Categorii
gdpr

Masuri tehnico organizatorice pentru alinere GDPR site, GDPR magazin online

GDPR Checklist – Masuri tehnico organizatorice implementate

 

 

 

 

Categorii
gdpr

Securitatea Site-ului din perspectiva GDPR

Pentru a fi compliant cu cerintele GDPR trebuie sa te asiguri ca aspectele de mai jos sunt respectate si implementate pe site-ul tau, astfel incat datele colectate de tine prin intermediul site-ului sa fie in siguranta.

  • Asigura-te ca ai back-up la site si la date. Asigura-te ca arhivele sunt criptate si salvate intr-un loc sigur.
  • Datele colectate in baza de date (SQL) aferenta site-ului tau, sunt criptate.
  • Asigura-te ca informezi utilizatorul la Signup, cu privire la Politica de securitate implementata pe site.
  • Asigura-te ca ai implementat HSTS (HTTP Strict transport security) la SSL/TLS implementat pe site.
  • Asigura-te ca ai adaugat Javascript-urile externe, pe care le ai implementate pe site, ca si colectori de date in calitate de procesatori externi.
  • Asigura-te ca ai un firewall instalat pentru site.
  • Asigura-te ca ai un sistem de detectare a intruziunilor (monitorizare fisiere site permanent pentru detectare modificari, detectare inserare a unor Javascript-uri malicioase).
  • Inregistreaza-ti domeniul la HaveIbeenPwned pentru a fi notificat daca ti-au fost compromise email-urile.
  • Informeaza-ti utilizatorii ca ai o Politica de confidentialitate si cere-le acordul.
  • Implementeaza SSL /TLS pentru a securiza conexiunea utilizatorului cu site-ul.
  • Asigura-te ca toti angajatii si sub-contractorii cu care lucrezi au fost informati cu privire la prelucrarea datelor personale si a politicii de confidentialitate si semneaza acorduri cu ei.
  • Asigura-te ca ai loguri cu toate operatiile, accesarile care se fac pe site.

sursa: hackeradvisor.com

Categorii
gdpr

Scurt ghid despre protecția datelor în magazinele online

În ultima vreme, magazinele online au devenit din ce în ce mai populare, iar majoritatea afacerilor s-au mutat în mediul virtual, cu real succes. Chiar și tu ai decis să faci acest pas, deși obiectul tău de activitate este unul care presupune un contact vizual intens: arta. Din fericire, dacă știi cum să împaci partea legată de artă cu cea mai abstractă, a tuturor detaliilor care țin de organizarea unui site și nu numai, vei reuși să ai o afacere de succes. Vrem să te ajutăm și noi un pic și să îți oferim câteva informații de care ai nevoie.

Ce știi despre protecția datelor

Chiar dacă te preocupă mai mult partea artistică, trebuie să respecți și să implementezi un ghid GDPR  magazin online, mai exact să ai o politică de confidențialitate și o politică a cookie-urilor. Cel mai probabil știi despre ce este vorba, pentru că ai urmărit pe site-urile de știri informațiile legate de acest subiect. Pentru a fi mai bine lămurit despre ce este vorba, avem un mic ghid despre regulamentul GDPR, ce presupune el și mai ales, cum se aplică acesta în cazul tău.

Colectarea datelor trebuie făcută cu prudență!

Chiar dacă pontențialii clienți care îți vizitează magazinul tău online pentru a achiziționa, de exemplu, reproduceri după tablouri celebre sau tablouri cameră copii, tot trebuie să te achiți de o sarcină, respectiv colectarea datelor personale. Atenție însă: nu exagera! Nu te interesează informații privind sănătatea lor, cu ce formațiune politică simpatizează sau alte informații de acest gen. Tu trebuie să te limitezi strict la datele de care ai nevoie pentru a putea alcătui o factură și a le trimite apoi produsele dorite!

Marketing online!

Ai auzit desigur de termenul marketing online, și ai înțeles cum poate fi acesta aplicat și în cazul tău, care deții un magazin virtual care poate fi asemănat oarecum cu o galerie de artă online. Un pas important pe care trebuie să îl respecți, și care are legătură atât cu marketing-ul online, dar și cu regulamentul GDPR se referă la cererea consimțământului utilizatorilor pentru prelucrarea datelor lor. Apoi, dacă totul este în regulă, un newsletter, de două ori pe lună, sau lunar, este suficient, pentru a nu fi considerat prea ”agresiv” de către potențialii cumpărători ai produselor tale!

