Entendendo a GDPR a maneira da TI

Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade., Entendendo a GDPR a maneira da TI
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade., Entendendo a GDPR a maneira da TI   Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade., Entendendo a GDPR a maneira da TI

Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade.

Responsabilidades de uma equipe de TI

Saber onde os dados são armazenados

  • Esta é a tarefa mais importante que um controlador deve fazer para a conformidade com o GDPR. Eles devem ser capazes de mapear fluxos de dados entre sistemas (independentemente de estarem em um sistema de arquivos, em uma nuvem, em um banco de dados ou em qualquer mecanismo de armazenamento de dados que possam estar usando).

  • Seja seletivo: trabalhe de alto risco a baixo risco.

  • O controlador deve saber onde os dados estão armazenados. É um provedor de nuvem de terceiros, um banco de dados relacional ou um banco de dados NoSQL?

  • Eles também devem saber quantos anos os registros são e quantos dados eles contêm.

  • Controladores devem saber o que terceiros possuem de dados. Isso é importante, pois somente assim o controlador poderá responder aos direitos do titular dos dados dentro do prazo estipulado de 30 dias.

Excluir dados indesejados

  • Comece a procurar por cópias duplicadas de dados em seu sistema.

  • Pode haver alguns backups “just-in-case”.

  • Excluir dados que não são mais necessários. Por exemplo, exclua dados mais antigos que a política de retenção.

  • O controlador não deve subestimar essa tarefa específica. Nos dias de hoje, há vários sistemas se comunicando entre si através de endpoints REST ou outros canais de comunicação. Então, é muito complexo identificar (e resolver) o impacto da exclusão de dados em um sistema.

Descubra como responder aos direitos dos usuários de dados

  • O controlador deve fazer a pergunta a si mesmo: temos capacidade em nossos sistemas de responder às solicitações de direitos dos titulares de dados em 30 dias? Você quer automatizar o processo de obtenção de registros de dados de um sujeito de dados? Ou, você deseja fornecê-lo como um autoatendimento em que o participante de dados possa efetuar login em nosso aplicativo com credenciais válidas e fazer o download dos dados relacionados a eles?

  • O GDPR não recomenda nenhuma dessas abordagens. Cabe ao controlador e à maneira como eles trabalham para ver como desejam responder às solicitações de direitos dos titulares de dados.

Criar registro de riscos e priorizar o registro de riscos

  • Identifique todos os locais em seu sistema onde há processamento ilegal de dados.

  • Localize os locais onde os dados estão sendo processados após o período de retenção.

  • Identifique os locais onde terceiros (processadores) estão envolvidos no processamento de dados.

  • Encontre todos os locais onde você pode ter segurança inadequada, como:

    • Garantia de controle inadequada

    • Sem pseudonimização ou criptografia de dados pessoais críticos

    • Controle de acesso: quem está acessando o quê?

Todas essas coisas devem ser capturadas e registradas em algum lugar, de modo que os controladores sejam responsáveis pelo cumprimento do GDPR. Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade, entre em contato.

Planejar e remediar
Essa é uma tarefa importante para as equipes de TI. Eles devem fazer isso com base no risco priorizado (mantendo um olho nos princípios GDPR e solicitações de direitos dos titulares de dados).

 

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ? Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade., Entendendo a GDPR a maneira da TI   Saiba mais sobre o GDPR e como suas equipes de TI podem alcançar a conformidade., Entendendo a GDPR a maneira da TI

Conteúdos relacionados