiązek informacyjny – “magiczne 72 godziny”
  • prywatność “by design and by default”

Oczywiście to tylko niektóre z zapisanych wymagań, powstaje jednak pytanie, jak oprócz operacyjnych działań spełnić je na poziomie technologicznym.

Nie jest chyba zaskoczeniem, że w moim przypadku kluczowym obszarem zainteresowań jest warstwa składowania i przetwarzania danych. Baza danych, stanowi fundament każdego rozwiązania, które w jakikolwiek sposób przetwarza dane. Niezależnie czy jest to postać klasycznej bazy relacyjnej (SQL Server), forma noSQL (CosmosDB), czy nawet prosta forma tabelaryczna zapisana w postaci plku, mamy do czynienia z magazynem danych. Wspomniany “magazyn”, może być biernym elementem rozwiązania, może też w znaczący sposób ułatwić realizację wymagań zawartych w uchwalonym rozporządzeniu. Do obszaru bazy danych dochodzi jeszcze środowisko,w którym rozwiązanie jest uruchamiane i tym sposobem rozszerzamy obszar zainteresowań o całą platformę Azure.

4 kroki do….

Sam już kilkukrotnie przygotowywałem dla Partnerów i klientów zestawienie w stylu wymagania GDPR vs możliwości platformy SQL Server/Azure. Ważny jest fakt, że Microsoft już od dłuższego czasu przygotowuje swoich klientów na wymagania, które niesie GDPR. Przygotowania, podejście do kwestii bezpieczeństwa danych osobowych oraz gotowość technologiczna rozwiązań Microsoft zostały opisane w 4 krokach

GDPR 4 krokiDiscover

To krok, który dotyczy obszaru identyfikacji i rozliczalności systemów, w których dane osobowe są przetwarzane. Można w tym kroku jako przykład podać pytania, które bez wątpienia padną podczas implementacji wymagań związanych z GDPR:

  •  Które serwery i/lub bazy danych przetwarzają dane osobowe?
  • Które kolumny zawierają dane osobowe?

W tym celu można oczywiście stworzyć własną mapę i opis atrybutów lub też wykorzystać wbudowane mechanizmy np. opisy obiektów na poziomie SQL Server  (m.in. sys.sp_addextendedproperty ) czy też dedykowane usługi pozwalające na dokumentowanie źródeł danych np. Azure Data Catalog .

Manage

W tym kroku istotne jest zapewnienie odpowiednich środków użycia i dostępu do danych osobowych. W szczególności można tutaj przytoczyć mechanizmy uwierzytelniania użytkowników. Warto zastanowić się również nad kwestią nadawania uprawnień dostępu do przetwarzanych danych. Stosowanych mechanizmów jak i poziomu do którego można zarządzać uprawnieniami. Niewątpliwie w przypadku SQL Server i Azure jest tu szeroki zakres możliwości. Zaczynając od konfiguracji firewall (w przypadku SQL Database), przez loginy na poziomie instancji serwerów,  użytkowników na poziomie bazy danych, aż po zarządzanie poprzez role. Oczywiście istotnym elementem jest również możliwość uwierzytelniania poprzez (Azure) Active Directory lub wbudowany mechanizm SQL Server Authorization.

Ciekawym zestawem funkcjonalności, które odnoszą się zarówno do obszaru zarządzania jak i poniższego punktu ochrony danych, są rozwiąznia, które pojawiły się w SQL Server 2016 czy też Azure SQL Database. Row Level Security, czy Dynamic Data Masking, niemal wprost adresują wymagania artykułu 25 (GDPR Article 25(1) ) – “Data protection by design and by default.”

Protect

Ochrona pozyskanych danych dotyczy zarówno danych przetwarzanych, czyli wymienianych między bazą danych, a aplikacjami/komponentami rozwiązania, ale także samego składowania danych. Dlatego własnie w tym obszarze pojawiają się zarówno kwestie zabezpieczenia komunikacji – dzięki wsparciu TLS 1.2, szyfrowaniu fizycznych plików danych, czyli dostępne od dłuższego już czasu transparentne szyfrowanie (TDE), jak również koncepcja danych szyfrowanych przez cały czas – Always EncryptedAlways Encrypted

Report

Niemniej istotny krok w całym procesie to szybki dostęp do informacji o zdarzeniach w systemie, w którym dane osobowe są przetwarzane. Wg regulacji, w przypadku incydentu związanego z dostępem do danych osobowych, w ciągu 72 godzin należy poinformować osobę, której danych incydent dotyczył. Aby informować należy o tym wiedzieć. Aby wiedzieć potrzebne są rozwiązanie pozwalająca na audyt zdarzeń. Audyt to akurat funkcjonalność wbudowana już od kilku minionych wersji SQL Server, ale przydać się może również wykrywanie i reagowanie na bardziej wyszukane próby ataku np. SQL injection czy ataki DDoS. Te ostatnie są bardzo istotne z perspektywy usługi uruchamianej w chmurze – dlatego warto zwrócić uwagę na funkcjonalności typu Threat Detection, w których włączeniu (jak to ostatnio podczas konferencji DataAMP

opowiadał Jakub Szymaszek), nie ma nic ciekawego ponieważ wystarczy skorzystać z opcji ON/OFF dostępnej w panelu zarządzania bazą danych 🙂:

Threat Detection
https://docs.microsoft.com/pl-pl/azure/sql-database/sql-database-threat-detection

Istotnie w samym włączenie nie ma nic trudnego, natomiast korzyści są widoczne bardzo szybko!

Czy to już wszystko?

Niewątpliwie to dopiero początek. Mam nadzieję, że ten artykuł przybliżył kilka najważniejszych elementów związanych z obszarem GDPR i wsparcia tych wymagań od strony technologicznej.

Jeśli szukasz więcej szczegółów zapewne zainteresuje Cię Guide to enhancing privacy and addressing GDPR requirements with the Microsoft SQL platform, dostępny do pobranie pod  https://aka.ms/gdprsqlwhitepaper, jak również dodatkowe źródła, jak chociażby

czy sama treść regulacji