Stocarea datelor

Potrivit normelor legale aflate în vigoare, nu contează foarte mult locul în care stochezi aceste informații pe care le colectezi, dar trebuie să fii atent să fie respectate cele mai bune condiții de securitate. Poți apela la o firmă specializată care va face toate aceste operațiuni pentru tine, iar tu să te ocupi de ceea ce îți face cu adevărat plăcere: arta și modul în care reușești să-i faci și pe ceilalți să o aprecieze mai mult.

Sancțiuni și amenzi usturătoare

În cazul în care toate reglementările politicilor GDPR nu sunt respectate așa cum trebuie, riști niște sancțiuni sau amenzi destul de usturătoare. Așa că, deși ne repetăm, recomandarea noastră este să lași implementarea politicilor GDPR în magazinul tău online în seama unor specialiști, care știu exact ce trebuie făcut în acest sens!

Categorii
gdpr

Cerințele GDPR-ului vis-a-vis de securitatea datelor

GDPR cere ca datele personale să fie prelucrate într-o manieră care să le garanteze securitatea. Aceasta include protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, distrugerii sau deteriorării accidentale. Aceasta impune utilizarea unor măsuri tehnice sau organizatorice adecvate.

În conformitate cu articolul 32, în mod similar articolului 17 din directivă, controlorii și prelucrătorii trebuie să “implementeze măsuri tehnice și organizatorice adecvate”, ținând seama de “stadiul tehnicii și costurile implementării” și “natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul variabilității și gravității diferitelor drepturi și libertăți ale persoanelor vizate. “Spre deosebire de directivă, cu toate acestea, GDPR oferă sugestii specifice pentru ce tipuri de acțiuni de securitate ar putea fi considerate” adecvate riscului, “.

Pseudonimizarea și criptarea datelor cu caracter personal

Capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea și reziliența proceselor și serviciilor de procesare.

Abilitatea de a restabili disponibilitatea și accesul la datele cu caracter personal în timp util, în cazul unui incident fizic sau tehnic.

Un proces de testare, evaluare și evaluare periodică a eficacității măsurilor tehnice și organizatorice pentru asigurarea securității prelucrării.

Controlorii și prelucrătorii care respectă fie un cod de conduită aprobat, fie un mecanism de certificare aprobat – în conformitate cu articolul 40 și cu articolul 42 – pot utiliza aceste instrumente pentru a demonstra conformitatea cu standardele de securitate ale GDPR.

Pentru îndrumări suplimentare privind standardele de securitate, controlorii și prelucrătorii pot lua în considerare considerentele, în special considerentele 49 și 71, care permit prelucrarea datelor cu caracter personal în moduri care altfel ar putea fi necorespunzătoare atunci când este necesar pentru a asigura securitatea și fiabilitatea rețelei.

De-identificare sau anonimizare

Un termen umbrelă pentru eliminarea sau mascarea informațiilor protejate. Într-un sens mai specific, procesul de dezidentificare elimină identificatorii dintr-un set de date, astfel încât nu mai este posibil să se raporteze informații la persoane. În contextul informațiilor din domeniul sănătății, de-identificarea are loc atunci când toți identificatorii (ID-urile, numele, adresele, numerele de telefon etc. – se află în lista precedentă de dezidentificare HL7 pentru o listă completă) sunt eliminate din setul de informații. În acest fel, identitatea pacientului este protejată, în timp ce majoritatea datelor rămân disponibile pentru partajarea cu alte persoane / organizații, analize statistice sau utilizări conexe.

Pseudonimizare

Un subset de anonimizare. Acest proces înlocuiește identificatorii elementelor de date cu noi identificatori, astfel încât relația cu obiectul inițial este înlocuită de un subiect complet nou. După înlocuire, nu mai este posibilă asocierea subiectului inițial cu setul de date. În contextul informațiilor privind asistența medicală, putem “pseudonimiza” informațiile pacienților prin înlocuirea datelor de identificare a pacienților cu date complet independente. Rezultatul este un nou profil de pacient. Datele continuă să pară complete, iar semantica datelor (semnificația datelor) este păstrată în timp ce informațiile despre pacient rămân protejate.

Re-identificare

Acest proces restabilește informațiile inițiale într-un set de date pseudonime. Pentru a re-identifica datele, va trebui să folosiți o serie de structuri de mapare inversă construite pe măsură ce datele sunt pseudonimizate. Există câteva cazuri de utilizare pentru re-identificare. Un exemplu ar fi transmiterea datelor pseudonime către un sistem extern de procesare. Odată ce informația procesată este returnată, aceasta va fi re-identificată și împinsă la dosarul pacientului potrivit.

Identificatori

Identificatorii sunt elemente de date care pot identifica direct indivizii. Exemple de identificatori includ, dar nu se limitează la numele, adresa de e-mail, numărul de telefon, adresa de domiciliu, numărul de securitate socială, numărul cardului medical (vezi postul anterior pentru o listă completă a identificatorilor HIPAA). În unele cazuri, este nevoie de mai mult de o variabilă de identificare pentru a identifica o persoană în mod unic. De exemplu, numele “John Smith” apare de mai multe ori în paginile albe. Cu toate acestea, trebuie să combinați numele cu un număr de telefon pentru a identifica dreptul de John Smith.

Cvasi-identificatorilor

Acestea sunt elemente de date care nu identifică direct o persoană, dar care oferă suficiente informații pentru a restrânge în mod semnificativ căutarea unui anumit individ. Unele cvasi-identificatori au fost studiate pe larg. Acestea includ sexul, data nașterii și codul poștal / codul poștal. Cvasi-identificatorii sunt în mare măsură dependenți de tipul de set de date. De exemplu, sexul nu va fi un cvasi-identificator semnificativ dacă toate persoanele fizice sunt femei. Un alt lucru interesant despre cvasi-identificatori: ele sunt categorice în natură, cu un set finit de valori discrete. Cu alte cuvinte, sexul, datele de naștere pe o perioadă de mai puțin de 150 de ani și adresa sunt finite. Acest lucru face căutările simple. Persoanele fizice sunt relativ ușor de identificat folosind cvasi-identificatori.

Non-identificatorii

Aceste elemente de date pot conține informații personale despre persoane, dar nu sunt utile pentru reconstituirea informațiilor inițiale. De exemplu, un indicator privind dacă o persoană are alergii la polen ar fi cel mai probabil un element de date care nu identifică. Incidența alergiei la polen este atât de mare în populație încât nu ar fi un bun discriminator printre indivizi. Din nou, elementele de date fără identificatori depind de seturile de date. Într-un context diferit, acest element de date vă poate permite să identificați indivizii.

Criptarea simetrică

Criptarea simetrică este cea tradițională, care funcționează în felul următor: pe un computer se realizează criptarea informațiilor cu ajutorul unui algoritm și o anume cheie. Apoi, informația criptată pleacă (fără măsuri de protecție specială) către destinatar. Destinatarul va vedea informația în clar, o va putea decodifica, doar dacă are cheia corespondentă. Dacă o are, o aplică fișierului criptat și are astfel acces la informație în clar.

Algoritmii cu cheie secretă sunt caracterizați de faptul că folosesc aceeași cheie atât în procesul de criptare, cât și în cel de decriptare. Din acest motiv, acești algoritmi mai sunt cunoscuți sub numele de algoritmi simetrici; pentru aplicarea lor este necesar ca înaintea codificării / decodificării, atât emițătorul cât și receptorul să posede deja cheia respectivă. În mod evident, cheia ce caracterizează acești algoritmi trebuie să fie secretă.

Criptarea simetrică prezintă avantajul rapidității cu care sunt realizate procesele de criptare / decriptare a mesajelor. Succesul sistemului se bazează pe dimensiunea cheii. Dacă are mai mult de 128 biți este una destul de sigură, deci sigură în exploatare. Cele trei caracteristici ale criptării simetrice sunt siguranța, rapiditatea și volumul mare de date criptate.

Principalul dezavantaj al algoritmilor simetrici constă în faptul că impun un schimb de chei private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar un canal cu transmisie protejată pentru a putea fi transmise cheile de criptare / decriptare.

Problema cea mai importantă în acest sistem de criptare, folosit cu preponderență de guvernele țărilor lumii, este păstrarea secretului cheilor folosite și transferul acestora între utilizatori aflați uneori la mari distanțe. Deconspirarea acestora duce la compromiterea sistemelor de criptare folosite.

Funcțiile hash

În sens matematic, funcțiile hash (clasă de funcții denumite în lucrări de specialitate și funcții de dispersie sau funcții de rezumat) sunt funcții definite pe o mulțime cu multe elemente (posibil infinită) cu valori într-o mulțime cu un număr fix și mai redus de elemente. Funcțiile hash nu sunt inversabile. În informatică, funcțiile hash sunt folosite pentru a accelera căutările în tabele, cum este cazul în bazele de date mari sau comparările de date. Valoarea unei funcții hash este denumită rezumat, valoare hash, cod hash, sumă hash sau doar hash. De asemenea, pot fi folosite drept sume de control sau coduri corectoare de erori (deși nu trebuie confundate cu acestea două), sau, în criptografie, drept componente în schemele de semnătură digitală.

O funcție hash poate lega două sau mai multe chei de la aceeași valoare hash. În multe aplicații, este de dorit minimalizarea șansei apariției unor astfel de coliziuni, ceea ce înseamnă că funcția hash trebuie să lege cheile de valorile hash cât mai uniform posibil. De asemenea, în funcție de aplicație, alte proprietăți pot fi necesare. Deși ideea a fost concepută în anii 1950, proiectarea optimă a funcțiilor hash este încă un subiect activ de cercetare și discuție. Funcțiile hash sunt utilizate și ca sume de control sau funcții hash criptografice, dar nu trebuie confundate cu caracterele de verificare, amprentele numerice, funcțiile de randomizare, codurile de corectare a erorilor. Deși aceste concepte se suprapun într-o oarecare măsură, fiecare are propriile sale utilizări și cerințele și este proiectat și optimizat în mod diferit.

Sisteme de Backup&Restore

Backup-ul este metoda prin care creezi copii de siguranță ale sistemului de operare și / sau ale fișierelor stocate pe calculatorul personal. În principiu, deși există numeroase soft-uri dedicate acestui proces, cel mai simplu mod de a face un backup este cu ajutorul uneltelor incluse în sistemul de operare. Microsoft ne oferă pentru Vista și Windows 7 un utilitar de backup gratuit și ușor de utilizat.

Semnătura digitală

O semnătură digitală se utilizează pentru a autentifica informațiile digitale — cum ar fi documente, mesaje de poștă electronică și macro comenzi — utilizând criptografia informatică. Semnăturile digitale atestă următoarele:

 Autenticitate Semnătura digitală contribuie în a asigura că semnatarul este cel care pretinde că este.

 Integritate Semnătura digitală contribuie în a asigura că un conținut nu a fost modificat sau alterat de la momentul în care a fost semnat digital.

 Nerepudiere Semnătura digitală contribuie în a demonstra tuturor părților care este originea conținutului semnat. „Repudiere” se referă la acțiunea unui semnatar care neagă orice asociere cu conținutul semnat.

Pentru aceste asigurări, conținutul trebuie să fie semnat digital de creatorul de conținut, utilizând o semnătură ce îndeplinește următoarele criterii:

 Semnătura digitală este validă.

 Certificatul asociat semnăturii digitale este curent (neexpirat).

 Persoana sau organizația care semnează, cunoscută cu numele de editor, este de încredere.

 Certificatul asociat cu semnătura digitală a fost emis către editorul semnatar de o autoritate de certificare (CA)recunoscută.

Programele 2007 Microsoft Office system detectează aceste criterii și vă avertizează dacă există o problemă cu semnătură digitală. Pentru detalii, citiți ultima secțiune din acest articol Cum se poate spune dacă o semnătură digitală este de încredere.

Steganografie

Steganografia este o tehnică care permite utilizatorilor să ascundă mesaje în alte mesaje, aplicând tehnici steganografice și watermarking digital este posibilă ascunderea unor informații privind drepturile de autor, cum ar fi numele autorului, data apariției, etc.

Unul dintre cele mai întâlnite formate electronice sub care se găsesc informațiile în zilele noastre este imaginea digitală. Steganografia pentru imagini reprezintă procesul de modificare a datelor din imagini astfel încât să se poată insera diverse informații. În această lucrare voi analiza metodele folosite pentru ascunderea informației în imagini.